Utlänningsdatalag - del 1 (Statens offentliga utredningar 2003:40)

Till Statsrådet Jan O. Karlsson

Regeringen beslutade den 20 december 2001 att tillkalla en särskild utredare för att kartlägga behandlingen av personuppgifter i verksamhet enligt utlännings- och medborgarskapslagstiftningen. Utredaren skall utifrån ett helhetsperspektiv granska regelsystemet och föreslå de författningsändringar och andra åtgärder som behövs för att den rättsliga regleringen skall vara väl anpassad till personuppgiftslagen (1998:204).

Den 5 februari 2002 förordnades lagmannen Sigurd Heuman att fr.o.m. den 1 februari 2002 vara särskild utredare.

Som experter har fr.o.m. den 1 februari 2002 medverkat kammarrättsrådet, tillika vice ordförande på avdelning, Gerhard Gammer, Kammarrätten i Stockholm, rådmannen Lars Henriksson, Malmö tingsrätt, kammarrättsassessorn Bo Nordelius, Utrikesdepartementet, verksjuristen Elisabet Permvall, Migrationsverket, ordföranden Gunilla Persson, Utlänningsnämnden, och avdelningsdirektören Anna-Karin Waldton, Datainspektionen. Departementssekreteraren Lars Sjögren, Utrikesdepartementet, medverkade som expert t.o.m. den 30 juni 2002. Departementsrådet Lars Påhlsson, Utrikesdepartementet, har medverkat som expert fr.o.m. den 1 juli 2002.

Sekreterare åt utredningen har varit hovrättsassessorn Anna Tansjö.

Utredningen har antagit namnet Utlänningsdatautredningen (UD 2001:05).

Härmed överlämnar utredningen sitt betänkande Utlänningsdatalag (SOU 2003:40).

Utredningens uppdrag är därmed slutfört.

Helsingborg i april 2003

Sigurd Heuman

/Anna Tansjö

Innehåll

Sammanfattning ................................................................		11
Summary ..........................................................................		21
Författningsförslag .............................................................		31
1	Förslag till utlänningsdatalag ..................................................	31
2	Förslag till lag om ändring i sekretesslagen (1980:100).........	37
3	Förslag till lag om ändring i utlänningslagen (1989:529) ......	40

4Förslag till lag om ändring i lagen (2001:82) om svenskt

	medborgarskap.........................................................................	41
5	Förslag till utlänningsdataförordning.....................................	42

6Förslag till förordning om ändring i förordningen (1996:1357) om statlig ersättning för hälso- och

sjukvård till asylsökande..........................................................

7Förslag till förordning om ändring i

utlänningsförordningen (1989:547)........................................

8Förslag till förordning om ändring i förordningen (2001:976) om utbildning, förskoleverksamhet och

	skolbarnomsorg för asylsökande barn m.fl............................	49
BAKGRUND
1	Uppdraget .................................................................	53
1.1	Utredningens direktiv..............................................................	53

Innehåll		SOU 2003:40
1.2	Utredningsarbetet ....................................................................		54
2	Rättslig reglering av behandling av personuppgifter........		55
2.1	Europarådets dataskyddskonvention......................................		56
2.2	OECD:s riktlinjer ....................................................................		56
2.3	Dataskyddsdirektivet ...............................................................		56
2.4	Personuppgiftslagen.................................................................		59
	2.4.1	Allmänt om personuppgiftslagen.................................	59
	2.4.2	Personuppgiftslagens tillämpningsområde..................	60
	2.4.3	Definitioner...................................................................	61
	2.4.4	Förutsättningar för behandling av
		personuppgifter.............................................................	62
	2.4.5	Information och rättelse...............................................	65
	2.4.6	Säkerhet vid behandling................................................	67
	2.4.7	Överföring av personuppgifter till tredje land............	68
	2.4.8	Datainspektionens befogenheter som
		tillsynsmyndighet..........................................................	69
	2.4.9	Anmälan till Datainspektionen m.m............................	69
	2.4.10	Sanktioner......................................................................	70
	2.4.11 Ikraftträdande- och övergångsbestämmelser ..............		71
2.5	Registerförfattningar................................................................		71
2.6	Utlänningsdataförordningen ...................................................		72

3Verksamhet enligt utlännings- och

	medborgarskapslagstiftningen......................................	75
3.1	Verksamhet enligt utlänningslagen .........................................	76
3.2	Verksamhet enligt medborgarskapslagen ...............................	83
3.3	Övrig verksamhet.....................................................................	84

4Behandling av personuppgifter inom

verksamhetsområdet ...................................................		91
4.1 Migrationsverket ......................................................................		92
4.1.1 STAMM ett verksamhetsstödjande datasystem..........		92
4.1.1.1	Allmänt om STAMM......................................	92
4.1.1.2	STAMM:s externa kopplingar........................	96
6

SOU 2003:40			Innehåll
	4.1.2	SIRENE.......................................................................	101
	4.1.3	Myndighetsöverskridande system .............................	102
	4.1.4 DHS – elektronisk dokumenthantering....................		106
	4.1.5 PLUS – System för planering, uppföljning och
		statistik ........................................................................	107
	4.1.6	LIFOS .........................................................................	108
	4.1.7	Fingeravtrycksregistret ..............................................	110
	4.1.8 Exempel på övrig behandling av Migrationsverket...		114
4.2	Utlänningsnämnden...............................................................		115
4.3	Integrationsverket..................................................................		116
4.4	Rikspolisstyrelsen och polismyndigheterna.........................		118
4.5	Utlandsmyndigheterna..........................................................		119
ÖVERVÄGANDEN OCH FÖRSLAG
5	Allmänna utgångspunkter..........................................		123

5.1Användningen av modern informationsteknik och

	personlig integritet.................................................................		123
5.2	Behovet av en författningsreglering......................................		128
5.3	Övergripande principer för utredningens överväganden.....		130
5.4	Särskilda uppgiftssamlingar...................................................		131
	5.4.1	Allmänt om uppgiftssamlingar ..................................	132
	5.4.2 Utredningens överväganden i fråga om
		uppgiftssamlingar........................................................	135
6	Utlänningsdatalag ....................................................		139
6.1	Lagens namn...........................................................................		139
6.2	Tillämpningsområde ..............................................................		139
	6.2.1	Inledning .....................................................................	140
	6.2.2 Vems behandling av personuppgifter skall
		regleras av lagen?.........................................................	141
	6.2.3	Verksamhetsområdet..................................................	149
		6.2.3.1 Verksamhet som lagen skall tillämpas på ....	149
		6.2.3.2 Verksamhet som faller utanför
		tillämpningsområdet ....................................	151
			7

Innehåll			SOU 2003:40
	6.2.4	Närmare om vilken behandling som regleras............		156
6.3	Förhållandet till personuppgiftslagen ...................................			157
6.4	Personuppgiftsansvar .............................................................			161
6.5	När personuppgifter får behandlas och ändamål..................			164
	6.5.1	Allmänt om när personuppgifter får behandlas
		enligt personuppgiftslagen .........................................		165
	6.5.2	Allmänt om ändamål...................................................		166
	6.5.3	Utlänningsdatalagens ändamålsbestämning ..............		168
		6.5.3.1	Allmänt om ändamålsbestämningen ............	168
		6.5.3.2	De särskilda ändamålen.................................	171
6.6	Uppgifter som får behandlas .................................................			177
6.7	Fingeravtrycksregistret ..........................................................			182
6.8	Sökbegrepp och sambearbetning...........................................			184
	6.8.1	Sökbegränsningar........................................................		184
	6.8.2	Sambearbetning...........................................................		189
6.9	Utlämnande på medium för automatiserad behandling.......			190
6.10	Direktåtkomst		........................................................................	198
	6.10.1 Allmänt om direktåtkomst.........................................			198
	6.10.2 Nuvarande direktåtkomst i verksamhet enligt
		utlännings- och medborgarskapslagstiftningen ........		200
	6.10.3 Utredningens överväganden.......................................			201
6.11	Information till den registrerade...........................................			208
	6.11.1 Personuppgiftslagens bestämmelser om
		information..................................................................		209
	6.11.2 Utredningens överväganden.......................................			211
6.12	Säkerheten vid behandling och Datainspektionens
	befogenheter...........................................................................			213
	6.12.1 Personuppgiftslagens bestämmelser om säkerhet
		vid behandling och tillsynsmyndighetens
		befogenheter................................................................		213
	6.12.2 Utredningens överväganden.......................................			215
6.13	Överföring av personuppgifter till tredje land .....................			216
	6.13.1 Personuppgiftslagens bestämmelser om
		överföring av personuppgifter till tredje land ...........		216
	6.13.2 Utredningens överväganden.......................................			218
8

SOU 2003:40		Innehåll
6.14	Anmälan till Datainspektionen m.m.....................................	221
6.15	Bevarande och gallring m.m. .................................................	222
	6.15.1 Grundläggande regler .................................................	223
	6.15.2 Nuvarande förhållanden i verksamhet enligt
	utlännings- och medborgarskapslagstiftningen ........	228
	6.15.3 Utredningens överväganden ......................................	230
	6.15.3.1 Bevarande och gallring................................	230
	6.15.3.2 Avskiljande av manuella personuppgifter
	från automatiserade uppgiftssamlingar .....	234
6.16	Rättelse, skadestånd och straff..............................................	236
	6.16.1 Rättelse och skadestånd..............................................	236
	6.16.2 Straff ............................................................................	238
6.17	Överklagande .........................................................................	239
6.18	Detaljreglering i förordning eller
	myndighetsföreskrifter..........................................................	240
	6.18.1 Begränsningar i fråga om vissa ändamål och
	personuppgiftsslag......................................................	241
	6.18.2 Utlämnande till enskild på medium för
	automatiserad behandling ..........................................	242
	6.18.3 Begränsningar i fråga om direktåtkomst ...................	243
	6.18.4 Begränsningar i fråga om överföring till tredje
	land ..............................................................................	245
	6.18.5 Migrationsverkets fingeravtrycksregister..................	246
	6.18.6 Föreskrifter om säkerhetsåtgärder och
	avskiljande ...................................................................	247
	6.18.7 Ytterligare föreskrifter ...............................................	248
7	Sekretess ................................................................	249
7.1	Inledning.................................................................................	249
7.2	Sekretess i verksamhet enligt utlännings- och
	medborgarskapslagstiftningen ..............................................	250
	7.2.1 Allmänt om sekretess .................................................	250
	7.2.2 Sekretessbestämmelser som gäller i verksamhet
	enligt utlännings- och
	medborgarskapslagstiftningen ...................................	252
	7.2.3 Begränsningar i sekretessen i förhållande till
	andra myndigheter......................................................	260
		9

Innehåll		SOU 2003:40
7.3	Personuppgiftsflödet och sekretess ......................................		264
	7.3.1	Direktåtkomst och sekretess......................................	265
	7.3.2 Annat rutinmässigt utlämnande och sekretess..........		267
	7.3.3 Utlämnande till utländsk myndighet och
		sekretess.......................................................................	269
7.4	Utredningens överväganden..................................................		271
	7.4.1	Inledning......................................................................	271
	7.4.2 Uppgiftslämnande som inte påkallar
		författningsändring .....................................................	272
	7.4.3	Uppgiftsutlämnande som påkallar
		författningsändring .....................................................	274
7.5	Uppgiftsutlämnande till Svenska röda korset ......................		280
8	Genomförandet.........................................................		283
8.1	Ikraftträdande- och övergångsbestämmelser........................		283
8.2	Konsekvensbeskrivningar ......................................................		285
9	Författningskommentar .............................................		287
9.1	Förslaget till utlänningsdatalag..............................................		287
9.2	Förslaget till lag om ändring i sekretesslagen (1980:100)....		301

9.3Förslaget till lag om ändring i utlänningslagen

(1989:529)...............................................................................

303

9.4Förslaget till lag om ändring i lagen (2001:82) om

svenskt medborgarskap..........................................................	304
BILAGOR
Bilaga 1 Kommittédirektiv.............................................................	307
Bilaga 2 ...........................................................................................	315

Sammanfattning

Inledning

Utredningens direktiv innebär ett uppdrag att kartlägga behandlingen av personuppgifter i verksamhet enligt utlännings- och medborgarskapslagstiftningen. Utifrån ett helhetsperspektiv skall utredningen granska regelsystemet och föreslå de författningsändringar och andra åtgärder som behövs för att den rättsliga regleringen skall vara väl anpassad till personuppgiftslagen (1998:204).

Personuppgiftslagen har tillkommit som ett genomförande av Europaparlamentets och rådets direktiv 95/46/EG av den 24 oktober 1995 om skydd för enskilda personer med avseende på behandling av personuppgifter och om det fria flödet av sådana uppgifter (dataskyddsdirektivet).

Utredningens kartläggning har resulterat i slutsatsen att det av flera skäl som redovisas i detta betänkande behövs en särreglering i lag av personuppgiftsbehandlingen inom verksamhetsområdet.

En ny lag om behandling av personuppgifter i verksamhet enligt utlännings- och medborgarskapslagstiftningen

Några utgångspunkter

Utredningens förslag innebär att behandlingen av personuppgifter i verksamhet enligt utlännings- och medborgarskapslagstiftningen författningsregleras i en lag som är anpassad till personuppgiftslagen och dataskyddsdirektivet. Lagen föreslås få namnet utlänningsdatalag. Lagen ersätter den nu gällande förordningen (2001:720) om behandling av personuppgifter i verksamhet enligt utlännings- och medborgarskapslagstiftningen.

En av utredningens grundläggande utgångspunkter är att lagens övergripande syfte skall vara att skydda den enskilde mot otillbör-

Sammanfattning

SOU 2003: 40

liga intrång i dennes personliga integritet. Samtidigt avspeglar lagens bestämmelser en rimlig avvägning mellan enskildas anspråk på integritetsskydd och samhällsintresset av att myndigheterna inom verksamhetsområdet på ett rationellt och effektivt sätt skall kunna använda modern informationsteknik vid fullgörandet av sina uppgifter.

En annan utgångspunkt är att lagen skall vara teknikoberoende, bl.a. för att lämna myndigheterna utrymme att förändra sin datorstruktur och dra nytta av nya tekniska möjligheter som kan komma att bli tillgängliga. Utredningens förslag innebär bl.a. att lagens bestämmelser inte hämmar en framtida övergång till fullständig elektronisk ärendehantering inom myndigheterna.

Slutligen har utredningen, med ett undantag, inte funnit skäl att föreslå särskilda bestämmelser för register eller andra uppgiftssamlingar. Dessa samlingar omfattas således av utlänningsdatalagens allmänna bestämmelser om behandling av personuppgifter. Undantaget gäller Migrationsverkets register över fingeravtryck och fotografier för vilket vissa särbestämmelser föreslås.

Tillämpningsområde

Den föreslagna lagen skall tillämpas vid behandling av personuppgifter i verksamhet enligt utlännings- och medborgarskapslagstiftningen som utförs av Regeringskansliet, Migrationsverket, Utlänningsnämnden, Integrationsverket, Rikspolisstyrelsen och polismyndigheterna samt utlandsmyndigheterna. Verksamhetsområdet preciseras i lagen. För att omfattas av lagens tillämpningsområde skall personuppgiftsbehandlingen företas i verksamhet som gäller

1.utlänningars inresa i Sverige eller i en stat som ingår i Europeiska unionen eller i en stat som är ansluten till Europeiska ekonomiska samarbetsområdet, vistelse eller arbete i Sverige samt utresa från Sverige,

2.mottagande av asylsökande och andra utlänningar,

3.bistånd och bidrag till utlänningar,

4.svenskt medborgarskap,

5.statlig ersättning för kostnader för utlänningar eller

6.bosättning av utlänningar.

SOU 2003:40

Sammanfattning

Verksamhetspreciseringen är uttömmande. Det innebär bl.a. att behandling av personuppgifter i myndigheternas internadministrativa verksamhet inte omfattas av lagens tillämpningsområde. Vidare föreslås en uttrycklig bestämmelse som anger att personuppgiftsbehandlingen som sker med stöd av polisdatalagen (1998:622), lagen (2000:344) om Schengens informationssystem eller rådets förordning (EG) nr 2725/2000 av den 11 december 2000 om inrättandet av Eurodac för jämförelse av fingeravtryck för en effektiv tillämpning av Dublinkonventionen faller utanför lagens tillämpningsområde. Den föreslagna lagen är alltså subsidiär i förhållande till de nämnda regelverken.

Liksom personuppgiftslagen föreslås lagen gälla all helt eller delvis automatiserad behandling av personuppgifter. Lagen är alltså tillämplig oavsett om behandlingen sker t.ex. i stora automatiserade uppgiftssamlingar i gemensamma nätverk eller register, i e-post eller i ett ordbehandlingsprogram i en enskilds tjänstemans separata persondator. Även manuell behandling omfattas av lagens bestämmelser, om personuppgifterna ingår i eller är avsedda att ingå i en strukturerad samling av personuppgifter som är tillgängliga för sökning eller sammanställning enligt särskilda kriterier, dvs. register.

Förhållandet till personuppgiftslagen

Den föreslagna lagen innehåller bara de särbestämmelser, undantag och preciseringar i förhållande till personuppgiftslagen som utredningen bedömt nödvändiga antingen för att arbetsuppgifter inom verksamhetsområdet skall kunna utföras på ett tillfredsställande sätt eller för att garantera den enskilde registrerade ett starkare integritetsskydd än vad som annars följer av personuppgiftslagen.

Personuppgiftslagen skall således gälla vid behandling av personuppgifter i verksamhet enligt utlännings- och medborgarskapslagstiftningen, om inte annat följer av utlänningsdatalagen.

Det sagda innebär bl.a. att personuppgiftslagens bestämmelser om definitioner och om grundläggande krav på behandling av personuppgifter gäller även när personuppgifter behandlas i verksamhet enligt utlännings- och medborgarskapslagstiftningen. Vidare kan nämnas att personuppgiftslagens regler om information som skall lämnas till den registrerade, om säkerheten vid behandling och om tillsynsmyndighetens befogenheter kommer att vara tillämp-

Sammanfattning

SOU 2003: 40

liga. Datainspektionen skall vara tillsynsmyndighet även då personuppgifter behandlas enligt utlänningsdatalagen.

Personuppgiftsansvar

Den myndighet som utför en behandling eller som det åligger att utföra en behandling föreslås vara personuppgiftsansvarig för behandlingen. Migrationsverket föreslås dock vara personuppgiftsansvarigt för den behandling av personuppgifter som företas av Integrationsverket i samband med handläggning av ärenden om statlig ersättning för kostnader för flyktingmottagande m.m. och för utlandsmyndigheternas personuppgiftsbehandling enligt utlänningsdatalagen.

Innebörden av personuppgiftsansvaret framgår av personuppgiftslagen.

När behandling är tillåten

Personuppgifter får, enligt utredningens förslag, samlas in och fortsättningsvis behandlas bara om det är nödvändigt för vissa ändamål. Ändamålen anges konkret i lagen. En personuppgift presumeras vara insamlad för samtliga dessa ändamål. De föreslagna ändamålen är följande.

1.Handläggning av ärenden eller en myndighets biträde i sådana ärenden (ärendehandläggning),

2.kontroll av utlänning i samband med inresa och utresa samt kontroll under vistelsen i Sverige (yttre och inre utlänningskontroll),

3.utförande av arbetsuppgifter som gäller mottagande och bosättning av asylsökande och andra utlänningar (faktisk mottagnings- och bosättningsverksamhet),

4.uppgiftsutlämnande som sker med stöd av lag eller förordning, följer av Sveriges medlemskap i Europeiska unionen eller av uppgiftsskyldighet enligt internationell konvention som Sverige tillträtt eller av riksdagen godkänt avtal med främmande stat eller mellanfolklig organisation (uppgiftsutlämnande),

SOU 2003:40

Sammanfattning

5.återsökning av avgöranden, rättsutredningar, annan rättslig information samt information rörande förhållanden i andra länder som är ägnad att ge vägledning åt handläggning av ärenden (informationsåtersökning),

6.tillsyn, kontroll, uppföljning och planering, eller

7.framställning av statistik.

Utredningen föreslår att alla personuppgifter som är nödvändiga för det ändamål för vilket behandlingen utförs skall få behandlas. Känsliga personuppgifter föreslås emellertid få behandlas endast då det är oundgängligen nödvändigt. Personuppgiftslagens regler om behandling av uppgifter om lagöverträdelser m.m. samt behandling av personnummer skall gälla även vid behandling enligt utlänningsdatalagen.

För Migrationsverkets automatiserade register över fingeravtryck och fotografier som tas med stöd av utlänningslagen (1989:529) föreslås en mer inskränkt ändamålsbestämmelse. Vidare föreslås att regeringen i en förordning som utfärdas i anslutning till lagen bl.a. föreskriver att registret endast skall få innehålla vissa uppgifter.

Sökbegrepp

Av hänsyn till enskildas integritet föreslås vissa begränsningar av myndigheternas möjligheter att söka och sammanställa personuppgifter.

Känsliga personuppgifter som anges i 13 § personuppgiftslagen får enligt förslaget inte användas som sökbegrepp vid behandling för ändamålen ärendehandläggning, yttre och inre utlänningskontroll, faktisk mottagnings- och bosättningsverksamhet och uppgiftsutlämnande. Vid behandling för ändamålet tillsyn, kontroll, uppföljning och planering samt för ändamålet framställning av statistik föreslås att av känsliga personuppgifter enligt 13 § personuppgiftslagen skall endast sådana som avslöjar etniskt ursprung eller rör hälsa få användas som sökbegrepp.

Några motsvarande inskränkningar föreslås inte i fråga om ändamålet informationsåtersökning, eftersom det finns ett påtagligt och befogat behov hos myndigheterna av att kunna söka efter och använda just sådana uppgiftssammanställningar som referensmaterial vid bedömningar i enskilda ärenden.

Sammanfattning

SOU 2003: 40

Vidare föreslås att personuppgifter om lagöverträdelser m.m. inte får användas som sökbegrepp i annat fall än då uppgifterna gäller beslut om förvar enligt utlänningslagen.

Utlämnande av personuppgifter

Personuppgifter får såsom tidigare sagts behandlas genom att lämnas ut. För att skydda enskildas personliga integritet föreslås i lagen vissa bestämmelser som tar sikte på sättet på vilket uppgifter som behandlas enligt utlänningsdatalagen lämnas ut. Motsvarande bestämmelser saknas helt i personuppgiftslagen.

För att motverka de särskilda integritetsrisker som kan vara förknippade med att personuppgifter lämnas ut på medium för automatiserad behandling, t.ex. på en CD-romskiva, innehåller lagen vissa begränsningar för när sådant utlämnande får ske till ett EU-organ eller till utländsk myndighet i ett EU-land eller i ett land som är anslutet till EES. Vidare får sådant utlämnande ske till enskild bara då regeringen har meddelat föreskrifter om det. Sådana föreskrifter bör meddelas i en förordning som utfärdas i anslutning till lagen. Någon regel som begränsar när personuppgifter skall få lämnas ut på medium för automatiserad behandling till en svensk myndighet är inte motiverad.

I lagen föreslås bestämmelser som uttömmande reglerar när personuppgifter får lämnas ut genom direktåtkomst. Direktåtkomst utgör en specialform av utlämnande på medium för automatiserad behandling. Särpräglat för direktåtkomst är att mottagaren kan, genom teknisk koppling till utlämnarens datasystem, själv söka efter och ta del av uppgifter i datasystemet.

Enligt utredningens förslag skall Regeringskansliet, Utlänningsnämnden, Integrationsverket, Rikspolisstyrelsen och polismyndigheterna samt utlandsmyndigheterna för ändamålet ärendehandläggning få ha direktåtkomst till personuppgifter som behandlas automatiserat av Migrationsverket för samma ändamål. Rikspolisstyrelsens och polismyndigheternas direktåtkomst skall också få användas för ändamålet yttre och inre utlänningskontroll.

Utlänningsnämnden och utlandsmyndigheterna föreslås vidare få ha direktåtkomst till Migrationsverkets personuppgifter som behandlas för ändamålet informationsåtersökning.

Annan direktåtkomst än den sagda skall alltså inte vara tillåten. För Centrala studiestödsnämndens del innebär detta att nämnden

SOU 2003:40

Sammanfattning

enligt utredningens förslag inte längre kommer att få ha direktåtkomst till Migrationsverkets datasystem STAMM.

Regeringen ges rätt att meddela föreskrifter som innebär begränsningar i förhållande till vad lagen anger i fråga om direktåtkomst.

Lagens bestämmelser om utlämnande på medium för automatiserad behandling samt direktåtkomst medför ingen förpliktelse för myndigheterna att lämna ut personuppgifter på dessa sätt. Bl.a. följer av Migrationsverkets personuppgiftsansvar att verket kan helt avstå från att medge direktåtkomst, t.ex. om verket finner att personuppgifterna inte skyddas genom godtagbara säkerhetsåtgärder hos den mottagande myndigheten.

Överföring av personuppgifter till tredje land

På grund av verksamhetsområdets utpräglat internationella karaktär anser utredningen att det är nödvändigt med vissa utvidgade möjligheter att överföra personuppgifter till ett land som inte är medlem i EU eller anslutet till EES, dvs. till tredje land, än vad som följer av personuppgiftslagen. Från personuppgiftslagen avvikande bestämmelser om sådan överföring föreslås därför.

Bevarande av personuppgifter m.m.

Personuppgifter i verksamhet enligt utlännings- och medborgarskapslagstiftningen skall enligt förslaget bevaras eller gallras i enlighet med arkivlagens (1990:782) bestämmelser. Det behövs ingen bestämmelse om det i utlänningsdatalagen. En särregel föreslås dock för Migrationsverkets fingeravtrycksregister, som skall gallras enligt nuvarande ordning. Den gallringsbestämmelsen föreslås införas i en förordning som utfärdas i anslutning till utlänningsdatalagen.

För att skydda enskildas personliga integritet är det emellertid viktigt att inte fler uppgifter än nödvändigt är tillgängliga för ett stort antal personer i myndighetsinterna eller myndighetsöverskridande datorsystem. Utredningen föreslår därför att personuppgifter i automatiserade uppgiftssamlingar, som används i myndigheternas löpande kärnverksamhet, skall avskiljas från dessa uppgiftssamlingar när de inte längre behövs i denna verksamhet. För verksamheten inaktuella men ändå integritetskänsliga person-

Sammanfattning

SOU 2003: 40

uppgifter skall alltså genom avskiljandet skyddas mot onödig åtkomst. Behörighet för åtkomst till avskilda uppgifter skall därför bara tillåtas dem som är i oundgängligt behov av uppgifterna för att kunna utföra sina arbetsuppgifter, t.ex. verksarkivarier.

Rättelse, skadestånd och överklagande

Personuppgiftslagens bestämmelser om rättelse av personuppgifter och om skadestånd skall gälla vid behandling av personuppgifter enligt utlänningsdatalagen. En hänvisning till personuppgiftslagens regler om rättelse och skadestånd görs.

En myndighets beslut om rättelse eller om information enligt 26 § personuppgiftslagen skall kunna överklagas hos allmän förvaltningsdomstol. Prövningstillstånd skall krävas vid överklagande till kammarrätten. Andra beslut får inte överklagas.

Ytterligare bestämmelser

I lagen föreskrivs att regeringen – utöver bemyndiganden rörande fingeravtrycksregistret och utlämnande till enskild på medium för automatiserad behandling – får meddela ytterligare föreskrifter som innebär begränsningar i förhållande till lagens bestämmelser såvitt avser ändamål, personuppgiftskategorier, sökbegrepp, direktåtkomst och överföring till tredje land. Vidare föreslås att regeringen får meddela föreskrifter om avskiljande av personuppgifter och säkerhetsåtgärder till skydd för personuppgifter.

Slutligen föreslås att regeringen i vissa fall får delegera föreskriftsrätten till annan myndighet.

Ett förslag till förordning som utfärdas i anslutning till lagen lämnas.

Sekretess

Förslaget till utlänningsdatalag syftar till att personuppgifter skall kunna utlämnas i motsvarande omfattning som i dag sker. De personuppgifter som behandlas i verksamhet enligt utlännings- och medborgarskapslagstiftningen omfattas emellertid i stor utsträckning av sekretess. Främst är det utlänningssekretess enligt 7 kap.

SOU 2003:40

Sammanfattning

14 § sekretesslagen (1980:100) som är tillämplig på personuppgifterna.

I utredningens kartläggning har framkommit att sekretessbelagda uppgifter bl.a. utbyts i stor omfattning och rutinmässigt mellan myndigheter som är aktiva inom verksamhetsområdet. För en väsentlig del av uppgiftsutbytet åberopas den s.k. generalklausulen i 14 kap. 3 § sekretesslagen till stöd för utlämnandet. Enligt utredningens uppfattning är denna ordning inte helt tillfredsställande. Utredningen har därför funnit skäl att föreslå vissa sekretessbrytande bestämmelser, nämligen följande.

I utlänningslagen införs en sekretessbrytande uppgiftsskyldighet mellan Migrationsverket, Utlänningsnämnden, Rikspolisstyrelsen och polismyndigheterna samt utlandsmyndigheterna i fråga om uppgifter som rör utlännings eller annan enskilds personliga förhållanden, om uppgifterna är nödvändiga för den mottagande myndighetens verksamhet enligt utlänningslagen. En motsvarande uppgiftsskyldighet mellan Migrationsverket, Utlänningsnämnden och utlandsmyndigheterna införs i lagen (2001:82) om svenskt medborgarskap. Vidare föreslås författningsreglerad skyldighet för Migrationsverket att till landsting och kommuner lämna vissa angivna uppgifter om utlänningar.

Därutöver har kartläggningen av personuppgiftsbehandlingen påvisat behov av ytterligare författningsförslag för att lösa några sekretessproblem.

Således föreslås att bestämmelsen i 7 kap. 14 § fjärde stycket sekretesslagen ändras genom att den anpassas till den nya EG- förordning som ersatt det avtal som den nuvarande lydelsen av bestämmelsen gäller, den s.k. Dublinkonventionen. Vidare föreslås att det i samma paragraf införs en bestämmelse om att sekretess inte hindrar att särskilt angivna uppgifter om utlänning i vissa fall lämnas till Svenska röda korset. Slutligen föreslås att personuppgiftslämnandet till utländska myndigheter enligt Schengenkonventionens rådfrågningssystem författningsregleras i utlänningsförordningen (1989:547).

Summary

Introduction

The assignment given to the Commission by its terms of reference has been to survey the processing of personal data in activities under the legislation on aliens and citizenship. Taking a comprehensive view, the Commission is instructed to examine the system of regulations and propose legislative amendments and other measures needed to bring the legal regulations fully into line with the Personal Data Act (1998:204).

The Personal Data Act came into being in transposition of Directive 95/46/EC of the European Parliament and of the Council of 24 October 1995 on the protection of individuals with regard to the processing of personal data and on the free movement of such data (generally known as the Data Protection Directive).

The survey undertaken by the Commission has led to the conclusion that for a number of reasons presented in this report, special provisions need to be introduced in the legislation to regulate the processing of personal data in this area of activities.

A new act on the processing of personal data in activities under the legislation on aliens and citizenship

Some points of departure

The proposals made by the Commission are to the effect that the processing of personal data in activities under the legislation on aliens and citizenship should be legally regulated by an act adapted to the provisions of the Personal Data Act and the Data Protection Directive. The name proposed for the act is the Personal Data of Aliens Act. This act will replace the current Ordinance on the

Summary

SOU 2003:40

Processing of Personal Data in Activities under the Legislation on Aliens and Citizenship (2001:720).

One of the fundamental points of departure for the Commission has been that the overall purpose of the act must be to protect individuals against undue intrusions into their personal integrity. At the same time, the provisions of the act reflect a reasonable balance between the claims of individuals to protection of their integrity and the interest of society in the ability of public authorities in this area to make rational and effective use of modern information technology in the pursuit of their duties.

Another point of departure is that the act must not be tied to any particular technology, one consideration here being to leave the authorities free to make changes in their computer organisation and benefit from any new technology that may become available. One effect of the Commission’s proposal will be that the provisions of the act will not stand in the way of a future switch to a wholly electronic processing of business by the public authorities.

Finally, with one exception, the Commission has not found cause to propose special provisions for registers or other compilations of data. These compilations will therefore be covered by the general provisions of the Personal Data of Aliens Act concerning processing of personal data. The exception concerns the register of fingerprints and photographs kept by the Swedish Migration Board, for which certain special provisions are proposed.

Scope

The proposed act is to apply to the processing of personal data in activities under the legislation on aliens and citizenship that are carried out by the Government Offices, the Swedish Migration Board, the Aliens Appeals Board, the Swedish Integration Board, the National Police Board and police authorities, and Swedish missions abroad. The area of activity will be defined more precisely in the act. In order to come under the scope of the Act, the processing of personal data must occur in activities relating to

1.the entry of aliens into Sweden or some other state that belongs to the European Union or the European Economic Area, residence or work in Sweden, or exit from Sweden,

2.the reception of asylum seekers and other aliens,

3.aid and allowances paid to aliens,

SOU 2003:40

Summary

4.Swedish citizenship,

5.compensation from central government for costs relating to aliens, or

6.the taking up of residence by aliens.

This specification of activities is exhaustive. This implies, among other things, that the processing of personal data in the course of internal administrative activities at public authorities does not come under the scope of the act. Furthermore, an explicit provision is proposed stating that processing of personal data under the Police Data Protection Act (1998:622), the Act on the Schengen Information System (2000:344) or the Council Regulation (EC) No 2725/2000 of 11 December 2000 concerning the establishment of ‘Eurodac’ for the comparison of fingerprints for the effective application of the Dublin Convention, shall fall outside the scope of the act. Thus, the proposed act shall be subsidiary to the statutes mentioned.

Like the Personal Data Act, it is proposed that the new act should apply to all wholly or partially computerised processing of personal data. The act will therefore apply regardless of whether processing occurs, for example, in large computerised compilations of data existing in shared networks or registers, in e-mail or in a word processing program in an individual official’s separate personal computer. Manual processing will also come under the provisions of the Act, if the personal data is included or is intended for inclusion in an organised collection of personal data which is accessible for searching or compilation according to specific criteria, i.e. a register.

Relationship to the Personal Data Act

The proposed act will contain only such special provisions, exemptions and clarifications in relation to the Personal Data Act as the Commission has deemed necessary, either to enable working duties in the area of activities to be carried out in a satisfactory manner or to guarantee the individuals registered more effective protection of their personal integrity than they would otherwise receive under the Personal Data Act.

Summary

SOU 2003:40

The Personal Data Act shall thus apply to the processing of personal data in activities under the legislation on aliens and citizenship, unless otherwise indicated in the Personal Data of Aliens Act.

One of the implications of these observations is that the provisions of the Personal Data Act on definitions and fundamental requirements as regards the processing of personal data shall also apply when personal data are processed in activities under the legislation on aliens and citizenship. Further, it may be observed that the regulations given in the Personal Data Act on the information that must be provided to registered individuals, on security aspects of data processing and on the powers of the supervisory authority will be applicable. The Data Inspection Board will be the supervisory authority when personal data is processed under the Personal Data of Aliens Act, as in other cases.

Controller of personal data

It is proposed that the authority undertaking processing or responsible for doing so should be controller of personal data in the case. However, it is proposed that the Swedish Migration Board should be controller of personal data in cases where personal data is processed by the Swedish Integration Board in connection with applications for compensation from central government for costs involved in receiving refugees, etc., and in cases where Swedish missions abroad process personal data under the Personal Data of Aliens Act.

What is meant by controller of personal data is made clear in the Personal Data Act.

When processing is permitted

The Commission proposes that personal data should be subject to collection and further processing only if this is necessary for certain purposes. The purposes will be specified in the act. Any piece of personal data collected is presumed to be available for all these purposes. The proposed purposes are as follows:

1.handling of cases or an authority’s assistance in such cases (case handling),

SOU 2003:40

Summary

2.control of aliens in connection with entry and exit and control during residence in Sweden (external and internal control of aliens),

3.performance of working duties relating to the reception and settling of asylum seekers and other aliens (actual reception and settling activities),

4.release of information pursuant to acts or ordinances, or in accordance with Sweden’s membership of the European Union or Sweden’s obligation to supply information under an international convention to which Sweden has acceded or an agreement with a foreign state or international organisation that has been approved by the Riksdag (release of information),

5.enquiries about decisions, court reports, other legal information and information concerning circumstances in other countries that is likely to be of guidance in case handling (information enquiries),

6.supervision, monitoring, follow-up and planning, or

7.production of statistics.

The Commission proposes that all personal data that is necessary for the purpose for which the processing is being undertaken shall be subject to processing. However, it is proposed that sensitive personal data should only be subject to processing if absolutely necessary. The regulations given in the Personal Data Act concerning processing of data on violations of the law, etc., and processing of personal identity numbers shall also apply to processsing under the Personal Data of Aliens Act.

Where the Swedish Migration Board’s computerised register of fingerprints and photographs taken under the authority of the Aliens Act (1989:529) is concerned, it is proposed that the purpose be defined more restrictively. Further, it is proposed that the Government direct in an ordinance issued in conjunction with the new act that the register shall only be permitted to contain certain types of information.

Search terms

Out of respect for individual integrity, certain restrictions are proposed on the freedom of public authorities to search for and compile personal data.

Summary

SOU 2003:40

Under the proposal, there will be a ban on sensitive personal data, such as are specified in Section 13 of the Personal Data Act, being used as search terms in data processing for purposes of case handling, external and internal control of aliens, actual reception and settling activities and release of information. In data processing for the purpose of supervision, monitoring, follow-up and planning and for the purpose of production of statistics, it is proposed that the only types of sensitive personal data specified in Section 13 of the Personal Data Act that may be used as a search term shall be data that reveal ethnic origin or have to do with health.

No equivalent restrictions are proposed as regards the purpose of information enquiries, since the authorities have an evident and legitimate need to be able to search for and use precisely these types of compilations of data as reference material when assessing individual cases.

Further, it is proposed that personal data relating to violations of the law, etc., should not be eligible for use as a search term unless such data refers to decisions ordering detention under the Aliens Act.

Release of personal data

As mentioned above, one form the processing of personal data may take is release. In order to protect individual personal integrity certain provisions are proposed in the act that target the manner in which data processed under the Personal Data of Aliens Act is released. There are no equivalent provisions in the Personal Data Act.

In order to neutralise the special integrity risks that can be associated with the release of personal data on media for computerised data processing, such as a CD-ROM, the act will incorporate certain restrictions on when data may be released in any such manner to an EU institution or a foreign authority in an EU or EEA country. Further, data may only be released in such a manner to an individual when the Government has issued directions to this effect. Such directions should be issued in an ordinance promulgated with reference to the act. There are no grounds for regulations restricting the release of personal data on media for computerised data processing to a Swedish public authority or agency.

SOU 2003:40

Summary

Provisions are proposed in the act that will exhaustively regulate the release of personal data by direct access. Direct access represents a special form of data release on media for computerised data processing. The special characteristic of direct access is that recipients themselves can search for and study data in the provider’s data system via a technical connection with that system.

Under the Commission’s proposal, for the purpose of case handling, the Government Offices, the Aliens Appeals Board, the Swedish Integration Board, the National Police Board and police authorities, and Swedish missions abroad will be allowed direct access to personal data processed in computerised systems by the Swedish Migration Board for the same purpose. The National Police Board and police authorities will also be permitted to use their direct access facilities for the purpose of external and internal control of aliens.

Furthermore, it is proposed that the Aliens Appeals Board and Swedish missions abroad should have direct access to personal data kept by the Swedish Migration Board which is processed for the purpose of information enquiries.

No direct access other than stated here shall therefore be permitted. One consequence of this for the National Board of Student Aid is that under the Commission’s proposal it will no longer have direct access to the Swedish Migration Board’s STAMM data system.

Where direct access is concerned, the Government has the right to issue more restrictive regulations than those specified in the act.

The provisions of the act regarding the release of data on media for computerised data processing and direct access entail no obligation for the authorities to release personal data by these means. In its role as controller of personal data, for example, the Swedish Migration Board may completely refrain from permitting direct access, e.g. if the Board finds that the personal data will not be protected by acceptable security measures at the receiving authority.

Transfer of personal data to a third country

Because of the highly international nature of the area of activity, the Commission considers it necessary to provide greater freedom in certain respects to transfer personal data to a country that is not a member of the EU or the EEA, i.e. to a third country, than is

Summary

SOU 2003:40

allowed under the Personal Data Act. Provisions concerning such transfers are therefore proposed that diverge from the provisions of the Personal Data Act.

Retention of personal data, etc.

Under the proposal, records of personal data occurring in activities under the legislation on aliens and citizenship shall be kept or eliminated in accordance with the provisions of the Archives Act (1990:782). No pertinent provisions are required in the Personal Data of Aliens Act. However, a special regulation is proposed for the register of fingerprints kept by the Swedish Migration Board, from which records shall be eliminated in accordance with current regulations. It is proposed that this record elimination provision be incorporated in an ordinance to be issued in conjunction with the Personal Data of Aliens Act.

In order to protect individual personal integrity, however, it is important that no more data than necessary is accessible by a large number of persons in intraor inter-authority computer systems. The Commission therefore proposes that personal data in computerised data compilations that are used in the authorities’ day-to- day core activities shall be separated from these data compilations when they are no longer needed for these activities. Thus, personal data that is not of current interest but is nevertheless sensitive from the point of view of personal integrity shall be protected against unnecessary access. Authority to access the separated data shall therefore only be granted to those who have an unavoidable need of the data to be able to perform their working duties, e.g. authority archivists.

Rectification, damages and appeals

The provisions of the Personal Data Act regarding rectification of personal data and damages shall apply to the processing of personal data under the Personal Data of Aliens Act. Reference is made to the regulations concerning rectification and damages in the Personal Data Act.

It shall be possible to appeal to an administrative court against decisions made by an authority relating to rectification or to pro-

SOU 2003:40

Summary

vision of information under Section 26 of the Personal Data Act. Appeals to the Administrative Court of Appeal shall only be allowed if review dispensation has been granted. No other decisions are subject to appeal.

Additional provisions

It shall be prescribed in the act that – over and above the matter of authorisation concerning the register of fingerprints and release of data to private individuals on media for computerised processing – the Government may issue additional regulations that are more restrictive than the provisions of the act itself as regards purposes, categories of personal data, search terms, direct access and the transfer of data to a third country. It is further proposed that the Government may issue regulations on the separation of personal data and on security measures to protect personal data.

Finally, it is proposed that in certain cases the Government should delegate the right to issue regulations to some other authority.

A proposal is made for an ordinance to be issued in conjunction with the act.

Secrecy

The proposed Personal Data of Aliens Act aims to allow the release of personal data to an extent corresponding to the present situation. However, the personal data processed in activities under the legislation on aliens and citizenship is largely subject to secrecy. In particular, secrecy pertaining to aliens under Chapter 7 Section 14 of the Secrecy Act (1980:100) is applicable to personal data.

The examination undertaken by the Commission has revealed, among other things, that large-scale, routine exchanges of secret data take place between authorities active in this area. In a substantial proportion of cases, the general clause in Chapter 14 Section 3 of the Secrecy Act is adduced in support of the release of data. In the opinion of the Commission, this state of affairs is not wholly satisfactory. The Commission has therefore found reason to propose certain provisions on limitations of secrecy, as follows.

A secrecy-limiting obligation to provide information shall be introduced in the Aliens Act, applying between the Swedish Migration

Summary

SOU 2003:40

Board, the Aliens Appeals Board, the National Police Board and police authorities, and Swedish missions abroad, with reference to data relating to the personal circumstances of an alien or other individual, if these data are necessary for the activities conducted by the receiving authority under the Aliens Act. A corresponding duty to provide information, applying between the Swedish Migration Board, the Aliens Appeals Board and Swedish missions abroad, shall be introduced in the Swedish Citizenship Act (2001:82). A further proposal is a statutory obligation for the Swedish Migration Board to provide certain specific information about aliens to county and municipal councils.

Over and above these proposals, the examination of the processing of personal data has demonstrated a need for additional legislative proposals aimed at solving certain problems of secrecy.

Thus, it is proposed that the provision in Chapter 7, Section 14, fourth paragraph of the Secrecy Act should be amended by adapting it to the new EC regulation that has replaced the agreement to which the present wording of the provision refers, the “Dublin Convention”. It is further proposed that a provision be introduced in the same section to the effect that secrecy shall not prevent specially stipulated information about an alien being released to the Swedish Red Cross in certain cases. Finally, it is proposed that statutory provision should be made in the Aliens Ordinance (1989:547) for the release of personal data to foreign authorities under the Schengen Convention’s consultation system.

Författningsförslag

1Förslag till utlänningsdatalag

Härigenom föreskrivs följande.

Lagens tillämpningsområde

1 § Denna lag tillämpas vid behandling av personuppgifter i Regeringskansliets, Migrationsverkets, Utlänningsnämndens, Integrationsverkets, Rikspolisstyrelsens och polismyndigheternas samt utlandsmyndigheternas verksamhet som gäller

2.mottagande av asylsökande och andra utlänningar,

3.bistånd och bidrag till utlänningar,

4.svenskt medborgarskap,

5.statlig ersättning för kostnader för utlänningar, eller

6.bosättning av utlänningar.

Lagen gäller endast om behandlingen är helt eller delvis automatiserad eller om personuppgifterna ingår i eller är avsedda att ingå i en strukturerad samling av personuppgifter som är tillgängliga för sökning eller sammanställning enligt särskilda kriterier.

2 § Lagen tillämpas inte då personuppgifter behandlas med stöd av polisdatalagen (1998:622), lagen (2000:344) om Schengens informationssystem eller rådets förordning (EG) nr 2725/2000 av den 11 december 2000 om inrättande av Eurodac för jämförelse av fingeravtryck för en effektiv tillämpning av Dublinkonventionen1.

1 EGT L 316, 15.12.2000 (Celex 32000R2725)

Författningsförslag

SOU 2003:40

Lagens förhållande till personuppgiftslagen

3 § Personuppgiftslagen (1998:204) gäller vid behandling av personuppgifter i verksamhet enligt 1 § första stycket, om inte annat följer av denna lag eller föreskrifter som har meddelats med stöd av denna lag eller annars av 2 § personuppgiftslagen.

Personuppgiftsansvar

4 § Migrationsverket är personuppgiftsansvarigt för Integrationsverkets och utlandsmyndigheternas behandling av personuppgifter för ändamål som anges i 5 § första stycket 1. I övrigt är den myndighet som anges i 1 § personuppgiftsansvarig för den behandling av personuppgifter som myndigheten utför eller som det åligger myndigheten att utföra.

När behandling av personuppgifter är tillåten

5 § Personuppgifter får behandlas om det är nödvändigt för

1.handläggning av ärenden eller en myndighets biträde i sådana ärenden,

2.kontroll av utlänning i samband med inresa och utresa samt kontroll under vistelsen i Sverige,

3.utförande av arbetsuppgifter som gäller mottagande och bosättning av asylsökande och andra utlänningar,

6.tillsyn, kontroll, uppföljning och planering, eller

7.framställning av statistik.

Personuppgifter som behandlas enligt lagen skall anses insamlade för samtliga ändamål som anges i första stycket, om inte annat angetts vid insamlingen.

SOU 2003:40

Författningsförslag

6 § Känsliga personuppgifter som anges i 13 § personuppgiftslagen (1998:204) får behandlas om uppgifterna är oundgängligen nödvändiga för syftet med behandlingen.

7 § Behandling av personuppgifter som är tillåten enligt denna lag får utföras även om den registrerade motsätter sig behandlingen.

8 § Migrationsverket får föra ett automatiserat register över fingeravtryck och fotografier (fingeravtrycksregister) som tas med stöd av 5 kap. 5 § utlänningslagen (1989:529). Registret får endast användas vid prövning av ansökningar om uppehållstillstånd där skäl som avses i 3 kap. 2 eller 3 § utlänningslagen åberopas samt i ärenden om avvisning och utvisning. Närmare föreskrifter om registret meddelas av regeringen.

Sökbegrepp

9 § Känsliga personuppgifter som anges i 13 § personuppgiftslagen (1998:204) får inte användas som sökbegrepp vid behandling av personuppgifter för ändamål som anges i 5 § första stycket 1–4. Vid behandling för ändamål som anges i 5 § första stycket 6 eller 7 får inga andra känsliga personuppgifter än sådana som avslöjar etniskt ursprung eller rör hälsa användas som sökbegrepp.

Personuppgifter om lagöverträdelser m.m. som anges i 21 § personuppgiftslagen får inte användas som sökbegrepp. Beslut om förvar enligt utlänningslagen (1989:529) får dock användas som sökbegrepp.

Begränsningar i fråga om utlämnande av personuppgifter på medium för automatiserad behandling

10 § Personuppgifter får lämnas ut på medium för automatiserad behandling till en institution inrättad av Europeiska unionen eller en utländsk myndighet i en stat som ingår i Europeiska unionen eller som är ansluten till Europeiska ekonomiska samarbetsområdet endast om det är nödvändigt för ändamål som anges i 5 § första stycket 1, 2, 4 eller 5.

Författningsförslag

SOU 2003:40

Personuppgifter får lämnas ut till enskild på medium för automatiserad behandling endast om regeringen har meddelat föreskrifter om det.

Direktåtkomst m.m.

11 § För ändamål som anges i 5 § första stycket 1 får Regeringskansliet, Utlänningsnämnden, Integrationsverket, Rikspolisstyrelsen och polismyndigheterna samt utlandsmyndigheterna ha direktåtkomst till personuppgifter som behandlas automatiserat av Migrationsverket för samma ändamål. Rikspolisstyrelsens och polismyndigheternas direktåtkomst gäller även för ändamål som anges i 5 § första stycket 2.

Direktåtkomsten får inte avse andra uppgifter än sådana som är oundgängligen nödvändiga för att arbetsuppgifter som ankommer på myndigheten skall kunna utföras.

12 § För ändamål som anges i 5 § första stycket 5 får Utlänningsnämnden och utlandsmyndigheterna ha direktåtkomst till personuppgifter som behandlas automatiserat av Migrationsverket för samma ändamål.

13 § Behörighet för åtkomst till personuppgifter som behandlas automatiserat får endast ges till de personer som behöver tillgång till uppgifterna för att kunna utföra sina arbetsuppgifter.

Sekretess

14 § I sekretesslagen (1980:100) finns begränsningar i fråga om utlämnande av personuppgifter som behandlas i verksamhet som anges i 1 § första stycket.

Överföring av personuppgifter till tredje land

15 § Personuppgifter får föras över till en stat som inte ingår i Europeiska unionen och heller inte är ansluten till Europeiska ekonomiska samarbetsområdet (tredje land), om den registrerade samtycker till det eller om det är oundgängligen nödvändigt för ändamål som anges i 5 § första stycket 1, 2, 4 eller 5.

SOU 2003:40

Författningsförslag

Avskiljande

16 § Personuppgifter som behandlas automatiserat för ändamål som anges i 5 § första stycket 1–3 skall avskiljas från register, ärendehanteringssystem eller andra automatiserat behandlade uppgiftssamlingar, som används i löpande verksamhet, då uppgifterna inte längre är nödvändiga för denna verksamhet.

Behörighet för åtkomst till avskilda personuppgifter får endast ges till de personer som är i oundgängligt behov av uppgifterna för att kunna utföra sina arbetsuppgifter.

Regeringen, eller den myndighet regeringen bestämmer, meddelar närmare föreskrifter om avskiljande av personuppgifter som behandlas av Integrationsverket och utlandsmyndigheterna under Migrationsverkets personuppgiftsansvar.

Rättelse och skadestånd

17 § Bestämmelserna i personuppgiftslagen (1998:204) om rättelse och skadestånd gäller vid behandling av personuppgifter enligt denna lag eller författningar som har meddelats i anslutning till denna lag.

Överklagande

18 § En myndighets beslut om rättelse eller om avslag på ansökan om information enligt 26 § personuppgiftslagen (1998:204) får överklagas hos allmän förvaltningsdomstol. Andra beslut enligt denna lag får inte överklagas.

Prövningstillstånd krävs vid överklagande till kammarrätten.

Ytterligare föreskrifter

19 § Regeringen meddelar föreskrifter som innebär begränsningar, utöver vad som följer av denna lag, av de ändamål för vilka personuppgifter får behandlas, av vilka slags personuppgifter som får behandlas, av de sökbegrepp som får användas, av vilken direktåtkomst som får förekomma och av i vilken utsträckning personuppgifter får överföras till tredje land.

Författningsförslag

SOU 2003:40

Regeringen får överlåta åt annan myndighet att för behandling av personuppgifter som utförs av Integrationsverket och utlandsmyndigheterna under Migrationsverkets personuppgiftsansvar meddela föreskrifter om sådana begränsningar som avses i första stycket och som gäller ändamål, personuppgiftsslag eller överföring till tredje land.

20 § Regeringen meddelar närmare föreskrifter om säkerhetsåtgärder till skydd för personuppgifter som behandlas.

Regeringen får överlåta åt annan myndighet att meddela sådana föreskrifter för behandling av personuppgifter som utförs av Integrationsverket och utlandsmyndigheterna under Migrationsverkets personuppgiftsansvar.

1.Denna lag träder i kraft den ….

2.Med undantag för bestämmelsen i 15 § skall lagens bestämmelser inte börja tillämpas förrän den 1 oktober 2007 i fråga om sådan manuell behandling av personuppgifter som påbörjats före den

24oktober 1998 eller manuell behandling som utförs för ett visst bestämt ändamål, om manuell behandling för ändamålet påbörjats före den 24 oktober 1998.

3.Bestämmelsen om skadestånd skall tillämpas endast om den omständighet som yrkandet hänför sig till har inträffat efter det att lagen har trätt i kraft beträffande den aktuella behandlingen. I annat fall tillämpas äldre bestämmelser.

SOU 2003:40

Författningsförslag

2Förslag till

lag om ändring i sekretesslagen (1980:100)

Härigenom föreskrivs att 7 kap. 14 § sekretesslagen (1980:100)1 skall ha följande lydelse.

Nuvarande lydelse

Föreslagen lydelse

7 kap.

14 §2

Sekretess gäller för uppgift som rör utlänning, om det kan antas att röjande av uppgiften skulle medföra fara för att någon utsätts för övergrepp eller annat allvarligt men som föranleds av förhållandet mellan utlänningen och utländsk stat eller myndighet eller organisation av utlänningar.

Utöver vad som följer av första stycket gäller sekretess i verksamhet för kontroll över utlänningar och i ärende om svenskt medborgarskap för uppgift om enskilds personliga förhållanden, om det inte står klart att uppgiften kan röjas utan att den enskilde eller någon närstående till den enskilde lider men. I verksamhet för kontroll över utlänningar gäller sekretess också för anmälan eller annan utsaga av enskild, om det kan antas att fara uppkommer för att den som har gjort anmälan eller avgivit utsagan eller någon närstående till honom eller henne utsätts för våld eller annat allvarligt men om uppgiften röjs Beträffande beslut i ärende som avses i detta stycke gäller sekretessen dock endast för uppgifter i skälen.

Utöver vad som följer av första stycket gäller sekretess hos Integrationsverket

1.i ärende om statlig ersättning för kostnader för mottagande av flyktingar och andra skyddsbehövande som beviljats uppehållstillstånd och av personer som beviljats uppehållstillstånd på grund av anknytning till sådana utlänningar och

2.i verksamhet som avser medverkan till bosättning för personer

som omfattas av 1,

för uppgift om enskilds personliga förhållanden, om det kan antas att den enskilde eller någon närstående till den enskilde lider men om uppgiften röjs.

1 Lagen omtryckt 1992:1474

2 Senaste lydelse 2002:1124

Författningsförslag SOU 2003:40

Utöver vad som följer av första stycket gäller sekretess hos Totalförsvarets pliktverk och Migrationsverket i verksamhet som avser mottagande och vidarebefordran av upplysningar m.m. om krigsfångar och andra skyddade personer som avses i Genèvekonventionerna den 12 augusti 1949 rörande skydd för offren i internationella väpnade konflikter och tilläggsprotokollen till konventionerna, för uppgift om enskilds vistelseort, hälsotillstånd eller andra personliga förhållanden, om det inte står klart att uppgiften kan röjas utan att den enskilde eller någon närstående till den enskilde lider men.

Sekretess gäller, i den mån	Sekretess gäller för uppgifter
riksdagen har godkänt avtal om	som avses i första och andra
detta med främmande stat eller	styckena och som en myndighet
mellanfolklig organisation, för	fått enligt rådets förordning
uppgifter som avses i första och	(EG) nr 343/2003 av den 18
andra styckena och som en myn-	februari 2003 om kriterier och
dighet fått enligt avtalet. Före-	mekanismer för att avgöra vilken
skrifterna i 14 kap. 1–3 §§ får i	medlemsstat som har ansvaret för
fråga om denna sekretess inte	att pröva en asylansökan som en
tillämpas i strid med avtalet.	medborgare i tredje land har gett
	in i någon medlemsstat3. Före-
	skrifterna i 14 kap. 1–3 §§ får i
	fråga om denna sekretess inte
	tillämpas i strid med förord-
	ningen.

I fråga om uppgift i allmän handling gäller sekretessen i högst femtio år.

Utan hinder av sekretess enligt första eller fjärde stycket eller enligt 2 kap. 1 eller 2 § får uppgifter som avses i fjärde stycket lämnas till den nationella upplysningsbyrån enligt vad som föreskrivs i 8 kap. 13 § lagen (1994:1720) om civilt försvar och förordningen (1996:1475) om skyldighet att lämna uppgifter m.m. om krigsfångar och andra skyddade personer.

Utan hinder av sekretess enligt andra stycket får Migrationsverket lämna uppgift om enskilds namn, födelsedatum och adress till Svenska röda korset i angelägenhet som gäller sådan verksamhet för återförening av splittrade

3 EGT L 050, 25.2.2003 s. 1 (Celex 32003R0343)

SOU 2003:40

Författningsförslag

familjer som avses i artikel 74 i tilläggsprotokoll I till Genèvekonventionerna den 12 augusti 1949 rörande skydd för offren i internationella väpnade konflikter eller som gäller efterforskning i fredstid av personer som har förlorat kontakten med närstående på grund av krig, väpnad konflikt eller naturkatastrof.

Denna lag träder i kraft den .…

Äldre bestämmelse gäller fortfarande i fråga om uppgifter som avses i paragrafens första och andra stycke och som en myndighet fått enligt ett av riksdagen godkänt avtal med främmande stat eller mellanfolklig organisation.

Författningsförslag

SOU 2003:40

3Förslag till

lag om ändring i utlänningslagen (1989:529)

Härigenom föreskrivs att det i utlänningslagen (1989:529)1 införs en ny paragraf, 11 kap. 6 a §, av följande lydelse.

Nuvarande lydelse

Föreslagen lydelse

11 kap.

6 a §

Migrationsverket, Utlänningsnämnden, Rikspolisstyrelsen och polismyndigheterna skall till varandra lämna uppgifter som rör utlännings eller annan enskilds personliga förhållanden, om uppgifterna är nödvändiga för den mottagande myndighetens verksamhet enligt denna lag.

Första stycket gäller även utlandsmyndighet som efter bemyndigande av Migrationsverket handlägger ärenden om viseringar, uppehållstillstånd och arbetstillstånd.

Denna lag träder i kraft den ….

1 Lagen omtryckt 1994:515

SOU 2003:40

Författningsförslag

4Förslag till

lag om ändring i lagen (2001:82) om svenskt medborgarskap

Härigenom föreskrivs att det i lagen (2001:82) om svenskt medborgarskap införs en ny paragraf, 29 §, av följande lydelse.

Nuvarande lydelse

Föreslagen lydelse

29 §

Migrationsverket och Utlänningsnämnden skall till varandra lämna uppgifter som rör utlännings eller annan enskilds personliga förhållanden, om uppgifterna är nödvändiga för den mottagande myndighetens verksamhet enligt denna lag.

Första stycket gäller även utlandsmyndighet som utreder ärenden om svenskt medborgarskap.

Denna lag träder i kraft den ….

Författningsförslag

SOU 2003:40

5Förslag till utlänningsdataförordning

Härigenom föreskrivs följande.

Inledning

1 § I denna förordning ges kompletterande föreskrifter om sådan behandling av personuppgifter som omfattas av utlänningsdatalagen (0000:000).

I 10 och 11 §§ finns bestämmelser om Migrationsverkets fingeravtrycksregister.

Personuppgifter om vissa personkategorier m.m.

2 § För ändamål som anges i 5 § första stycket 1–3 utlänningsdatalagenlagen (0000:000) får personuppgifter om anhöriga, kontakt- eller referenspersoner i Sverige, uppgiftslämnare och andra personer, som inte själva omfattas eller har omfattats av verksamhet som anges i 1 § första stycket samma lag, behandlas bara om det är oundgängligen nödvändigt.

Vad som sägs i första stycket gäller även för behandling av personuppgifter om en registrerad, som omfattas eller har omfattats av verksamhet som där sägs, i ärende eller angelägenhet som rör en annan person.

3 § För ändamål som anges i 5 § första stycket 5 utlänningsdatalagen (0000:000) får inte personuppgifter som direkt pekar ut den registrerade behandlas för återsökning av avgöranden, rättsutredningar och annan rättslig information.

Känsliga personuppgifter

4 § För ändamål som avses i 5 § första stycket 2 eller 3 utlänningsdatalagen (0000:000) får inga andra känsliga personuppgifter som avses i 13 § personuppgiftslagen (1998:204) behandlas än sådana som avslöjar etniskt ursprung eller rör hälsa.

För ändamål som anges i 5 § första stycket 5 samma lag får känsliga personuppgifter endast behandlas i löpande text.

SOU 2003:40

Författningsförslag

Utlämnande på medium för automatiserad behandling

5 § Personuppgifter får lämnas ut till enskild på medium för automatiserad behandling, om den registrerade samtycker till det eller om uppgifterna hör till ett ärende eller en angelägenhet som gäller den enskilde. Även i andra fall får personuppgifter lämnas ut till enskild på medium för automatiserad behandling, om det är nödvändigt för ändamål som anges i 5 § första stycket 1 eller 3 utlänningsdatalagen (0000:000).

6 § Migrationsverket får till Svenska röda korset lämna ut personuppgifter om registrerades namn, födelsedatum och adress på medium för automatiserad behandling.

Direktåtkomst

7 § Regeringskansliets, Utlänningsnämndens samt utlandsmyndigheternas direktåtkomst enligt 11 § utlänningsdatalagen (0000:000) får enbart avse personuppgifter som är oundgängligen nödvändiga för att myndigheterna skall kunna handlägga eller utreda ärenden enligt utlänningslagen (1989:529) eller lagen (2001:82) om svenskt medborgarskap.

Integrationsverkets direktåtkomst får enbart avse uppgifter som är oundgängligen nödvändiga för att verket skall kunna handlägga ärenden enligt förordningen (1990:927) om statlig ersättning för flyktingmottagande m.m.

Direktåtkomsten enligt första och andra styckena får inte avse personuppgifter i fingeravtrycksregistret eller andra känsliga personuppgifter enligt 13 § personuppgiftslagen (1998:204) än sådana som röjer den registrerades etniska ursprung. Inte heller får direktåtkomsten omfatta andra uppgifter om lagöverträdelser m.m. som avses i 21 § personuppgiftslagen än beslut om förvar enligt utlänningslagen.

8 § Rikspolisstyrelsens och polismyndigheternas direktåtkomst enligt 11 § utlänningsdatalagen (0000:000) till personuppgifter som behandlas av Migrationsverket får endast avse uppgift om

1.dossiernummer,

2.namn och person- eller samordningsnummer,

3.kön,

Författningsförslag

SOU 2003:40

4.nuvarande och tidigare medborgarskap,

5.adress,

6.samhörigheter,

7.inresedatum,

8.individstatus (avliden, avviken, verkställd utresa eller hämtning, konstaterad utresa, trolig utresa, frivillig hemresa, avhyst).

9.spärruppgifter,

10.förekomsten av LMA-kort,

11.öppna och avslutade ärenden, samt

12.beslut.

Migrationsverket får, efter samråd med Datainspektionen, föreskriva att direktåtkomsten får avse också andra personuppgifter som är oundgängligen nödvändiga för att Rikspolisstyrelsen eller polismyndigheterna skall kunna utföra arbetsuppgifter enligt utlänningslagen (1989:529). Direktåtkomst till uppgifter i fingeravtrycksregistret eller till känsliga personuppgifter som anges i 13 § personuppgiftslagen (1998:204) får dock inte tillåtas.

Överföring av personuppgifter till tredje land

9 § Personuppgifter som behandlas för ändamål som anges i 5 § första stycket 5 utlänningsdatalagen (0000:000) får föras över till tredje land endast om uppgifterna inte direkt pekar ut den registrerade.

Utlandsmyndighet får, förutom med den registrerades samtycke, föra över personuppgifter till tredje land endast om det är oundgängligen nödvändigt för ändamål som anges i 5 § första stycket 1 samma lag.

Migrationsverkets fingeravtrycksregister

10 § Registret får endast innehålla fingeravtryck och fotografi samt uppgifter om den registrerades namn, person- eller samordningsnummer, födelsetid, kön, medborgarskap eller annan identifieringsuppgift.

SOU 2003:40

Författningsförslag

11 § En uppgift i registret skall gallras när den registrerade blir svensk medborgare. I andra fall skall gallring ske senast tio år efter det att uppgiften registrerades.

Ytterligare föreskrifter

12 § Migrationsverket får meddela föreskrifter om avskiljande av personuppgifter och säkerhetsåtgärder till skydd för personuppgifter som behandlas av Integrationsverket och utlandsmyndigheterna under Migrationsverkets personuppgiftsansvar. För sådan behandling får Migrationsverket även föreskriva ytterligare begränsningar än vad som följer av denna förordning eller av utlänningsdatalagen (0000:000) om ändamål för vilka personuppgifter får behandlas och om vilka slags personuppgifter som får överföras till tredje land eller annars behandlas.

Denna förordning träder i kraft den .…, då förordningen (2001:720) om behandling av personuppgifter i verksamhet enligt utlännings- och medborgarskapslagstiftningen skall upphöra att gälla.

Författningsförslag

SOU 2003:40

6Förslag till

förordning om ändring i förordningen (1996:1357) om statlig ersättning för hälso- och sjukvård till asylsökande

Härigenom föreskrivs att det i förordningen (1996:1357) om statlig ersättning för hälso- och sjukvård till asylsökande förs in en ny paragraf, 10 a §, av följande lydelse.

Nuvarande lydelse

Föreslagen lydelse

10 a §

Migrationsverket skall till landsting lämna uppgifter om utlänningar som är registrerade enligt lagen (1994:137) om mottagande av asylsökande m.fl. vid en förläggning inom landstinget. Uppgifterna skall avse namn, födelsedatum, dossiernummer hos Migrationsverket, adress och, i förekommande fall, familjesamhörighet samt tolkbehov.

Denna förordning träder i kraft den….

SOU 2003:40

Författningsförslag

7Förslag till

förordning om ändring i utlänningsförordningen (1989:547)

Härigenom föreskrivs att det i utlänningsförordningen (1989:547)1 förs in en ny paragraf, 6 kap. 17 §, av följande lydelse.

Nuvarande lydelse

Föreslagen lydelse

6 kap.

17 §

Myndighet som handlägger viseringsärende får vid sådan hänvändelse som avses i artikel 17.2 i Schengenkonventionen till centrala myndigheter i Schengenstater lämna uppgifter om en utlänning eller enskilds personliga förhållanden. Uppgifter får lämnas i följande omfattning.

1.Personuppgifter om sökande, och i förekommande fall, hans eller hennes familjemedlemmar eller referensperson (sökandes fullständig namn och eventuellt tidigare namn, födelsedatum och födelseort, kön, ursprungligt och nuvarande medborgarskap, yrke/ sysselsättning, föräldrars namn, makes eller makas fullständiga namn, födelsedatum och födelseort samt namn och adress på referensperson vid resmålet).

2.Uppgifter om sökandes viseringsansökan (den begärda vistelsens längd, syftet med vistelsen, huvudsakligt resmål, planerade datum för in- och utresa, antal inresor som begärts,

1 Förordningen omtryckt 1995:254

Författningsförslag

SOU 2003:40

gränsövergång vid inresan, datum för ansökan samt vilken typ av visum ansökan avser).

3. Uppgifter om resehandling (pass, resedokument eller liknande identitetshandling, nummer och utfärdare).

Denna förordning träder i kraft den….

SOU 2003:40

Författningsförslag

8Förslag till

förordning om ändring i förordningen (2001:976) om utbildning, förskoleverksamhet och skolbarnomsorg för asylsökande barn m.fl.

Härigenom föreskrivs att det i förordningen (2001:976) om utbildning, förskoleverksamhet och skolbarnomsorg för asylsökande barn m.fl. införs en ny paragraf, 10 §, av följande lydelse.

Nuvarande lydelse

Föreslagen lydelse

10 §

Migrationsverket skall i fråga om barn och ungdomar som avses i 1 § lämna uppgift om deras namn, födelsedatum och bostadsadress till den hemkommun som enligt 8 § svarar för att utbildning, förskoleverksamhet och skolbarnomsorg kommer till stånd.

Denna förordning träder i kraft den ….

BAKGRUND

1Uppdraget

1.1Utredningens direktiv

Utgångspunkten för utredningsuppdraget är att kartlägga den nuvarande behandlingen och de framtida nödvändiga behoven av att behandla personuppgifter i verksamhet enligt utlännings- och medborgarskapslagstiftningen. Utifrån ett helhetsperspektiv skall utredningen granska regelsystemet och föreslå de författningsändringar och andra åtgärder som behövs för att den rättsliga regleringen skall vara väl anpassad till personuppgiftslagen (1998:204).

En ytterligare utgångspunkt för utredningsuppdraget är att skapa enkla, tydliga och moderna regler som inte är beroende av att vissa tekniska lösningar används. Reglerna skall uppfylla de krav i dataskyddshänseende som ställs i nationell och internationell rätt. Överlappande lagstiftning – dvs. att flera olika regler är tillämpliga beträffande samma behandling av personuppgifter i en myndighets verksamhet enligt utlännings- och medborgarskapslagstiftningen – skall undvikas.

Den rättsliga analysen skall vidare utgå från att myndigheterna skall kunna arbeta minst lika effektivt som i dag och att regelverket ger möjligheter att utveckla datasystem som underlättar utbytet av information såväl mellan olika myndigheter, nationellt och internationellt, som mellan enskilda och myndigheter. Samtidigt skall utredningen väga in rättssäkerhetsaspekter, främst enskildas behov av skydd för sin personliga integritet.

I utredningsuppdraget ingår också att följa reformarbetet med en ny instans- och processordning i utlännings- och medborgarskapsärenden. Förslag till författningsändringar eller andra åtgärder skall därvid vara anpassade till den framtida nya ordningen.

Slutligen skall utredningen beakta vad Utredningen om sekretess hos utlandsmyndigheterna m.m. (UD 2000:05, dir 2000:82 och SOU 2001:110) kommer fram till i frågor om sekretess och överfö-

Uppdraget

SOU 2003:40

ring av uppgifter samt vid behov föreslå kompletterande författningsändringar eller andra åtgärder.

Direktiven i sin helhet framgår av bilaga 1.

Regeringen har överlämnat en skrivelse till utredningen. Skrivelsen är lämnad till regeringen av Svenska röda korset och gäller bl.a. utlämnande av personuppgifter från Migrationsverket. Skrivelsen är intagen som bilaga 2 till betänkandet.

1.2Utredningsarbetet

Den särskilde utredaren och sekreteraren har besökt Migrationsverket. Besökets syfte har varit dels att få information om den behandling av personuppgifter som för närvarande pågår eller planeras i verksamhet enligt utlännings- och medborgarskapslagstiftningen, dels att inhämta synpunkter. Den särskilde utredaren har vidare samrått med företrädare för Datainspektionen och Riksarkivet. Sekreteraren har i kartläggningsarbetet (se avsnitt 1.1) besökt Migrationsverkets regionkontor i Malmö samt har under arbetets gång haft kontakter med företrädare för Migrationsverket, Integrationsverket och Rikspolisstyrelsen.

Arbetet har bedrivits i nära samråd med de förordnade experterna. I utredningen har elva sammanträden med experterna hållits. Resultatet av utredningens arbete redovisas i detta betänkande.

2Rättslig reglering av behandling av personuppgifter

Enligt 2 kap. 3 § andra stycket regeringsformen skall den enskilde medborgaren skyddas mot att hans personliga integritet kränks genom att uppgifter om honom registreras med hjälp av automatisk databehandling. Utlänningar här i riket är likställda med svenska medborgare i fråga om detta skydd. Den närmare omfattningen av skyddet skall enligt bestämmelsen anges i lag.

Den lag som i första hand reglerar detta skydd är personuppgiftslagen (1998:204) som trädde i kraft den 24 oktober 1998. Lagen ersatte datalagen (1973:289). Personuppgiftslagen har sin utgångspunkt i Europaparlamentets och rådets direktiv 95/46/EG av den 24 oktober 1995 om skydd för enskilda personer med avseende på behandling av personuppgifter och om det fria flödet av sådana uppgifter (i fortsättningen dataskyddsdirektivet).

Vidare finns inom flera områden särskilda registerförfattningar, vilka innebär en specialreglering i förhållande till personuppgiftslagen i syfte att komplettera lagen eller att helt eller delvis ersätta denna. Det kan även nämnas att det i sekretesslagen (1980:100) finns bestämmelser som skyddar den personliga integriteten vid behandling av personuppgifter.

Detta avsnitt innehåller en kortfattad beskrivning av vissa internationella överenskommelser (avsnitten 2.1 och 2.2), dataskyddsdirektivet (avsnitt 2.3) samt en redogörelse i huvuddrag för personuppgiftslagens bestämmelser (avsnitt 2.4). Vidare behandlas i korthet registerförfattningar samt den särskilda författning som sedan den 1 oktober 2001 reglerar behandling av personuppgifter i verksamhet enligt utlännings- och medborgarskapslagstiftningen (avsnitten 2.5 och 2.6).

Rättslig reglering av behandling av personuppgifter

SOU 2003:40

2.1Europarådets dataskyddskonvention

Internationella riktlinjer har meddelats för automatisk databehandling av personuppgifter. Bestämmelser av betydelse finns i bl.a. Europarådets konvention från år 1981 om skydd för enskilda vid automatisk databehandling av personuppgifter (dataskyddskonventionen). Konventionens innehåll kan ses som en precisering av rätten till skydd för privatliv enligt artikel 8 i den europeiska konventionen den 4 november 1950 angående skydd för de mänskliga rättigheterna och de grundläggande friheterna (Europakonventionen).

Dataskyddskonventionens syfte är att säkerställa den enskildes rätt till personlig integritet i samband med automatisk databehandling av personuppgifter och att förbättra förutsättningarna för ett fritt informationsflöde över gränserna.

Europarådet har vidare antagit ett flertal rekommendationer om dataskydd inom olika områden.

Dataskyddskonventionens roll som riktmärke för automatiserad behandling av personuppgifter inom Europeiska unionen (i fortsättningen EU) har i princip övertagits av dataskyddsdirektivet i och med att detta har införlivats i medlemsstaternas nationella lagstiftningar.

2.2OECD:s riktlinjer

Internationella riktlinjer för integritetsskydd och persondataflöde har även utarbetats inom Organisationen för ekonomiskt samarbete och utveckling (OECD). Riktlinjerna antogs år 1980. Sverige tillhör de medlemsländer som åtagit sig att följa riktlinjerna i nationell lagstiftning. Vidare har ett antal internationella organisationer och företag antagit egna regler om dataskydd som bygger på OECD:s riktlinjer. Riktlinjerna motsvarar i princip de bestämmelser som återfinns i dataskyddskonventionen.

2.3Dataskyddsdirektivet

Den 24 oktober 1995 antogs dataskyddsdirektivet. Direktivets principer om skydd för enskilda personers fri- och rättigheter är en precisering och förstärkning av principerna i dataskyddskonventionen från år 1981. Syftet med direktivet är att garantera dels

SOU 2003:40

Rättslig reglering av behandling av personuppgifter

en hög skyddsnivå när det gäller enskilda personers fri- och rättigheter med avseende på behandling av personuppgifter, dels en likvärdig skyddsnivå i alla medlemsstater, så att staterna inte skall kunna hindra det fria flödet mellan dem av personuppgifter under hänvisning till enskilda personers fri- och rättigheter.

Dataskyddsdirektivet har varit direkt bindande för medlemsstaterna i fråga om det resultat som skall uppnås. Det har ålegat medlemsstaterna att införliva direktivet i nationell lagstiftning senast den 24 oktober 1998 men staterna har själva kunnat välja form och metod för införlivandet. Medlemsstaterna har dock inte kunnat föreskriva vare sig ett bättre eller sämre skydd för den personliga integriteten vid behandling av personuppgifter eller för det fria flödet av sådana uppgifter än vad som följer av dataskyddsdirektivet.

Dataskyddsdirektivet gäller enbart behandling av personuppgifter om fysiska personer som är i livet. Verksamhet som faller utanför gemenskapsrätten – däribland verksamhet som rör allmän säkerhet, försvar, statens säkerhet och statens verksamhet på straffrättens område – omfattas inte av direktivets bestämmelser.

Dataskyddsdirektivet omfattar inte bara automatiserad behandling av personuppgifter utan även manuell behandling av personuppgifter, dock endast om uppgifterna ingår i eller kommer att ingå i ett register. Utanför tillämpningsområdet faller t.ex. ostrukturerade akter. Direktivet omfattar inte behandling av personuppgifter för privat bruk, oavsett om behandlingen är automatiserad eller manuell.

Enligt dataskyddsdirektivet måste all behandling av personuppgifter vara laglig och korrekt. Uppgifterna måste vara riktiga och aktuella samt adekvata, relevanta och nödvändiga med hänsyn till de ändamål för vilka de behandlas. Ändamålen skall vara uttryckligt angivna vid tiden för insamlingen av uppgifterna. De ändamål för vilka uppgifterna senare behandlas får inte vara oförenliga med de ursprungliga ändamålen.

Personuppgifter får enligt direktivet behandlas bara i vissa särskilt angivna fall. Uppgifter får behandlas efter att den registrerade otvetydigt har lämnat sitt samtycke eller i samband med fullgörande av avtal där den registrerade är part. Behandling får också ske om den är nödvändig för att fullgöra en rättslig förpliktelse, som åvilar den registeransvarige, eller för att skydda vitala intressen för den registrerade. Vidare får behandling ske om den är nödvändig för att utföra en arbetsuppgift som antingen är av allmänt

Rättslig reglering av behandling av personuppgifter

SOU 2003:40

intresse eller utgör ett led i myndighetsutövning. Slutligen får personuppgifter behandlas efter en intresseavvägning, nämligen om intresset av att den registeransvarige får behandla uppgifterna överväger den registrerades intresse av att de inte behandlas.

Vissa särskilda i direktivet angivna kategorier av uppgifter får inte behandlas utan uttryckligt samtycke av den registrerade. Det gäller uppgifter som avslöjar den enskildes ras eller etniska ursprung, politiska åsikter, religiösa eller filosofiska övertygelse eller medlemskap i fackförening samt uppgifter som rör hälsa eller sexualliv. I vissa särskilt angivna fall får behandling ske även utan den registrerades samtycke. Medlemsstaterna får vidare – under förutsättning av lämpliga skyddsåtgärder och om det krävs av hänsyn till ett viktigt allmänt intresse – besluta om ytterligare undantag från förbudet.

Behandling av uppgifter om lagöverträdelser, brottmålsdomar eller säkerhetsåtgärder får utan särskilt stöd i nationell lagstiftning utföras endast under kontroll av en myndighet.

Dataskyddsdirektivet innehåller också bestämmelser om bl.a. rätt för den registrerade att motsätta sig uppgiftsbehandling i vissa fall, begränsningar vad gäller möjligheterna att grunda för den enskilde betydelsefulla beslut enbart på automatiserad databehandling av uppgifter som avser dennes personliga egenskaper, information till den registrerade, den enskildes rätt till insyn och rättelse samt om datasäkerhet och sekretess.

Medlemsstaterna får föreskriva begränsningar av vissa skyldigheter och rättigheter, bl.a. i fråga om informationsskyldigheten och rätten att på begäran få tillgång till uppgifter. En sådan begränsning får dock göras bara då det är en nödvändig åtgärd med hänsyn till vissa allmänna intressen, bl.a. intresset av att undersöka, avslöja och åtala för brott samt skyddet av den registrerades eller andras fri- och rättigheter.

I direktivet föreskrivs ett anmälningsförfarande till en tillsynsmyndighet när det gäller helt eller delvis automatiserad behandling av personuppgifter. Undantag från anmälningsplikt alternativt ett förenklat förfarande får under vissa förutsättningar föreskrivas.

Som huvudregel gäller att personuppgifter får föras över till ett land utanför EU eller Europeiska ekonomiska samarbetsområdet (EES), dvs. till tredje land, endast om det mottagande landets lagstiftning kan säkerställa en adekvat skyddsnivå.

Medlemsstaterna skall föreskriva att var och en har rätt att föra talan inför domstol om kränkningar av sådana rättigheter som

SOU 2003:40

Rättslig reglering av behandling av personuppgifter

skyddas av den nationella lagstiftning som är tillämplig på behandlingen i fråga. Vidare skall föreskrivas att var och en som lidit skada till följd av en otillåten eller annars med bestämmelserna oförenlig behandling, har rätt till ersättning av den registeransvarige för skadan.

Dataskyddsdirektivet skulle vara införlivat i medlemsstaternas nationella lagstiftning senast den 24 oktober 1998. När det gäller sådan behandling av personuppgifter som pågick vid den tidpunkten, skulle denna bringas i överensstämmelse med direktivet senast tre år därefter. I fråga om manuella register gäller dock en övergångstid om tolv år från direktivets ikraftträdande, dvs. fram till den 24 oktober 2007.

2.4Personuppgiftslagen

2.4.1Allmänt om personuppgiftslagen

Med anledning av att dataskyddsdirektivet skulle antas, tillsattes i juni 1995 Datalagskommittén. Kommitténs uppgift var att göra en total revision av datalagen och utreda på vilket sätt direktivet skulle införlivas i svensk rätt. Uppdraget redovisades i betänkandet Integritet – Offentlighet – Informationsteknik (SOU 1997:39).

Personuppgiftslagen (prop. 1997/98:44, bet. 1997/98:KU18, rskr. 1997/98:180), som trädde i kraft den 24 oktober 1998, bygger i allt väsentligt på det förslag som lades fram i Datalagskommitténs betänkande. Lagen följer i huvudsak dataskyddsdirektivets text och disposition.

Liksom dataskyddsdirektivet reglerar personuppgiftslagen själva hanteringen av personuppgifter och inte bara missbruk av sådana uppgifter. Det innebär att behandling av personuppgifter som inte sker med stöd av personuppgiftslagen är otillåten. Redan i lagens förarbeten konstaterade regeringen att en framtida ordning med en mer missbruksorienterad reglering är önskvärd, men att en sådan ordning måste föregås av ett reviderat dataskyddsdirektiv (prop. 1997/98:44 s. 36 f.). En utredning har dock tillsatts, Personuppgiftslagsutredningen (Ju 2002:02, dir. 2002:31) som har i uppdrag att göra en översyn av personuppgiftslagen i syfte att, inom ramen för dataskyddsdirektivet, åstadkomma ett regelverk som mer tar sikte på missbruk av personuppgifter. Om möjligt skall utredningen föreslå lättnader i hanteringsreglerna. Det kan också nämnas

Rättslig reglering av behandling av personuppgifter

SOU 2003:40

att Sverige tillsammans med Storbritannien, Finland och Österrike i september 2002 gemensamt presenterade ett förslag till EU- kommissionen om vissa ändringar i direktivet i en mer missbruksorienterad riktning.

I personuppgiftsförordningen (1998:1191) finns kompletterande föreskrifter beträffande sådan behandling av personuppgifter som omfattas av personuppgiftslagen. I 2 § personuppgiftsförordningen har Datainspektionen utsetts att vara tillsynsmyndighet enligt personuppgiftslagen. I denna egenskap har Datainspektionen bemyndigats att meddela föreskrifter i vissa frågor. Några sådana föreskrifter har meddelats.

2.4.2Personuppgiftslagens tillämpningsområde

Personuppgiftslagen är teknikoberoende genom att den omfattar all behandling av personuppgifter som är helt eller delvis automatiserad samt även manuell behandling av personuppgifter som ingår i, eller är avsedd att ingå i, en strukturerad samling av personuppgifter vilken är tillgängliga för sökning eller sammanställning enligt särskilda kriterier (5 §). Personuppgiftslagen har därmed ett bredare tillämpningsområde än datalagen, som endast gällde personregister som inrättades eller fördes med hjälp av automatisk databehandling (ADB).

Till skillnad från dataskyddsdirektivet omfattar personuppgiftslagen även sådan behandling av personuppgifter som sker inom ramen för verksamheter som inte omfattas av gemenskapsrätten, t.ex. statens verksamhet på straffrättens område eller verksamhet som rör allmän säkerhet eller försvar. Dock gäller att om det i annan lag eller i en förordning finns bestämmelser som avviker från personuppgiftslagen, skall de bestämmelserna gälla (2 §). De särregler som kan vara nödvändiga på vissa områden förutsätts få sin plats i särskilda registerförfattningar som helt eller delvis tar över den generella regleringen i personuppgiftslagen (prop. 1997/98:44 s. 40 f.).

Personuppgiftslagen gäller inte för sådan behandling av personuppgifter som en fysisk person utför som ett led i en verksamhet av rent privat natur (6 §). I förtydligande syfte görs dessutom undantag för all sådan behandling av personuppgifter som skyddas av tryckfrihetsförordningen och yttrandefrihetsgrundlagen (7 § första stycket). Vidsträckta undantag från lagens regler gäller även i fråga

SOU 2003:40

Rättslig reglering av behandling av personuppgifter

om sådan behandling som annars utförs uteslutande för journalistiska ändamål eller för konstnärligt eller litterärt skapande (7 § andra stycket). Dessutom får personuppgiftslagen inte inskränka myndigheternas skyldighet att lämna ut personuppgifter enligt 2 kap. tryckfrihetsförordningen (8 § första stycket). Vidare anges att personuppgiftslagen inte heller hindrar att en myndighet arkiverar och bevarar allmänna handlingar eller att arkivmaterial tas om hand av en arkivmyndighet (8 § andra stycket).

Dataskyddsdirektivet innehåller ett antal huvudregler som måste ingå i nationell lagstiftning. Ofta är dessa huvudregler och principer allmänt hållna i direktivet. För att kunna tillämpas av personuppgiftsansvariga har de preciserats och konkretiserats i personuppgiftslagen. Lagen innehåller dock inte några detaljbestämmelser som fyller ut de generellt hållna huvudreglerna. I stället överlämnas det åt regeringen och Datainspektionen att, inom den ram som personuppgiftslagen drar upp, göra nödvändiga preciseringar och konkretiseringar.

2.4.3Definitioner

Några av de mer centrala begreppen i personuppgiftslagen definieras i 3 §. Med behandling avses varje åtgärd eller serie av åtgärder som vidtas i fråga om personuppgifter, vare sig det sker på automatiserad väg eller inte, t.ex. insamling, registrering, organisering, lagring, bearbetning eller ändring, återvinning, inhämtande, användning, utlämnande genom översändande, spridning eller annat tillhandahållande av uppgifter, sammanställning eller samkörning, blockering, utplåning eller förstöring.

Personuppgifter definieras som all slags information som direkt eller indirekt kan hänföras till en fysisk person som är i livet. Uppgifter om avlidna omfattas alltså inte personuppgiftslagens tillämpningsområde. Den registrerade är den som en personuppgift avser. Personuppgiftsansvarig är den som ensam eller tillsammans med andra bestämmer ändamålen med och medlen för behandlingen av personuppgifter. Tredje man är någon annan än den registrerade, den personuppgiftsansvarige, personuppgiftsombudet, personuppgiftsbiträdet och sådana personer som under den personuppgiftsansvariges eller personuppgiftsbiträdets direkta ansvar har befogenheter att behandla personuppgifter.

Rättslig reglering av behandling av personuppgifter

SOU 2003:40

I lagen definieras eller används även andra begrepp till vilka utredningen återkommer i det följande.

2.4.4Förutsättningar för behandling av personuppgifter

Grundläggande krav (9 §)

Enligt personuppgiftslagen skall personuppgifter alltid behandlas på ett korrekt och lagligt sätt samt i enlighet med god sed. De skall samlas in för särskilda, uttryckligt angivna ändamål. Efter insamlingen får uppgifterna inte behandlas för något ändamål som är oförenligt med det ändamål för vilket de samlades in, vilket bl.a. innebär att uppgifterna inte får lämnas ut till annan om det är oförenligt med de ursprungliga ändamålen. Att ändamålen skall vara särskilda innebär att en alltför allmänt hållen ändamålsbeskrivning inte får godtas. Hur detaljerad ändamålsbeskrivningen måste vara får avgöras i praxis eller genom föreskrifter från regeringen eller Datainspektionen. De behandlade uppgifterna måste vara riktiga och relevanta och inte alltför omfattande i förhållande till de ändamål för vilka de behandlas. Om det är nödvändigt, skall uppgifterna också vara aktuella. Uppfyller personuppgifterna inte kraven, skall den personuppgiftsansvarige vidta alla rimliga åtgärder för att utplåna, blockera eller rätta uppgifterna. Personuppgifterna får inte heller sparas längre än nödvändigt med hänsyn till de ändamål för vilka uppgifterna behandlas. Därefter måste de avidentifieras eller förstöras.

För behandling av personuppgifter för historiska, statistiska eller vetenskapliga ändamål gäller vissa särregler. Det anses t.ex. inte oförenligt med de ursprungliga ändamålen att behandla uppgifterna för nämnda ändamål. Vidare får personuppgifter bevaras under en längre tid än vad som annars gäller, om de skall användas för historiska, statistiska eller vetenskapliga ändamål.

När behandling av personuppgifter är tillåten (10-12 §§)

Lagens 10 § innehåller en uttömmande uppräkning av de fall då personuppgifter får behandlas. Om känsliga personuppgifter, uppgifter om lagöverträdelser m.m. eller personnummer skall behandlas, måste behandlingen dessutom vara tillåten enligt 13-22 §§. Innebär behandlingen att personuppgifter överförs till tredje land,

SOU 2003:40

Rättslig reglering av behandling av personuppgifter

dvs. till en stat som inte ingår i EU eller är ansluten till EES, måste också 33-35 §§ följas.

Enligt 10 § är det tillåtet att behandla personuppgifter om den registrerade, dvs. den som en personuppgift avser, samtycker till behandlingen. Med samtycke avses enligt 3 § varje slag av frivillig, särskild och otvetydig viljeyttring genom vilken den registrerade, efter att ha fått information, godtar behandling av personuppgifter som rör honom eller henne. Återkallar den registrerade sitt samtycke, får ytterligare personuppgifter om denne inte behandlas. Behandlingen av redan insamlade uppgifter får däremot trots återkallelsen fortsätta i enlighet med det ursprungligen lämnade samtycket (12 § första stycket).

I vissa fall får dock personuppgifter behandlas trots att samtycke från den registrerade saknas. En förutsättning i samtliga dessa fall är att behandlingen är nödvändig för ändamålen. Här kan anmärkas att de flesta automatiserade behandlingar av personuppgifter också kan utföras manuellt. Datalagskommittén har tolkat nödvändighetsrekvisitet så att personuppgifter får behandlas även i de fall det faktiskt är möjligt att utföra behandlingen på annat sätt, om förfarandet underlättas genom användning av automatiserad databehandling (SOU 1997:39 s. 359).

De ändamål för vilka personuppgifter får behandlas utan samtycke är följande.

a)Ett avtal med den registrerade skall kunna fullgöras eller åtgärder som den registrerade har begärt skall kunna vidtas innan ett avtal träffas,

b)den personuppgiftsansvarige skall kunna fullgöra en rättslig skyldighet,

c)vitala intressen för den registrerade skall kunna skyddas,

d)en arbetsuppgift av allmänt intresse skall kunna utföras,

e)den personuppgiftsansvarige eller tredje man till vilken personuppgifterna lämnas ut skall kunna utföra en arbetsuppgift i samband med myndighetsutövning, eller

f)ett ändamål som rör ett berättigat intresse hos den personuppgiftsansvarige eller hos en sådan tredje man till vilken personuppgifterna lämnas ut skall kunna tillgodoses, om detta intresse väger tyngre än den registrerades intresse av skydd mot kränkningar av den personliga integriteten.

Rättslig reglering av behandling av personuppgifter

SOU 2003:40

Förbud mot behandling av känsliga personuppgifter (13 §)

I personuppgiftslagen återfinns dataskyddsdirektivets förbud i fråga om behandling av känsliga personuppgifter. Personuppgifter som avslöjar ras eller etniskt ursprung, politiska åsikter, religiös eller filosofisk övertygelse samt medlemskap i fackförening får alltså inte behandlas. Likaså är det förbjudet att behandla personuppgifter som rör hälsa eller sexualliv.

Undantag från förbudet (14-20 §§)

Förbudet mot att behandla känsliga personuppgifter är inte undantagslöst. Sådana uppgifter får liksom andra uppgifter behandlas efter den registrerades samtycke. Till skillnad från när samtycke krävs i andra sammanhang måste i fråga om känsliga personuppgifter samtycket vara uttryckligt. Även när den registrerade på ett tydligt sätt har offentliggjort uppgifterna får de behandlas.

Vidare får behandling utföras om den är nödvändig för att den personuppgiftsansvarige skall kunna fullgöra sina skyldigheter eller utöva sina rättigheter inom arbetsrätten. I stort sett gäller det fullgörandet av alla skyldigheter och rättigheter för arbetsgivaren beträffande de anställda och deras organisationer. De uppgifter som behandlas under denna förutsättning får lämnas ut till tredje man endast om det inom arbetsrätten finns en uttrycklig skyldighet för den personuppgiftsansvarige att göra det eller om den registrerade har samtyckt till utlämnandet.

Förbudet gäller inte heller om behandlingen rör uppgifter som är nödvändiga för att den registrerades eller någon annans vitala intressen skall kunna skyddas och den registrerade inte kan lämna sitt samtycke samt inte heller nödvändig behandling för att rättsliga anspråk skall kunna slås fast, göras gällande eller försvaras.

Vidare får ideella organisationer med politiskt, filosofiskt, religiöst eller fackligt syfte inom ramen för sin verksamhet behandla känsliga personuppgifter om organisationens medlemmar och sådana andra personer som på grund av organisationens syfte har regelbunden kontakt med den. Utlämnande av sådana uppgifter till tredje man kräver den registrerades samtycke.

Ytterligare undantag från förbudet är behandling som är nödvändig med hänsyn till förebyggande hälso- och sjukvård, medicinska diagnoser, vård eller behandling samt administration av

SOU 2003:40

Rättslig reglering av behandling av personuppgifter

hälso- och sjukvård. Inte heller gäller förbudet, om uppgifterna behandlas av någon som är yrkesmässigt verksam inom hälso- och sjukvårdsområdet och som samtidigt är underkastad tystnadsplikt. Slutligen undantas, under vissa förutsättningar, behandling för forskning och statistik från förbudet.

Regeringen eller den myndighet som regeringen bestämmer, dvs. Datainspektionen, får meddela föreskrifter om ytterligare undantag, om det behövs med hänsyn till ett viktigt allmänt intresse. Regeringen har i personuppgiftsförordningen föreskrivit att, utöver undantagen i lagen, känsliga personuppgifter får behandlas av myndigheter i löpande text om uppgifterna har lämnats i ett ärende eller om de är nödvändiga för handläggningen av ärendet.

Behandling av uppgifter om lagöverträdelser m.m. och personnummer (21 och 22 §§)

Vissa uppgifter som inte omfattas av definitionen av känsliga personuppgifter är ändå sådana att behandlingen av dem regleras särskilt i personuppgiftslagen, liksom i dataskyddsdirektivet. Det är således förbjudet för andra än myndigheter att behandla uppgifter om lagöverträdelser som innefattar brott, domar i brottmål, straffprocessuella tvångsmedel eller administrativa frihetsberövanden. Regeringen, eller den myndighet regeringen bestämmer (Datainspektionen), får dock meddela föreskrifter om undantag från förbudet eller besluta om undantag i enskilda fall.

Uppgifter om personnummer och samordningsnummer får behandlas bara när den registrerade samtycker till det eller när det är klart motiverat med hänsyn till ändamålen med behandlingen, vikten av en säker identifiering eller något annat beaktansvärt skäl.

2.4.5Information och rättelse

Personuppgiftslagen innehåller bestämmelser som tryggar den registrerades rätt att bl.a. kontrollera om behandling av personuppgifter om honom eller henne pågår och begära rättelse av personuppgifter som har behandlats felaktigt.

Rättslig reglering av behandling av personuppgifter

SOU 2003:40

Information (23-27 §§)

Personuppgiftslagen innehåller bestämmelser om information till den registrerade.

Den personuppgiftsansvarige skall självmant lämna den registrerade information om behandlingen, när uppgifter om en person samlas in från denne själv. Har uppgifterna samlats in från en annan källa, skall den registrerade informeras när uppgifterna registreras eller, om avsikten med behandlingen är att lämna ut uppgifterna till tredje man, när uppgifterna lämnas ut första gången. Informationen skall omfatta uppgifter om vem den personuppgiftsansvarige är, ändamålet med behandlingen samt all övrig information som den registrerade behöver för att kunna ta till vara sina rättigheter i samband med behandlingen, såsom information om mottagarna av uppgifterna, skyldighet att lämna uppgifter och rätten att ansöka om information och få rättelse. Endast sådana uppgifter som den registrerade inte redan känner till behöver lämnas.

Har uppgifterna hämtats in från en annan källa än den registrerade själv, behöver information inte lämnas om det är omöjligt eller skulle innebära en oproportionerligt stor arbetsinsats. Inte heller behöver information lämnas om det i lag eller annan författning finns bestämmelser om registreringen eller utlämnandet av personuppgifter.

Den personuppgiftsansvarige är vidare skyldig att efter ansökan, en gång per kalenderår, gratis informera om huruvida uppgifter som rör sökanden behandlas eller inte, ändamålet med behandlingen, vilka uppgifter som behandlas, varifrån dessa kommer och till vem de lämnas ut. Information behöver emellertid inte lämnas beträffande personuppgifter som behandlas endast i löpande text som ännu inte har fått sin slutliga utformning eller som utgör minnesanteckningar, under förutsättning att uppgifterna inte har lämnats ut till tredje man eller behandlingen inte har pågått under längre tid än ett år.

Bestämmelserna om informationsskyldighet gäller över huvud taget inte om sekretess eller tystnadsplikt för uppgifterna är föreskriven i förhållande till den registrerade.

SOU 2003:40

Rättslig reglering av behandling av personuppgifter

Rättelse (28 §)

Personuppgifter som är felaktiga eller ofullständiga eller som annars inte har behandlats i enlighet med personuppgiftslagen eller anknytande föreskrifter skall på begäran av den registrerade rättas, utplånas eller blockeras av den personuppgiftsansvarige. Med blockering avses varje åtgärd som kan vidtas för att de aktuella uppgifterna skall vara förknippade med information om att de är spärrade och om anledningen till spärren samt för att personuppgifterna inte skall lämnas ut till tredje man annat än med stöd av 2 kap. tryckfrihetsförordningen (3 §).

Om felaktiga uppgifter har lämnats ut till tredje man, skall denne i vissa fall underrättas om korrigeringsåtgärden, nämligen om den registrerade begär det eller om det behövs för att undvika mera betydande skada eller olägenhet för den registrerade. Tredje man behöver dock inte underrättas, om det är omöjligt eller skulle innebära en oproportionerligt stor arbetsinsats.

2.4.6Säkerhet vid behandling

Bestämmelser som avser att säkerställa att behandlingen av personuppgifter sker på ett betryggande sätt finns i 30 och 31 §§ personuppgiftslagen. Den personuppgiftsansvarige har ett stort ansvar för säkerheten.

Bl.a. får de personer som arbetar med personuppgifter behandla dessa endast efter den personuppgiftsansvariges instruktioner. För det allmännas verksamhet gäller att särskilda bestämmelser i lag eller författning i stället skall tillämpas. Härmed avses framför allt bestämmelser om sekretess och tystnadsplikt.

Den personuppgiftsansvarige har vidare ansvar för att tekniska och organisatoriska åtgärder vidtas för att skydda de behandlade personuppgifterna. Åtgärderna skall åstadkomma en lämplig säkerhetsnivå med beaktande av de tekniska möjligheter som finns, kostnaden för att genomföra åtgärderna, riskerna med behandlingen och hur känsliga personuppgifterna är.

Enligt 50 § b personuppgiftslagen får regeringen eller en myndighet som regeringen bestämmer meddela närmare föreskrifter om vilka krav som ställs på den personuppgiftsansvarige vid behandling av personuppgifter. Kraven kan t.ex. gälla säkerhetsåtgärder. Datainspektionen har i personuppgiftsförordningen bemyndigats att

Rättslig reglering av behandling av personuppgifter SOU 2003:40

meddela sådan föreskrifter. Några generella föreskrifter har emellertid ännu inte utfärdats.

Datainspektionen får också i enskilda fall besluta om vilka skyddsåtgärder en personuppgiftsansvarig skall vidta (32 §). Om ett sådant beslut inte följs, kan inspektionen föreskriva vite (45 §).

2.4.7Överföring av personuppgifter till tredje land

Det är enligt 33 § personuppgiftslagen förbjudet att föra över personuppgifter till en stat utanför EU eller EES (tredje land) som inte har en adekvat nivå för skyddet av personuppgifter. Förbudet gäller både uppgifter som är under behandling och uppgifter som skall undergå behandling i det tredje landet.

Vid bedömningen av om ett tredje land har en adekvat skyddsnivå skall hänsyn tas till samtliga omständigheter som har samband med överföringen. I lagen anges uttryckligen att särskild vikt skall läggas vid uppgifternas art, ändamålet med behandlingen, hur länge behandlingen skall pågå, ursprungslandet, det slutliga bestämmelselandet och de regler som finns för behandlingen i det tredje landet.

Från förbudet mot överföring av personuppgifter till tredje land finns undantag i 34 och 35 §§. Överföring får för det första ske med den registrerades samtycke. Det är också tillåtet att föra över personuppgifter för användning enbart i en stat som har anslutit sig till Europarådets dataskyddskonvention.

Uppgifter får även i andra fall föras över till tredje land, om behandlingen är nödvändig för att fullgöra ett avtal – mellan den personuppgiftsansvarige och den registrerade eller mellan den personuppgiftsansvarige och tredje man – som är i den registrerades intresse eller för att på den registrerades begäran vidta åtgärder innan ett avtal träffas. Vidare får överföring ske, om behandlingen är nödvändig för att kunna fastställa, göra gällande eller försvara rättsliga anspråk eller för att skydda vitala intressen för den registrerade.

Regeringen får meddela ytterligare föreskrifter om undantag från förbudet att föra över personuppgifter till vissa stater. Regeringen eller, om regeringen bestämmer det, Datainspektionen får också föreskriva undantag när det behövs med hänsyn till viktiga allmänna intressen eller om överföringen sker under sådana omständigheter att det finns tillräckliga garantier till skydd för de registrerades rättigheter. Dessutom får regeringen och Data-

SOU 2003:40

Rättslig reglering av behandling av personuppgifter

inspektionen under vissa förutsättningar besluta om undantag från förbudet i enskilda fall.

2.4.8Datainspektionens befogenheter som tillsynsmyndighet

Enligt dataskyddsdirektivet skall en särskild tillsynsmyndighet utses. Enligt 2 § personuppgiftsförordningen är Datainspektionen tillsynsmyndighet enligt personuppgiftslagen. Vissa av de befogenheter som enligt direktivet tillkommer tillsynsmyndigheten regleras i 43-47 §§. Lagen innehåller bl.a. bestämmelser om att Datainspektionen skall ha tillgång till behandlade personuppgifter och dessutom tillträde till lokaler med anknytning till behandlingen. Datainspektionen kan också vid vite förbjuda fortsatt behandling samt ansöka hos länsrätt om att personuppgifter skall utplånas.

2.4.9Anmälan till Datainspektionen m.m.

Anmälningsskyldighet (36 §)

Helt eller delvis automatiserad behandling av personuppgifter omfattas av anmälningsskyldighet. Den personuppgiftsansvarige skall göra sådan anmälan till Datainspektionen. Syftet med anmälningsskyldigheten är att göra behandlingens ändamål och dess viktigaste egenskaper kända. Datainspektionen skall föra register över anmälda behandlingar.

Från anmälningsskyldigheten finns vissa undantag. I lagen anges att anmälan inte behöver göras när ett personuppgiftsombud har utsetts av den personuppgiftsansvarige (37 §).

Vidare får regeringen eller den myndighet regeringen bestämmer (Datainspektionen) meddela föreskrifter om undantag från anmälningsskyldigheten för sådana typer av behandlingar som sannolikt inte kommer att leda till otillbörliga intrång i den personliga integriteten. I personuppgiftsförordningen har regeringen från anmälningsskyldigheten bl.a. undantagit behandling som regleras genom särskilda föreskrifter i lag eller förordning.

Enligt 41 § kan anmälan vara obligatorisk såvitt avser sådan behandling som innebär särskilda risker för otillbörligt intrång i den personliga integriteten. Regeringen kan nämligen föreskriva att sådana behandlingar skall anmälas till Datainspektionen för

Rättslig reglering av behandling av personuppgifter

SOU 2003:40

förhandskontroll. Finns sådana föreskrifter måste anmälan göras även om det finns ett personuppgiftsombud.

Personuppgiftsombud (37-40 §§)

Personuppgiftsombudet skall ha till uppgift att självständigt se till att den personuppgiftsansvarige behandlar personuppgifter på ett korrekt och lagligt sätt. Kravet på självständighet innebär att personuppgiftsombudet inte får ha en alltför underordnad ställning i förhållande till den personuppgiftsansvarige. Ombudet skall också ha tillräckliga kvalifikationer och kunskaper för att kunna utföra sina uppgifter.

I första hand skall personuppgiftsombudet påpeka brister i uppgiftsbehandlingen till den personuppgiftsansvarige. Om den ansvarige inte rättar till bristerna, är ombudet skyldigt att anmäla förhållandet till Datainspektionen. Personuppgiftsombudet skall föra en förteckning över de behandlingar som den personuppgiftsansvarige utför och som skulle ha omfattats av anmälningsskyldighet om ombudet inte hade funnits. Ombudet kan även hjälpa registrerade personer att få till stånd en utredning om rättelse bör ske.

2.4.10Sanktioner

Skadestånd (48 §)

Om behandling av personuppgifter i strid mot personuppgiftslagen orsakar skada för den registrerade har han rätt till ersättning från den personuppgiftsansvarige. Rätten till ersättning omfattar inte bara personskada, sakskada och ren förmögenhetsskada utan även den kränkning av den personliga integriteten som behandlingen kan ha medfört.

Ersättningsskyldigheten kan i den utsträckning det är skäligt jämkas, om den personuppgiftsansvarige visar att felet inte berodde på honom eller henne.

SOU 2003:40

Rättslig reglering av behandling av personuppgifter

Straff (49 §)

Den som uppsåtligen eller av oaktsamhet lämnar osanna uppgifter i information eller anmälan enligt lagen straffas enligt 49 §. Samma bestämmelse straffbelägger vidare den som i strid mot lagens bestämmelser behandlar känsliga personuppgifter eller uppgifter om lagöverträdelser m.m. eller för över personuppgifter till tredje land eller låter bli att göra en anmälan om behandling till Datainspektionen. Straffskalan är böter eller fängelse i högst sex månader. Om brottet är grovt, får dömas till fängelse i högst två år. Vid förfaranden som är ringa skall det dock inte dömas till ansvar.

2.4.11Ikraftträdande- och övergångsbestämmelser

Personuppgiftslagen trädde som	tidigare sagts i	kraft den
24 oktober 1998. Samtidigt upphörde datalagen att		gälla. Enligt
övergångsbestämmelserna började	personuppgiftslagen tillämpas

först den 1 oktober 2001 för sådana helt eller delvis automatiserade behandlingar som påbörjats före den 24 oktober 1998. Detsamma gällde helt eller delvis automatiserad behandling av nya personuppgifter som utfördes för ett visst bestämt ändamål, om behandlingen för ändamålet hade påbörjats före ikraftträdandet.

Motsvarande övergångsbestämmelse gällde även för redan pågående manuell behandling av personuppgifter. Vissa bestämmelser i lagen skall dock tillämpas först fr.o.m. den 1 oktober 2007 när det gäller manuell behandling av personuppgifter. Bestämmelserna i fråga är 9 och 10 §§ som reglerar de grundläggande kraven på behandling av personuppgifter och när behandling är tillåten samt 13 och 21 §§ om behandling av känsliga personuppgifter och uppgifter om lagöverträdelser m.m.

2.5Registerförfattningar

Särskilda författningar som reglerar behandling av personuppgifter i offentlig verksamhet har funnits i många år. Före personuppgiftslagens införande reglerade dessa registerförfattningar i allmänhet inrättandet och förandet av vissa personregister med särskilt integritetskänsligt innehåll. I och med personuppgiftslagen har det emellertid blivit allt mer vanligt med särförfattningar som kompletterar eller i vissa delar ersätter personuppgiftslagen. I allmänhet

Rättslig reglering av behandling av personuppgifter

SOU 2003:40

gäller dessa nyare särförfattningar, i likhet med personuppgiftslagen, behandling av personuppgifter över huvud taget och inte endast behandling i datoriserade register.

Registerförfattningar finns i dag inom flera områden och omfattar bl.a. behandling av personuppgifter om totalförsvarspliktiga, inom skatte-, tull- och exekutionsväsendet, inom socialtjänsten samt inom polisen.

2.6Utlänningsdataförordningen

Personuppgiftslagens övergångsbestämmelser har för den offentliga förvaltningens del i allmänhet inneburit att personuppgiftslagen började tillämpas på den pågående automatiserade behandlingen först fr.o.m. den 1 oktober 2001. Detta gällde bl.a. för den verksamhet som utredningens arbete avser. Eftersom vissa särregler i förhållande till personuppgiftslagen bedömdes nödvändiga, infördes förordningen (2001:720) om behandling av personuppgifter i verksamhet enligt utlännings- och medborgarskapslagstiftningen (i fortsättningen utlänningsdataförordningen). Förordningen trädde i kraft den 1 oktober 2001 och är ett komplement till personuppgiftslagen. I förordningen anges uttryckligen att den gäller utöver personuppgiftslagen. Enligt kommitté- direktiven är förordningen avsedd att få en begränsad giltighet i avvaktan på att frågan om en lagreglering bereds vidare.

I utlänningsdataförordningen regleras endast automatiserad behandling av personuppgifter i register. Förordningen omfattar behandling av personuppgifter som företas av Migrationsverket, Utlänningsnämnden, Integrationsverket, Rikspolisstyrelsen och polismyndigheterna samt utlandsmyndigheterna i verksamhet enligt utlännings- och medborgarskapslagstiftningen. Denna verksamhet definieras som att gälla utlänningars vistelse i och avlägsnande från landet, utlänningars rätt att arbeta i landet, mottagande av asylsökande och vissa andra utlänningar samt bistånd och stöd till utlänningar som enligt lag eller annan författning handläggs av Migrationsverket. Vidare omfattar förordningen verksamhet som gäller förvärv, förlust eller bibehållande av svenskt medborgarskap samt ersättning för och bosättning av utlänningar som enligt lag eller annan författning handläggs av Integrationsverket.

SOU 2003:40

Rättslig reglering av behandling av personuppgifter

Enligt förordningen får myndigheterna föra automatiserade verksamhetsregister för ändamålen författningsreglerad handläggning av ärenden och underrättelseskyldighet. Dessutom får registret användas för tillsyn, kontroll, uppföljning och planering av verksamheten samt för framställning av statistik. I förordningen specificeras vilka personuppgifter som får behandlas i ett verksamhetsregister. Vidare anges att känsliga personuppgifter som avses i 13 § personuppgiftslagen får behandlas endast om uppgifterna är oundgängligen nödvändiga för ändamålen handläggning av ärenden respektive fullgörande av underrättelseskyldighet. Till Migrationsverkets verksamhetsregister får de andra myndigheterna som tillämpar förordningen ha direktåtkomst. Känsliga personuppgifter får inte användas som sökbegrepp.

Migrationsverket får dessutom föra automatiserade rättfallsregister, fingeravtrycksregister samt landinformationsregister. Även Utlänningsnämnden får föra rättsfallsregister. Utredningen återkommer i avsnitt 4 till dessa register och vad som enligt utlänningsdataförordningen gäller för dem.

3Verksamhet enligt utlännings- och medborgarskapslagstiftningen

Utredningen har i uppdrag att se över behandlingen av personuppgifter i verksamhet enligt utlännings- och medborgarskapslagstiftningen. Främst är det Migrationsverket och Utlänningsnämnden som bedriver sådan verksamhet. I direktiven anges att också Integrationsverket, Rikspolisstyrelsen, polismyndigheterna och utlandsmyndigheterna bedriver verksamhet inom rättsområdet. Någon närmare avgränsning av vad som avses med verksamheten har emellertid inte getts i direktiven. Självfallet avses i första hand handläggning av utlänningsärenden enligt utlänningslagen (1989:529) samt handläggning av ärenden enligt lagen (2001:82) om svenskt medborgarskap (i fortsättningen medborgarskapslagen).

Därutöver bedriver flera av de ovannämnda myndigheterna viss annan verksamhet som emellertid har ett mycket nära samband med åligganden enligt utlänningslagen. I utlänningsdataförordningen ges en verksamhetsdefinition som omfattar också verksamhet som inte regleras av utlännings- och medborgarskapslagarna.

I detta avsnitt lämnas en översiktlig beskrivning av verksamheten enligt utlänningslagen (avsnitt 3.1) och enligt medborgarskapslagen (avsnitt 3.2). Dessutom beskrivs, med utgångspunkt i tillämpliga författningar, den övriga verksamhet som utlänningsdataförordningen avser samt även viss annan verksamhet (avsnitt 3.3).

Här bör påpekas att i det följande avses med utlänning varje fysisk person som inte är svensk medborgare, vare sig denne är medborgare i annat land eller statslös.

Verksamhet enligt utlännings- och medborgarskapslagstiftningen

SOU 2003:40

3.1Verksamhet enligt utlänningslagen

EU-samarbete

Utlänningslagen har sedan den trädde i kraft den 1 juli 1989 ändrats ett flertal gånger. Vissa ändringar har föranletts av Sveriges anslutning till EES men också av det senare medlemskapet i EU. Sverige har bl.a. bundits av bestämmelser om arbetskraftens fria rörlighet inom gemenskapen och mellan gemenskapen och EES- länderna. Under senare år har utvecklingen inom EU fått en allt större betydelse för frågor som i Sverige regleras genom utlänningslagen. Nedan följer en beskrivning av denna utveckling i mycket korta drag.

Redan i Maastrichtfördraget, som trädde i kraft den 1 november 1993, beslutades om mellanstatligt samarbete inom gemenskapen i frågor rörande bl.a. den fria rörligheten, asylpolitiken, kontrollen vid passage av medlemsstaternas yttre gränser och invandringspolitiken gentemot tredjelandsmedborgare, den s.k. tredje pelaren. Genom Amsterdamfördraget – som Sverige godkänt och som trädde i kraft den 1 maj 1999 – flyttades dessa frågor från det mellanstatliga samarbetet till gemenskapssamarbetet i första pelaren (se bl.a. prop. 1997/98:58 s. 53 f.). Dessförinnan, den 1 september 1997, hade Konventionen rörande bestämmandet av den ansvariga staten för prövningen av en ansökan om asyl som framställts i en av medlemsstaterna i de Europeiska gemenskaperna (i fortsättningen Dublinkonventionen) trätt i kraft. Konventionen tillkom för att garantera att var och en som söker asyl i någon medlemsstat skall få sin asylansökan prövad och att en asylsökande inte sänds från en medlemsstat till en annan utan att någon stat anser sig ha ansvar för prövningen.

Dublinkonventionens bestämmelser har bl.a. medfört ändringar i utlänningslagen och ett förfrågningsförfarande som beskrivs kortfattat i avsnitt 4.1.7. Den 15 januari 2003 startades en EU-gemen- sam central databas för fingeravtryck från asylsökande m.fl. Databasen regleras av rådets förordning (EG) nr 2725/2000 av den 11 december 2000 om inrättande av Eurodac för jämförelse av fingeravtryck för en effektiv tillämpning av Dublinkonventionen.

Dublinkonventionen har nyligen ersatts av rådets förordning (EG) nr 343/2003 av den 18 februari 2003 om kriterier och mekanismer för att avgöra vilken medlemsstat som har ansvaret för att pröva en asylansökan som en medborgare i tredje land har gett

SOU 2003:40

Verksamhet enligt utlännings- och medborgarskapslagstiftningen

in i någon medlemsstat. Under en övergångstid kommer konventionen dock fortfarande att vara tillämplig i vissa fall.

Dublinkonventionen och EG-förordningen fastställer alltså vilken medlemsstat som är skyldig att behandla en asylansökan som har lämnats in i en medlemsstat. Enligt konventionen och EG- förordningen gäller den s.k. första asyllandsprincipen, dvs. att det land som en asylsökande först kommer till skall ansvara för asylprövningen. En medlemsstat som bedömer att en annan medlemsstat är ansvarig för prövningen av en asylansökan som man mottagit, kan begära att den senare staten övertar ansvaret för sökanden. Varje medlemsstat är skyldig att överlämna till annan medlemsstat som så begär den information om enskilda ärenden som är nödvändig för att avgöra vilken stat som är skyldig att pröva asylansökan. I konventionen och i EG-förordningen finns närmare reglerat vilka personuppgifter som får ingå i den överlämnade informationen.

Enligt artikel 21.2 EG-förordningen omfattar informationsskyldigheten följande personuppgifter.

(a)Personuppgifter om sökande och i förekommande fall familjemedlemmar (fullständigt namn, i förekommande fall tidigare namn, smeknamn eller pseudonymer, nuvarande och tidigare medborgarskap samt födelsedatum och födelseort),

(b)identitets- och resehandlingar (referenser, giltighetstid, datum för utfärdande, utfärdande myndighet, plats för utfärdande m.m.),

(c)annan information som är nödvändig för att fastställa sökandens identitet, inklusive fingeravtryck enligt bestämmelserna i förordning (EG) 2725/2000 (Eurodacförordningen),

(d)orter där sökanden uppehållit sig och resvägar,

(e)uppehållstillstånd och viseringar som utfärdats av en medlemsstat,

(f)platsen där ansökan lämnades in samt

(g)datum för en eventuell tidigare asylansökan, datum för den aktuella ansökan, hur långt handläggningen framskridit och innehållet i ett eventuellt beslut.

Vidare omfattar informationsskyldigheten uppgifter om grunder för asylansökan och skälen för eventuella beslut som fattas rörande asylsökanden, om sökanden samtycker till att dessa uppgifter kommuniceras. En stat får under vissa förutsättningar vägra lämna ut dessa uppgifter.

Verksamhet enligt utlännings- och medborgarskapslagstiftningen

SOU 2003:40

Efter Amsterdamfördragets ikraftträdande har arbetet inom EU med en harmonisering av asyl- och migrationspolitiken intensifierats. Ett antal rättsakter har tillkommit utöver den nyss nämnda förordningen som ersätter Dublinkonventionen. Här kan nämnas rådets förordning (EG) nr 333/02 om införandet av en enhetlig utformning av viseringar och uppehållstillstånd. Dessutom kan nämnas rådets direktiv 2001/55/EG av den 20 juli 2001 om miniminormer för att ge tillfälligt skydd vid massiv tillströmning av fördrivna personer och om åtgärder för att främja en balans mellan medlemsstaternas insatser för att ta emot dessa personer och bära följderna av detta. Direktivet har genomförts genom bl.a. ändringar i utlänningslagen och i lagen (1994:137) om mottagande av asylsökande m.fl. (SFS 2002:1111 respektive SFS 2002:1112). Den 27 januari 2003 antogs rådets direktiv 2003/9/EG om miniminormer för mottagande av asylsökande i medlemsstaterna.

Förhandlingar inom EU om ett betydande antal nya rättsakter pågår, bl.a. ett förslag till direktiv om rätten till familjeåterförening och ett förslag till direktiv om miniminormer för när medborgare i tredje land skall betraktas som flyktingar. För närvarande bereds dessutom frågan om en central databas med identifieringssystem för viseringar där det bl.a. planeras att personuppgifter, digitala fotografier och biometriska data skall lagras (se regeringens skrivelse 2002/03:60 s. 157 f.) .

I detta sammanhang kan även nämnas att Sverige den 25 mars 2001 blev operativ medlem i Schengensamarbetet, vilket har förändrat verksamheten enligt utlänningslagen. Samarbetets huvudsyfte är att uppnå fri rörlighet för personer inom samarbetsområdet genom att personkontrollen vid inre gräns slopas. Samarbetet bygger på att de deltagande staterna tillsammans ansvarar för kontrollen av de gemensamma yttre gränserna. Detta har krävt harmonisering av viseringsbestämmelser och regler för personkontroll vid yttre gränser. För Sveriges del har samarbetet inneburit att inresekontrollen mot inre gräns upphört medan, å andra sidan, utresekontroll vid yttre gränser införts.

I samarbetet ingår också ett gemensamt datoriserat informationssystem. Schengens informationssystem (SIS) är uppbyggt som ett spanings- och efterlysningshjälpmedel. Systemet består av en nationell enhet för varje Schengenstat och en central teknisk stödfunktion, som är gemensam för Schengenländerna. Schengens informationssystem innehåller bl.a. uppgifter om personer som skall nekas inresa i Schengenområdet, den s.k. spärrlistan. I avsnitt

SOU 2003:40

Verksamhet enligt utlännings- och medborgarskapslagstiftningen

4.1.3 kommer ett annat system som utvecklats inom Schengensamarbetet, Vision, att närmare behandlas.

Utlänningslagens materiella regler i korta drag

Utlänningars rätt att vistas i Sverige är reglerad. Utlänningslagen innehåller närmare föreskrifter om utlänningars inresa, utresa, vistelse i Sverige och arbete i Sverige som anställd. Dessutom finns i lagen bestämmelser om rätten till asyl i Sverige. Denna reglering medför i sin tur att det i lagen ställs upp krav på utlänningars passinnehav, visering, uppehållstillstånd eller arbetstillstånd som förutsättning för vistelse i Sverige. Från dessa krav finns emellertid åtskilliga undantag, främst vad gäller nordbor och EU-medborgare. I utlänningslagen anges också under vilka förutsättningar en utlänning kan avvisas eller utvisas ur landet. Utlänningslagens bestämmelser kompletteras av bestämmelser i utlänningsförordningen (1989:547).

Grundregeln är att utlänningar skall ha pass vid inresa och vistelse i Sverige. Schengenmedborgare är undantagna från detta krav liksom utlänningar med permanent uppehållstillstånd i Sverige.

Visering är ett tillstånd att resa in i och vistas i Sverige under en viss kortare tid, högst tre månader. Har man gällande visering krävs inget uppehållstillstånd för samma vistelse. Viseringar är normalt enhetliga, dvs. gäller inom sin giltighetstid för inresa och vistelse i samtliga Schengenstater. Av svenska myndigheter beviljade viseringar gäller således i alla andra Schengenstater och vice versa. Nationella viseringar, som enbart gäller i Sverige, kan emellertid i undantagsfall utfärdas. En rad undantag ger medborgare från många länder möjlighet att resa in i och uppehålla sig i Sverige i tre månader utan visering.

Uppehållstillstånd innebär tillstånd att resa in i och vistas i Sverige under viss tid eller utan tidsbegränsning. Asyl innebär uppehållstillstånd som beviljas flyktingar såsom dessa närmare definieras enligt 3 kap. 2 § utlänningslagen. Skyddsbehövande i övrigt definieras i 3 kap. 3 § och har liksom flyktingar rätt att få uppehållstillstånd.

Arbetstillstånd innebär rätt att arbeta i Sverige som anställd. En mängd undantag från kravet på arbetstillstånd gäller för kategorier

Verksamhet enligt utlännings- och medborgarskapslagstiftningen

SOU 2003:40

av utlänningar, bl.a. är EU- och EES-medborgare helt undantagna från krav på arbetstillstånd.

Under vissa förutsättningar får en utlänning avvisas eller utvisas från Sverige. Dessa åtgärder innebär olika sätt för avlägsnande av utlänningar som saknar tillstånd att vistas i Sverige.

Förvar och uppsikt. För att kunna utreda en utlännings identitet eller för att kunna verkställa ett beslut om avvisning eller utvisning av någon som kan befaras hålla sig undan finns bestämmelser om frihetsberövande i form av förvar. År 1997 övertog Migrationsverket från polisen uppgiften att ansvara för behandlingen av förvarstagna utlänningar och ålades samtidigt att hålla särskilda förvarslokaler där förvarstagna utlänningar som huvudregel skall placeras. Om det bedöms tillräckligt, får utlänningen i stället hållas under uppsikt, vilket kan innebära att utlänningen förpliktas att på vissa tider anmäla sig hos polismyndigheten i en ort.

I 6 kap. utlänningsförordningen föreskrivs en omfattande underrättelseskyldighet myndigheter emellan i verksamhet som gäller utlänningars vistelse m.m. i Sverige.

Handläggande myndigheter enligt utlänningslagen

Regleringen i utlänningslagen ger upphov till en mycket stor mängd förvaltningsärenden som brukar sammanfattas under benämningen utlänningsärenden. Flera myndigheter är inbegripna i handläggningen av dessa ärenden.

Beslut om visering, uppehållstillstånd och arbetstillstånd meddelas enligt 2 kap. 7 § utlänningslagen av Migrationsverket med möjlighet till bemyndigande av beslutanderätten från Migrationsverket till utlandsmyndigheter, dvs. beskickningar eller konsulat. För närvarande beviljar, med stöd av bemyndiganden, utlandsmyndigheterna upp emot 90 procent av alla viseringar. Utlandsmyndigheterna prövar dessutom en stor andel ansökningar om tidsbegränsade uppehållstillstånd och arbetstillstånd för utlänningar som ännu befinner sig utanför Sverige och som inte åberopar asylskäl. Föreskrifter härom finns bl.a. i Migrationsverkets författningssamling, MIGRFS 2001:6.

Regeringen prövar ett mindre antal utlänningsärenden – s.k. säkerhetsärenden och ärenden av prejudikatintresse – som överlämnas från Migrationsverket eller Utlänningsnämnden. Regeringen får också besluta att grupper av fördrivna utlänningar får ges

SOU 2003:40

Verksamhet enligt utlännings- och medborgarskapslagstiftningen

uppehållstillstånd med tillfälligt skydd här (2 a kap. 3 § utlänningslagen).

Alla ansökningar om asyl handläggs och prövas av Migrationsverket som första instans. Det förekommer att utlandsmyndigheterna medverkar i Migrationsverkets – eller andrainstansen Ut- länningsnämndens – handläggning av asylutredningar genom att göra faktakontroller av en asylsökandes uppgifter i sökandens hemland eller i övrigt göra undersökningar som har betydelse för ett enskilt ärende. Denna form av utlandsmyndigheternas medverkan i utlänningsärenden (samt även medborgarskapsärenden) är författningsreglerad i förordningen (1992:247) med instruktion för utrikesrepresentationen och har nyligen utretts av Utredningen om sekretess hos utlandsmyndigheter m.m. I sitt betänkande Utlandsmyndigheternas medverkan i utlänningsärenden m.m. (SOU 2001:110) har utredningen föreslagit vissa ändringar i sekretesshänseende som rör denna medverkan. Förslagen har ännu inte lett till någon lagstiftning.

Polismyndighet får, efter medgivande av Migrationsverket, bevilja nödfallsviseringar för viseringsskyldig utlänning som vid inresa saknar visum på grund av att han eller hon av tidsbrist eller tvingande skäl inte har kunnat ansöka om sådant. Polismyndighet får vidare utfärda sjömansviseringar för utlänning som är sjöman och som i samband med av- eller påmönstring skall resa in i landet för att kunna fortsätta till en annan Schengenstat.

När det gäller arbetstillstånd får, i den utsträckning som Migrationsverket medger, en polismyndighet, Arbetsmarknadsstyrelsen och länsarbetsnämnder bevilja tillstånd.

Migrationsverket prövar ärenden om avvisning av asylsökande och vissa andra utlänningar. I övriga fall prövas ärendena av polismyndigheten. Anser polismyndigheten det tveksamt om avvisning bör ske, skall ärendet överlämnas till Migrationsverket. Ärenden om utvisning prövas av Migrationsverket eller, för det fall ärendet rör utvisning på grund av brott, av allmän domstol.

Beslut om förvar eller uppsikt fattas av den myndighet som handlägger ärendet, vilken kan vara polismyndigheten, Migrationsverket eller Utlänningsnämnden. Polismyndighet verkställer egna avvisningsbeslut, utvisningar på grund av brott och i regel avvisning och utvisning i säkerhetsärenden. I övrigt ansvarar Migrationsverket för verkställighet av sådana beslut, dock med möjlighet att överlämna verkställigheten av avvisning eller utvisning till polis-

Verksamhet enligt utlännings- och medborgarskapslagstiftningen

SOU 2003:40

myndighet eller att begära polismyndighets bistånd för genomförande av ett beslut om förvar.

Brott mot utlänningslagen utreds och åtalas av allmän åklagare samt prövas av allmän domstol.

Många beslut i utlänningsärenden, dock inte viseringsärenden, får överklagas. Polismyndigheternas beslut om avvisning får överklagas till Migrationsverket. Migrationsverkets beslut om avvisning och utvisning, avslag eller återkallelse av uppehållstillstånd eller, i vissa fall, arbetstillstånd m.m. får överklagas till Utlänningsnämnden. Allmän förvaltningsdomstol prövar vissa överklaganden, t.ex. beslut om tagande i förvar och omhändertagande av pass. Även ärenden om resning prövas av allmän förvaltningsdomstol.

Förutom handläggning av utlänningsärenden bör nämnas den verksamhet som polismyndigheterna har huvudansvaret för och som gäller kontroll av att utlänningar inte reser in i eller vistas i Sverige i strid mot utlänningslagen. Närmare bestämmelser härom finns i 5 kap. utlänningslagen och i utlänningsförordningen. Kontrollen utförs dels som en gränskontroll, dels som den s.k. inre utlänningskontrollen. Den förstnämnda avser kontroll av samtliga inresande och utresande utlänningar till eller från gränskontrollorter vid yttre gränser som inte räknas som inre gräns mot Schengenstat. Kustbevakningen och Tullverket är skyldiga att bistå polisen i denna kontroll. Den inre utlänningskontrollen avser kontroll av att utlänningar som vistas i Sverige har tillstånd att uppehålla sig här eller att utlänningar som arbetar som anställda här har erforderligt arbetstillstånd. Kustbevakningen är skyldig att i sin sjötrafikövervakning bistå polisen även med den inre utlänningskontrollen. Migrationsverket medverkar både i den yttre och den inre utlänningskontrollen.

Avslutningsvis kan påpekas att regeringen i en lagrådsremiss av den 6 juni 2002 lämnat förslag till bl.a. en ny utlänningslag. Förslaget avser bl.a. en ny instans- och processordning enligt vilken Migrationsverkets beslut skall kunna överklagas till vissa länsrätter och en kammarrätt. Dessa domstolar skall handlägga ärendena som migrationsdomstolar respektive Migrationsöverdomstol. Förslaget följer riksdagens beslut om att Utlänningsnämnden skall läggas ned och att överprövningen av asylärenden skall flyttas till domstolsväsendet. Efter det att Lagrådet framfört kritik mot regeringens förslag har ärendet beretts vidare i Regeringskansliet. Regeringen har nyligen beslutat att tillsätta en parlamentarisk kommitté som bl.a. skall se över utlänningslagens materiella regler och anpassa

SOU 2003:40

Verksamhet enligt utlännings- och medborgarskapslagstiftningen

dessa till en övergång från handläggning hos förvaltningsmyndighet och regering till ett system där överprövning sker i domstol (dir. 2003:28). Enligt direktivet skall uppdraget redovisas senast den 15 december 2003. Dessförinnan kommer regeringen således inte att lägga fram ett nytt förslag om ändrad instansordning.

3.2Verksamhet enligt medborgarskapslagen

Regler om förvärv, förlust och befrielse från svenskt medborgarskap finns i medborgarskapslagen. Tillämpningsbestämmelser finns i medborgarskapsförordningen (2001:218).

En utlänning kan beviljas svenskt medborgarskap efter ansökan (naturalisation), om han eller hon uppfyller vissa krav, som finns angivna i 11 § medborgarskapslagen (en del lättnader i kraven ges i 12 §). Han eller hon skall bl.a. ha styrkt sin identitet, ha permanent uppehållstillstånd i Sverige samt ha haft hemvist här under vissa minimitider (olika tider beroende på till vilken kategori utlänningen hör) samt haft och kan förväntas komma att ha ett hederligt levnadssätt. Det sistnämnda kravet medför att uppgifter ur misstanke- och belastningsregistren normalt hämtas in i naturalisationsärenden liksom upplysningar från kronofogdemyndigheten om eventuella obetalda skulder. Dessutom kan upplysningar inhämtas från socialnämnd om sökandens personliga förhållanden för att bringa klarhet i hur utlänningen försörjer sig.

Svenska medborgares barn – som inte förvärvar svenskt medborgarskap genom födelse, adoption eller föräldrars äktenskap – kan erhålla svenskt medborgarskap efter anmälan. Detsamma gäller vissa andra särskilt angivna utlänningar, företrädesvis barn och ungdomar, med permanent uppehållstillstånd i Sverige. Medborgare i nordiska länder som haft hemvist här sedan fem år kan normalt förvärva medborgarskap efter anmälan.

Svenska medborgare kan förlora sitt medborgarskap under förutsättningar som anges i 14 §. I 15 § finns regler om befrielse från svenskt medborgarskap.

Länsstyrelserna prövar anmälningar om svenskt medborgarskap som gäller medborgare i ett annat nordiskt land. Utlänningsnämnden prövar ärenden om förklaring om svenskt medborgarskap.

I övrigt prövas medborgarskapsärenden av Migrationsverket som första instans. I vissa fall skall emellertid anmälningar och ansök-

Verksamhet enligt utlännings- och medborgarskapslagstiftningen

SOU 2003:40

ningar om medborgarskap, som prövas av Migrationsverket, ges in till en svensk utlandsmyndighet inom vars verksamhetsområde utlänningen är bosatt. Detta gäller bl.a. ansökningar om naturalisation från utlänningar som har fyllt 15 år och som inte är folkbokförda i Sverige.

Utlandsmyndigheterna skall därvid göra den utredning som behövs för ärendets prövning och sedan sända handlingarna till Migrationsverket för fortsatt handläggning. Även i andra medborgarskapsärenden skall utlandsmyndigheterna, på motsvarande sätt som beträffande utlänningsärenden, se avsnitt 3.1, medverka i enskilda ärenden på begäran av utlänningsmyndighet.

Migrationsverket och Utlänningsnämnden får i prejudikatsyfte överlämna vissa medborgarskapsärenden, däribland naturalisationsärenden, till regeringen.

Underrättelse om förvärv av svenskt medborgarskap efter ansökan eller anmälan skall ske till skattemyndigheten och, i förekommande fall, till den utlandsmyndighet som har tagit emot anmälan eller ansökan.

Migrationsverkets eller en länsstyrelses beslut om förvärv av svenskt medborgarskap efter anmälan får överklagas till allmän förvaltningsdomstol. Detsamma gäller Utlänningsnämndens beslut om förklaring. Övriga Migrationsverkets beslut får överklagas till Utlänningsnämnden, dock med undantag för säkerhetsärenden som överklagas till regeringen. Med säkerhetsärende avses ett ärende där Rikspolisstyrelsen hos Migrationsverket har föreslagit att ansökan avslås av skäl som rör rikets säkerhet eller allmän säkerhet.

Vid handläggningen av naturalisationsärenden brukar Migrationsverket begära ett s.k. kontrollbesked från Rikspolisstyrelsen (Säkerhetspolisen) då annan klar avslagsgrund inte bedöms föreligga. Syftet är att utröna om det finns några hinder av säkerhetsmässig karaktär mot att bevilja sökanden svenskt medborgarskap.

3.3Övrig verksamhet

Som inledningsvis framgått är det inte helt självklart vad som skall avses med verksamhet enligt utlännings- och medborgarskapslagstiftningen. Ser man till de myndigheter som i direktiven nämns som verksamma inom rättsområdet, är det närmast Utlänningsnämnden som i princip inte bedriver annan egentlig verksamhet än

SOU 2003:40

Verksamhet enligt utlännings- och medborgarskapslagstiftningen

att handlägga ärenden enligt utlänningslagen och medborgarskapslagen. Rikspolisstyrelsen, polismyndigheterna och utlandsmyndigheterna har annan verksamhet som sina huvudsakliga uppgifter.

Integrationsverket, som är den centrala förvaltningsmyndigheten för integrationsfrågor, bedriver ingen verksamhet enligt utlännings- eller medborgarskapslagarna. Enligt förordningen (1998:201) med instruktion för Integrationsverket skall verket bl.a. arbeta för att kommunerna har beredskap och kapacitet att ta emot skyddsbehövande som beviljats uppehållstillstånd och, vid behov, medverka vid deras bosättning. Därutöver skall verket följa upp kommunernas introduktion för skyddsbehövande och andra nyanlända utlänningar för vilka kommunerna får statlig ersättning samt återföra resultatet till kommunerna, andra myndigheter och regeringen. Vidare beslutar Integrationsverket om viss statlig ersättning till kommuner och landsting för flyktingmottagande och sjukvårdskostnader.

Migrationsverket är den centrala utlänningsmyndigheten i Sverige. Enligt förordningen (1988:429) med instruktion för Migrationsverket är verket en central myndighet för migrations- och medborgarskapsfrågor i den mån dessa inte skall prövas av annan myndighet. Enligt instruktionen har Migrationsverket vidare att fullgöra de uppgifter som verket har enligt utlänningslagstiftningen, medborgarskapslagstiftningen eller andra författningar. Därutöver skall verket svara för överföring av organiserat uttagna flyktingar, de s.k. kvotflyktingarna, som i samarbete med FN:s flyktingkommissariat (UNHCR) tas emot i Sverige för medel som varje år anslås av riksdagen och regeringen till flyktingkvoten. Dessutom skall Migrationsverket svara för mottagandet av asylsökande och vissa andra utlänningar med tidsbegränsade uppehållstillstånd samt för dessa ändamål ha huvudansvaret för boendet, besluta om statlig ersättning för vissa sjukvårdskostnader, fortlöpande bevaka att myndigheternas handläggning av frågor enligt utlännings- och medborgarskapslagstiftningen är effektiv, föra register och statistik över utlänningar i landet i den utsträckning som behövs för verksamheten samt vara den i Sverige ansvariga myndigheten i frågor som rör den europeiska flyktingfonden.

Nedan följer en översiktlig beskrivning av verksamhet enligt författningar med nära koppling till utlänningslagen. Beskrivningen tar sin utgångspunkt i verksamhetsdefinitionen i 1 § utlänningsdataförordningen.

Verksamhet enligt utlännings- och medborgarskapslagstiftningen

SOU 2003:40

Verksamhet som gäller utlänningars vistelse i och avlägsnande från landet

Utöver utlänningslagen finns regler om utvisning i lagen (1991:572) om särskild utlänningskontroll. En utlänning som inte avvisas eller utvisas enligt utlänningslagen får nämligen utvisas ur landet enligt sistnämnda lag, om det behövs av hänsyn till rikets säkerhet eller det med hänsyn till vad som är känt om utlänningens tidigare verksamhet och övriga omständigheter kan befaras att han kommer att begå eller medverka till brottslig gärning som innefattar våld, hot eller tvång för politiska syften.

Utvisningsbeslut enligt lagen om särskild utlänningskontroll fattas av regeringen som enda instans. Frågan tas upp på ansökan av Rikspolisstyrelsen eller av regeringen självmant. En polismyndighet, en länsstyrelse eller Migrationsverket skall anmäla till Rikspolisstyrelsen om myndigheten finner anledning att anta att ett beslut om utvisning bör meddelas. Förhandling i frågan skall som regel hållas vid Stockholms tingsrätt varvid Rikspolisstyrelsen är utlänningens motpart. Yttrande skall inhämtas från Migrationsverket.

Utlänningsnämnden prövar överklagade beslut om offentligt biträde.

I tidigare nämnda lagrådsremiss om ny instans- och processordning, se avsnitt 3.1, har regeringen föreslagit väsentliga ändringar i lagen om särskild utlänningskontroll. Ett av förslagen är att Migrationsverket skall fatta beslut om utvisning i första instans med regeringen som överklagandeinstans.

Verksamhet som gäller utlänningars rätt att arbeta i landet

Utlänningars rätt att arbeta i Sverige regleras uttömmande i utlänningslagen och utlänningsförordningen eller av föreskrifter som meddelats efter bemyndigande i dessa författningar.

Enligt lagen (1989:532) om tillstånd för anställning på fartyg får Arbetsmarknadsstyrelsen och, efter bemyndigande av regeringen respektive Utrikesdepartementet, sjöarbetsförmedling eller svensk utlandsmyndighet ge tillstånd för att vissa utlänningar skall få ta anställning på svenska fartyg i utrikes trafik.

SOU 2003:40

Verksamhet enligt utlännings- och medborgarskapslagstiftningen

Mottagande av asylsökande och vissa andra utlänningar och verksamhet som rör bistånd och stöd till utlänningar som enligt lag eller annan författning handläggs av Migrationsverket

I lagen (1994:137) om mottagande av asylsökande m.fl. (LMA) ges bestämmelser om sysselsättning för och bistånd till 1) utlänningar som är asylsökande, 2) utlänningar som har beviljats uppehållstillstånd med tillfälligt skydd eller uppehållstillstånd efter tillfälligt skydd med stöd av bestämmelserna i 2 a kap. 2-4 eller 6 § utlänningslagen och som inte är folkbokförda här eller 3) utlänningar som har ansökt om uppehållstillstånd i Sverige och av särskilda skäl medgetts rätt att vistas här medan ansökan prövas (1 § första stycket LMA).

Enligt LMA har Migrationsverket huvudansvaret för mottagandet av de två förstnämnda kategorierna utlänningar, 1) och 2), och är för detta ändamål ålagt att driva förläggningar. Migrationsverket får emellertid uppdra åt andra att driva förläggningar. Den som är eller har varit verksam vid en förläggning som drivs av enskild är enligt LMA ålagd tystnadsplikt och får alltså inte obehörigen röja vad han eller hon erfarit om enskildas personliga förhållanden.

Alla utlänningar av kategorierna 1) och 2) skall erbjudas plats och i vart fall registreras vid en förläggning. Migrationsverket svarar sedan för att bistånd lämnas enligt bestämmelserna i LMA. För bistånd till utlänningar enligt kategori 3) svarar socialnämnden i den kommun där utlänningen vistas.

Enligt LMA skall Migrationsverket ge de utlänningar verket ansvarar för sysselsättning i lämplig omfattning genom deltagande i svenskundervisning, skötseln av förläggningen och annan verksamhet som bidrar till att göra vistelsen meningsfull. Vid en förläggning registrerade utlänningar har under angivna förutsättningar rätt till bistånd av olika slag, nämligen logi, bostadsersättning, dagersättning eller särskilt bidrag. Beslut om bistånd fattas av Migrationsverket. När det gäller särskilt bidrag avser de inte sällan bidrag för en utlännings vårdavgift, dvs. den avgift som utlänningen själv skall betala för hälso- och sjukvård m.m. enligt förordningen (1994:362) om vårdavgifter m.m. för vissa utlänningar. Alla registrerade vid en förläggning får en personlig handling med sitt foto och sin namnteckning, ett s.k. LMA-kort, som visar att de är registrerade.

Verksamhet enligt utlännings- och medborgarskapslagstiftningen

SOU 2003:40

Även utlänningar enligt LMA:s kategori 3) har rätt till visst bistånd i form av dagersättning och särskilt bidrag. Beslut om dessa bistånd fattas av den socialnämnd som ansvarar för utlänningen.

Migrationsverkets och socialnämndens beslut enligt LMA får överklagas till allmän förvaltningsdomstol.

Enligt LMA har kommun som har lämnat bistånd rätt till ersättning från staten för biståndet.

I förordningen (1994:361) om mottagande av asylsökande m.fl. ges ytterligare föreskrifter om sysselsättning och bistånd m.m. Migrationsverket har dessutom utfärdat föreskrifter och allmänna råd som komplement till LMA och förordningen.

Enligt förordningen (1984:890) om bidrag till utlänningars resor från Sverige för bosättning i annat land får Migrationsverket besluta om statligt bidrag till utlänning som önskar lämna Sverige för bosättning i ett annat land. Sådant bidrag får ges till kvotflyktingar, till dem som fått uppehållstillstånd efter att ha sökt asyl här eller till dem som har anknytning till en sådan utlänning.

Enligt förordningen (1984:936) om bidrag till flyktingar för kostnader för anhörigas resor till Sverige får Migrationsverket bevilja bidrag för vissa anhörigas resor hit till landet.

Verksamhet som gäller ersättning för och bosättning av utlänningar som enligt lag eller annan författning handläggs av Integrationsverket

Enligt förordningen (1990:927) om statlig ersättning för flyktingmottagande m.m. skall Integrationsverket träffa överenskommelser med kommuner om mottagande av kvotflyktingar, utlänningar som har fått uppehållstillstånd efter att ha varit registrerade vid en förläggning för asylsökande samt vissa andra utlänningar. Förordningen innehåller omfattande och detaljerade bestämmelser om kommuners rätt att få schablonbelopp eller ersättning för särskilda eller extraordinära kostnader som de haft för mottagna utlänningar i en mängd olika hänseenden. Ersättning lämnas t.ex. för ekonomisk hjälp som kommuner lämnat enligt lagen (1992:1068) om introduktionsersättning för flyktingar och vissa andra utlänningar. Även landsting har enligt förordningen rätt till ersättning för vissa kostnader.

Kommuner och landsting är skyldiga att lämna Integrationsverket de uppgifter som krävs för bedömningen av deras rätt till ersättning. Det kan t.ex. gälla uppgifter som visar att kommunen är

SOU 2003:40

Verksamhet enligt utlännings- och medborgarskapslagstiftningen

berättigad till ersättning för särskilda kostnader som kommunen haft på grund av en utlännings sjukdom eller funktionshinder, som utlänningen hade vid ankomsten till Sverige eller som annars kan antas ha ett samband med utlänningens situation som flykting etc.

Övrigt

Den 31 maj 1996 träffade staten och Landstingsförbundet en överenskommelse om landstingens åtagande och statens ersättning för hälso- och sjukvård till asylsökande m.fl. Enligt överenskommelsen erbjuds asylsökande m.fl. akut sjuk- och tandvård m.m. Överenskommelsen har förlängts och justerats ett antal gånger. I den omfattning som landstingen ger vård lämnas ersättning enligt förordningen (1996:1357) om statlig ersättning för hälso- och sjukvård till asylsökande. Även kommuner och apotek ersätts för kostnader som de har för sådana utlänningar som avses i 1 § första stycket 1) och 2) LMA. Ersättning enligt förordningen beslutas och betalas av Migrationsverket. Landsting och kommuner är skyldiga att lämna Migrationsverket de uppgifter som krävs för bedömning av deras rätt till ifrågavarande ersättning. Beslut om ersättning för kostnader kan i vissa fall överklagas till regeringen.

Enligt förordningen (2002:1118) om statlig ersättning för asylsökande m.fl. beslutar Migrationsverket om bl.a. ersättning för bistånd och annat som en kommun utgett enligt LMA eller förordningen (2001:976) om utbildning, förskoleverksamhet och skolbarnsomsorg för asylsökande barn m.fl.

Förordningen (2000:415) om statlig ersättning till kommuner och landsting för kostnader för vissa utlänningar med tidsbegränsade uppehållstillstånd innehåller bestämmelser om statlig ersättning till kommuner och landsting för vissa kostnader som kommunerna och landstingen haft för medborgare i Förbundsrepubliken Jugoslavien som kommer från provinsen Kosovo och som beviljats tidsbegränsade uppehållstillstånd enligt utlänningslagen och som inte heller omfattas av LMA.

Ersättning ges bl.a. för kostnader för bistånd enligt socialtjänstlagen (2001:453) av motsvarande karaktär som bistånd enligt lagen om mottagande av asylsökande m.fl. för hälso- och sjukvård, undervisning, tolkkostnader m.m. Ersättning betalas av Migrationsverket efter ansökan i efterskott för varje kalenderår.

Verksamhet enligt utlännings- och medborgarskapslagstiftningen

SOU 2003:40

Landsting och kommuner är skyldiga att lämna Migrationsverket de uppgifter som krävs för bedömningen av deras rätt till ersättning enligt förordningen.

Förordningen (2000:216) om statsbidrag till organisationer som främjar integration innehåller bestämmelser om statliga bidrag som kan ges i form av organisationsbidrag, verksamhetsbidrag eller projektbidrag till organisationer som till övervägande delen har medlemmar med invandrarbakgrund. Integrationsverket handlägger dessa bidragsärenden.

Enligt förordningen (2001:22) om den europeiska flyktingfonden prövar Migrationsverket frågor om stöd till insatser från den europeiska flyktingfonden som inrättats enligt rådets beslut 2000/596/EG. Ekonomiskt stöd kan för vissa ändamål och efter ansökan lämnas till myndigheter eller organisationer. Migrationsverket skall höra Integrationsverket innan beslut fattas.

Enligt förordning (1990:1361) om lån till hemutrustning för flyktingar och vissa andra utlänningar skall Centrala studiestödsnämnden handlägga ärenden om lån till hemutrustning för flyktingar och vissa andra utlänningar som har fått uppehållstillstånd. Förordningen innehåller en mängd bestämmelser om under vilka förutsättningar lån får beviljas m.m. Migrationsverket och Integrationsverket är skyldiga att på nämndens begäran lämna vissa uppgifter om enskilda utlänningar.

4Behandling av personuppgifter inom verksamhetsområdet

I utredningens direktiv anges att utredaren som en utgångspunkt för uppdraget skall kartlägga den nuvarande behandlingen och de framtida nödvändiga behoven av att behandla personuppgifter i verksamhet enligt utlännings- och medborgarskapslagstiftningen.

Utredningen har vid genomförandet av denna kartläggning tagit del av ett antal tillstånd från Datainspektionen rörande ett flertal personregister, främst tillstånd för Migrationsverket men också för Utlänningsnämnden och Integrationsverket. Andra dokument och handböcker med beskrivningar av automatiserade system och dess innehåll har i olika skeden presenterats för utredningen.

Den särskilde utredaren och sekreteraren har dessutom företagit ett studiebesök vid Migrationsverkets huvudkontor i Norrköping. Vid besöket presenterades och förevisades nuvarande system för automatiserad behandling av personuppgifter. På sekretariatsnivå har kontakter förekommit med systemansvariga inom Migrationsverket samt med företrädare för Integrationsverket och Rikspolisstyrelsen.

I detta avsnitt redovisas vad som inhämtats om behandling av personuppgifter inom de aktuella myndigheterna. Det bör noteras att redogörelsen inte gör anspråk på att vara annat än en översiktlig redovisning av den kartläggning som utredningen genomfört. Beskrivningen inskränker sig vidare till behandling som sker i personregister eller annars ingår i eller är kopplade till större automatiserade system. Annan fristående behandling i ordbehandlingsprogram, e-post etc. lämnas utanför redogörelsen.

Redan här kan nämnas att åtskilliga av de personuppgifter som behandlas inom verksamhetsområdet omfattas av sekretess. Utredningen tar i avsnitt 7 upp olika sekretessfrågor. Även i avsnitt 6 berörs i viss mån sekretess för personuppgifter.

Behandling av personuppgifter inom verksamhetsområdet

SOU 2003:40

4.1Migrationsverket

Som framgått av avsnitt 3 är Migrationsverket en central utlänningsmyndighet som har ett visst övergripande ansvar för migrations- och medborgarskapsfrågor inom landet. Regeringen har i den senaste budgetpropositionen och i regleringsbrev angett att Migrationsverket har ett processansvar i förhållande till utlandsmyndigheterna samt ett samordningsansvar gentemot övriga berörda myndigheter i migrationsprocessen, dvs. polismyndigheterna och Utlänningsnämnden (prop. 2002/03:1 utgiftsområde 8 s. 43). Det är också Migrationsverket som under de senare årtiondena utvecklat de största systemen för automatiserad behandling av personuppgifter i den ifrågavarande verksamheten. Det kan nämnas att det enligt myndighetsinstruktionen åligger verket att föra register och statistik över utlänningar i den utsträckning som behövs för verksamheten.

Inledningsvis beskrivs översiktligt verkets stora verksamhetsstödjande systemet som benämns STAMM (avsnitt 4.1.1). Beskrivningen omfattar även de automatiserade kopplingar av olika slag som finns mellan STAMM och andra externa datorsystem för informationsutbyte (avsnitten 4.1.1.2 och 4.1.2). Vidare beskrivs bl.a. myndighetsöverskridande system (avsnitt 4.1.3) samt pågående utvecklingsarbete (avsnitt 4.1.4). I efterföljande avsnitt beskrivs de särskilda databaserna för statistikrapportering m.m., för länder- och praxiskunskap, registrering av utlänningars fingeravtryck samt vissa övriga register vid verket (avsnitten 4.1.5 - 4.1.8).

4.1.1STAMM ett verksamhetsstödjande datasystem

4.1.1.1Allmänt om STAMM

Den centrala databasen inom Migrationsverket heter STAMM, vilket står för System för Tillstånd, Asyl, Mottagning och Medborgarskap. Enligt ett nyligen fattat beslut vid verket skall databasens namn bytas till Centrala Utlänningsdatabasen (CUD). I det följande används dock genomgående beteckningen STAMM, som databasen fortfarande kallas inom verksamheten.

STAMM utvecklades som ett personregister under förra hälften av 1990-talet. Fram till den 1 oktober 2001 var STAMM i drift med tillstånd från Datainspektionen. Med tiden har STAMM utvecklats till Migrationsverkets centrala databas, STAMM-basen, i vilken det

SOU 2003:40

Behandling av personuppgifter inom verksamhetsområdet

ursprungliga personregistret är en av flera beståndsdelar i ett verksamhetsstödjande ärendehanteringssystem som drivs med stöd av personuppgiftslagen och av utlänningsdataförordningen.

Inledningsvis bör anmärkas att Migrationsverket för närvarande hanterar information i manuella personakter, dossierer, i vilka alla dokument som rör en individ samlas. Alla automatiserade dokument som framställs i STAMM-basen skrivs ut på papper och läggs i dossiern som originaldokument. En dossier läggs upp, när en individ för första gången blir aktuell genom en ansökan av något slag, t.ex. genom en ansökan om tidsbegränsat uppehållstillstånd. Dossiern följer sedan individen i skilda slag av ärenden som kan aktualiseras. Dossiern är alltså "levande" till dess utlänningen i fråga beviljas svenskt medborgarskap eller avlider. Under denna tid, som kan vara under åtskilliga år, kan dossiern vandra mellan verkets regionkontor och avdelningar om utlänningen flyttar eller blir aktuell i olika slags ärenden. Det förekommer även att dossiern lämnas till Utlänningsnämnden i samband med ett överklagande eller lånas ut till andra myndigheter, t.ex. en polismyndighet.

STAMM-basen betjänar samtliga Migrationsverkets enheters ärendehantering av tillståndsfrågor, medborgarskapsärenden, diarieföring, asylprövningar, flyktingmottagning på slussar och förläggningar, bidragshantering, kommunplaceringar m.m.

Inom Migrationsverket sker en prövning om och i så fall till vilka delsystem varje anställd skall ha åtkomst. Endast de som behöver åtkomst för att kunna fullgöra sina arbetsuppgifter ges behörighet att logga in sig på hela STAMM-basen. En mängd behörighetsnivåer förekommer.

STAMM-basen innehåller en mängd personuppgifter om alla utlänningar som har sökt eller söker svenskt medborgarskap eller tillstånd att besöka, bo, arbeta eller studera i Sverige. Dessutom finns personuppgifter om alla utlänningar som ansökt om uppehålls- eller arbetstillstånd m.m. men som fått avslag på sina ansökningar. Utlänningar som avvisats vid gränsen, tagits i förvar eller dömts till utvisning från Sverige är också registrerade liksom de som ingår i förfrågningar från andra myndigheter eller privatpersoner.

I STAMM-basen är således ett stort antal utlänningar registrerade, för närvarande drygt en miljon individer. Dessutom förekommer personuppgifter om svenska medborgare som har anknytning till utlänningar, t.ex. som referenter, eller som nyligen har beviljats svenskt medborgarskap. Utlänningar vars ansökan om

Behandling av personuppgifter inom verksamhetsområdet

SOU 2003:40

tillstånd prövas av utlandsmyndigheter som inte är anslutna till ärendehanteringssystemet Wilma (se avsnitt 4.1.3) liksom utlänningar som besöker Sverige och som omfattas av viseringar beviljade av andra Schengenstater eller är viseringsfria registreras dock inte i STAMM-basen.

Personuppgifter registreras såväl i s.k. funktionsfält där kodsystem kan förekomma, som i fritexter eller dokument med löpande text som lagras i STAMM-basen, exempelvis utredningar eller motiverade beslut. I dylika dokument kan alla slags känsliga personuppgifter enligt 13 § personuppgiftslagen förekomma liksom uppgifter om lagöverträdelser och annan integritetskänslig information. Dessa lagrade dokument är åtkomliga för andra behöriga tjänstemän än den som skriver eller skrivit texten, oavsett om handlingen är upprättad eller om den ännu är under arbete. Upprättade dokument är normalt åtkomliga för behörig personal inom hela verket medan dokument under arbete normalt endast är åtkomliga på lokal nivå. Lagrade dokument med löpande text, exempelvis avslagsbeslut på asylansökningar, lagras lika länge i STAMM-basen som övriga registrerade uppgifter om individen. Fördelen med detta är, enligt vad verket framhållit, t.ex. att personal i Malmö kan beträffande en nyanländ asylsökande, som redan är registrerad i STAMM, läsa ett eventuellt avslagsbeslut i ett tidigare asylärende utan att behöva rekvirera dossiern.

Vad gäller sökbegrepp föreskrev tidigare tillstånd från Datainspektionen att fritextfält inte fick vara sökbara. Numera gäller enligt utlänningsdataförordningen endast den begränsningen att sådana känsliga personuppgifter som avses i 13 § personuppgiftslagen inte får användas som sökbegrepp i verksamhetsregister. För närvarande är fritexter inte sökbara för den enskilda användaren. Sökning på personnummer och samordningsnummer samt dossiernummer kan göras. Vidare kan sökning göras på registrerade utlänningars referenspersoner, exempelvis släktingar, arbetsgivare etc.

Personuppgifter i STAMM-basen som bedöms vara inaktuella förs över till en från STAMM-basen avskild databas för avställda uppgifter. Överflyttningen sker efter vissa tidsramar, t.ex. efter det att utlänningen i fråga blivit svensk medborgare eller då åtta år gått från det att utlänningen senast erhöll något arbets- eller uppehållstillstånd eller vars senaste ärende är ett viseringsärende och beslutet är äldre än fyra år. Via STAMM-basen kan man dock söka i databasen efter avställda uppgifter.

SOU 2003:40

Behandling av personuppgifter inom verksamhetsområdet

Innehåll och systembeskrivning

STAMM innehåller flera systemdelar som arbetar mot samma databas, STAMM-basen. Följande delar ingår i systemet.

STAMM-applikationen är ett personregister bestående av tekniskt skilda delsystem som bearbetar information på olika sätt. Delsystemen är emellertid sammankopplade och visar information för användaren parallellt i tabeller.

I delsystemet Gemensam plattform ingår ett antal undersystem. Individ är ett system som hanterar ärendeanknuten information om utlänningar, exempelvis medborgarskap, språk, och släktskapsrelationer. Etnicitet kan inte registreras i applikationen. Dossierlån är ett eget system i vilket varje dossiers fysiska placering, utlåningssystem och arkivering administreras. Systemet har av Datainspektionen ansetts utgöra ett tillståndspliktigt personregister i datalagens mening. I systemet Organisation finns en organisationsbeskrivning över Migrationsverket med adressuppgifter m.m. till regionenheter, flyktingförläggningar i Migrationsverkets eller annans regi. Här finns också uppgifter om vilken personal som arbetar på respektive enhet och vilka telefonnummer dessa har. Även uppgifter om tidigare anställda finns här. Systemadministration är ett undersystem i vilket behörighetsfrågor, rapportering m.m. registreras. Kvotsystemet är ett system i vilket resor och boende för kvotflyktingar registreras och administreras. Infobas är ett system för uttag av uppgifter ur STAMM-databasen för utlandsmyndigheternas räkning. Uppgifterna görs sedan automatiserat tillgängliga för utlandsmyndigheterna genom att lagras på CD-romskiva som utlämnas till utlandsmyndigheten. Denna hantering beskrivs närmare i avsnitt 4.1.3 nedan.

I delsystemet Ärende finns Migrationsverkets ärendehanteringssystem rörande handläggning av frågor om asyl, tillstånd, medborgarskap och mottagning. Här registreras ärenden och beslut samt korrespondens. Det finns möjlighet att spara ett beslut för att när som helst läsa eller skriva ut beslutet i efterhand. I en särskild listfunktion kan enhetens eller den enskilde handläggarens planeringsunderlag plockas fram. Listorna kan till stora delar utformas efter personliga önskemål.

Mottagning är ett annat delsystem i vilket administration av de asylsökandes boende hanteras, t.ex. finns uppgifter om boendetyp, inskrivningar och utflyttningar. Systemet används i den verksamhet som sker på slussar, förläggningar och regionkontor. Uppgifter

Behandling av personuppgifter inom verksamhetsområdet

SOU 2003:40

som registreras i denna systemdel är koncentrerade till aktiviteter rörande individen under tiden handläggningen av ett asylärende pågår. Genom systemet kan man söka fram lediga platser efter vissa kriterier, exempelvis efter språkgrupp, kön, barnfamilj m.m.

Diarium är delsystemet för Migrationsverkets diarieföring av allmänna handlingar som inte är ärende- eller dossieranknutna.

Ersättningar är ett administrativt system i vilket utbetalningar i form av dag- och bostadsersättningar, särskilda bidrag, kommun- och landstingsersättningar och ersättningar enligt lagen (1994:137) om mottagande av asylsökande m.fl. hanteras. Systemet beräknar storleken av de bidrag som skall betalas ut för varje individ eller familj och gör slutsummeringar. Uppgifterna sparas för att utgöra underlag till uppföljningar och för beräkning av statliga ersättningar till kommun och landsting.

Slutligen ingår det system som administrerar tillfälliga personliga handlingar för asylsökande, s.k. LMA-kort. Detta system, som benämns Kort, lagrar bl.a. skannade fotografier och namnteckningar av asylsökande, beställningar av ID-handlingar samt utbetalningar förknippade med korthanteringen.

4.1.1.2STAMM:s externa kopplingar

STAMM-basen har kopplingar till andra myndigheters datorsystem från eller till vilka information hämtas eller lämnas. Hur kopplingarna fungerar skiftar. Vissa kopplingar mellan STAMM och andra har karaktär av direktåtkomst, dvs. en direkt och automatiserad tillgång till uppgifter i STAMM med möjlighet att kunna söka efter information, dock utan möjlighet att kunna påverka innehållet i STAMM. I 6 § utlänningsdataförordningen föreskrivs att Rikspolisstyrelsen, polismyndigheterna, Utlänningsnämnden, Integrationsverket och utlandsmyndigheterna får ha direktåtkomst till Migrationsverkets verksamhetsregister, dvs. STAMM. Direktåtkomsten skall emellertid begränsas till att endast avse personuppgifter som en tjänsteman oundgängligen behöver för att fullgöra arbetsuppgifter i verksamhet enligt utlännings- och medborgarskapslagstiftningen såsom denna verksamhet närmare definieras i förordningens 1 §.

Flertalet av de myndigheter som har direktåtkomst har också möjlighet att inregistrera uppgifter i STAMM.

SOU 2003:40

Behandling av personuppgifter inom verksamhetsområdet

Centrala studiestödsnämnden

Centrala studiestödsnämnden behandlar ansökningar enligt förordningen (1990:1361) om lån till hemutrustning för flyktingar och vissa andra utlänningar, se avsnitt 3.3. Enligt 28 § i förordningen får nämnden med hjälp av automatisk behandling föra ett personregister för administration av dessa hemutrustningslån. I 29 § anges vilka uppgifter som får förekomma i registret. Enligt 30 § samma förordning är Migrationsverket skyldigt att på begäran lämna vissa uppgifter till nämnden, det gäller exempelvis uppgifter om personnummer eller dossiernummer hos Migrationsverket, namn, adress, medborgarskap, språkgrupp, familjeförhållanden, boendeförhållanden, uppgift om att personen är flykting eller asylsökande m.m. Denna uppgiftsskyldighet uppfylls på det sätt att nämnden har direktåtkomst till STAMM.

Migrationsverket är vidare skyldigt att lämna nämnden vissa uppgifter i ärenden om studiestöd, se 6 kap. 13 a § studiestödsförordningen (2002:618), samt i ärenden om rekryteringsbidrag till vuxna, se förordningen (2002:744) om rekryteringsbidrag till vuxenstuderande. Enligt uppgift från verket har nämnden inte direktåtkomst till STAMM på grund av dessa uppgiftsskyldigheter.

Någon direktåtkomst för nämnden finns inte föreskriven i utlänningsdataförordningen.

Integrationsverket

Integrationsverket har inte utvecklat något eget system för sin bidragshantering enligt förordningen (1990:927) om statlig ersättning för flyktingmottagande m.m. Detta hänger samman med att Integrationsverket i samband med sitt bildande år 1998 övertog vissa uppgifter från dåvarande Statens invandrarverk, däribland ersättningsärenden enligt den nämnda förordningen. Verket arbetar i systemet ROSE, som utvecklats av Migrationsverket som en av flera systemdelar i Migrationsverkets STAMM-bas. Det som en gång var ett av flera interna system för Migrationsverket är alltså numera ett verksamhetsstödjande system för såväl Migrationsverket som Integrationsverket, dock alltjämt utgörande en del av STAMM-basen.

År 1998 fick Integrationsverket och Migrationsverket tillstånd av Datainspektionen att gemensamt inrätta och föra person-

Behandling av personuppgifter inom verksamhetsområdet SOU 2003:40

registret ROSE. Utan direktåtkomst till STAMM-basen kan Integrationsverket inte arbeta i ROSE.

I ROSE registreras personuppgifter om asylsökande och kvotflyktingar. Ändamålet med registreringen är att ta fram uppgifter om personer för att kunna utbetala korrekta ersättningar till kommuner och landsting enligt den nämnda förordningen. Personuppgifterna hämtas från STAMM-applikationens delsystem Gemensam plattform. Integrationsverket har således direktåtkomst till denna del av Migrationsverkets verksamhetsstödjande system.

Det kan nämnas att Migrationsverket enligt utlänningsdataförordningen är personuppgiftsansvarigt för Integrationsverkets behandling av personuppgifter inom den verksamhet som förordningen avser. Det ansvaret omfattar bl.a. behandlingen i ROSE.

Inga andra myndigheter har automatiserad tillgång till personuppgifterna i ROSE.

Som nämnts innehåller ROSE en mängd personuppgifter hämtade från övriga delsystem i STAMM-basen. Många uppgifter är integritetskänsliga. Exempelvis gäller detta enskilda individers asylskäl, för vilka finns särskilda koder i STAMM-basen. Denna information är nödvändig för Integrationsverket eftersom kommunernas rätt till statlig ersättning varierar med vad för slags flykting som mottagits. Integrationsverkets inregistering och lagring av personuppgifter i ROSE sprider sig till andra delsystem i STAMM.

Vad gäller övrig automatiserad behandling av personuppgifter inom Integrationsverket hänvisas till avsnitt 4.3 nedan.

Rikspolisstyrelsen och polismyndigheterna

Fram till dess Migrationsverket övertog ansvaret från polisen för asylärendenas initiala handläggning, förvarstagande och verkställighet hade polismyndigheterna ett stort behov av tillgång till registrerade uppgifter i STAMM. Det fanns tidigare tillstånd från Datainspektionen att ge polisen åtkomst till vissa slags personuppgifter i STAMM-basen. Polisen har alltså haft och har alltjämt direktåtkomst till STAMM-basens särskilda polisbild där det bl.a. framgår vilka tillstånd en utlänning har och enligt vilken klassningskod, utlänningens boendehistorik, samhörigheter med andra, ev. förekomst på spärrlista m.m. Polisen har även efter det att Migrationsverket övertog ansvaret för förvarstagna, verkställighet m.m. medgetts direktåtkomst till STAMM-basen. Detta

SOU 2003:40

Behandling av personuppgifter inom verksamhetsområdet

sammanhänger med att polisen alltjämt har huvudansvaret för den yttre och inre utlänningskontrollen. Tullverket och Kustbevakningen har ingen åtkomst till STAMM-basen.

Migrationsverket har för sin del åtkomst till flera av Rikspolisstyrelsen förda register nämligen belastningsregistret, misstankeregistret och spärrlistan i Schengens informationssystem (SIS), se mer om sökning i spärrlistan i avsnitt 4.1.2.

Utlandsmyndigheter

Ett femtontal större utlandsmyndigheter har direktåtkomst till STAMM-basen. Till de utlandsmyndigheter som inte har direktåtkomst utlämnas på annat sätt ett urval uppgifter som bedömts nödvändiga för deras ärendehantering, se avsnitt 4.1.3 om Wilma och Alma.

Arbetsmarknadsstyrelsen

Från STAMM-basen utlämnas beviljade arbetstillstånd till Arbetsmarknadsstyrelsen genom direktöverföring på datafil. Datainspektionen gav i beslut år 1999 tillstånd till denna form av utlämnande som i vart fall då var avsedd att ske en gång per månad.

Utlänningsnämnden

Utlänningsnämnden har direktåtkomst till STAMM. Nämnden kan bl.a. se inregistrerad information om beslut, individ- och adressuppgifter samt fritexter som avser planering rörande hemresor för utlänningar som avvisats eller utvisats i samband med verkets avslag på ansökningar om uppehållstillstånd. I fritexter kan exempelvis läsas när och till vilket land en resa planeras. För nämndens egen prövning är denna information av stor vikt. Utlänningsnämnden registrerar vidare beslut, korrigerar namn- och födelseuppgifter, uppgift om medborgarskap m.m. direkt i STAMM.

Behandling av personuppgifter inom verksamhetsområdet

SOU 2003:40

Landstingen

Till de olika landstingen utlämnas personuppgifter från STAMM- basen via disketter. Uppgifterna avser i allmänhet vilka utlänningar som har skrivits in på olika flyktingförläggningar. Dessa uppgifter behöver landstingen för att kunna bereda de asylsökande hälso- och sjukvård under tiden som asylutredningarna pågår. Uppgifterna används också som landstingens underlag då ersättning för vården begärs från staten.

Riksskatteverket

Riksskatteverket lämnar uppgifter till STAMM-basen om folkbokförda utlänningars adressändringar, namnändringar, dödsfall, utflyttning ur Sverige m.m. genom ett automatiserat förfarande som söker av registrerade utlänningar i STAMM-basen. Detta sker varje natt via en s.k. on-lineförbindelse. Migrationsverket lämnar i sin tur i vissa fall uppgifter om utlänningars adress till Riksskatteverket i enlighet med en i folkbokföringsförordningen (1991:481) föreskriven uppgiftsskyldighet. För närvarande behandlas inom Regeringskansliet en begäran från Riksskatteverket om att Migrationsverket också skall förpliktas lämna uppgift om alla utlänningar vars tillfälliga uppehållstillstånd löpt ut och som inte begärt förnyelse inom tre månader därefter.

Migrationsverket informerar Riksskatteverket om alla beviljade medborgarskap. Uppgiftsutlämnandet sker för närvarande per post. Riksskatteverket, som varje år mottar drygt 30 000 brev om beviljade medborgarskap, har begärt elektronisk överföring och inom Migrationsverket planeras en övergång till sådan överföring.

AB Svenska Pass

Migrationsverket utfärdar resedokument för flyktingar som en ersättningshandling för pass. Dessutom utfärdas s.k. främlingspass. Migrationsverket skickar till AB Svenska Pass utlänningens fotografi och namnteckning samt övrigt underlag lagrat på CD-rom- skiva. Inom kort kommer denna informationsöverföring i stället att ske elektroniskt via on-lineförbindelse.

100

SOU 2003:40

Behandling av personuppgifter inom verksamhetsområdet

Nordea (Postgirot)

Till Postgirot sänds via filöverföring biståndsbelopp enligt lagen om mottagande av asylsökande m.fl. som skall utbetalas till asylsökandes personliga konton. Kontona är knutna till utlänningarnas LMA-kort.

4.1.2SIRENE

Enligt 1 § lagen (2000:344) om Schengens informationssystem är Rikspolisstyrelsen ålagd att med hjälp av automatiserad behandling föra ett register som skall vara den svenska nationella enheten i Schengens informationssystem (SIS). I en central databas i Strasbourg finns bl.a. en särskild spärrlista där uppgifter införs om personer som avvisats eller utvisats ur Schengenstat med återreseförbud och som därför skall nekas tillträde till eller uppehållstillstånd i Schengenstaterna (artikel 96 i Schengenkonventionen). I den nationella enheten vid Rikspolisstyrelsens SIRENE-kontor lagras en exakt kopia av uppgifterna i den centrala databasen i Strasbourg.

Migrationsverket har enligt 9 och 10 §§ förordningen (2000:836) om Schengens informationssystem direktåtkomst till dessa uppgifter i spärrlistan för ändamålet att pröva ansökningar om visering och uppehållstillstånd. Dessutom får verket ha direktåtkomst till övriga delar av registret då verket bistår en polismyndighet i gränskontrollverksamhet. Någon regelrätt direktåtkomst finns emellertid inte för närvarande.

Migrationsverket har i stället utvecklat ett automatiserat system för att kunna göra sökningar på grundval av sin direktåtkomst. Från Rikspolisstyrelsen sänds en textfil som lagras i en särskild databas på Migrationsverket. Textfilen uppdateras av Rikspolisstyrelsen varje natt. I textfilen gör Migrationsverket sedan automatiserade sökningar på individer. Ger sökningen en träff, får man endast reda på att personen förekommer i spärrlistan, vilket land som har fört in personen på listan och hur lång tid spärren gäller. Därefter vidtar ett samrådsförfarande med det land som har lagt in uppgiften i spärrlistan. En automatiserad förfrågan om anledningen till spärren m.m. sänds via SIRENE till behörig myndighet i landet i fråga. Svar och eventuell fortsatt kommunikation sker emellertid icke automatiserat utan per post.

101

Behandling av personuppgifter inom verksamhetsområdet

SOU 2003:40

I systemet lagras bl.a. personuppgifter om namn, personnummer, dossiernummer samt förfrågningar.

4.1.3Myndighetsöverskridande system

År 1998 tillsatte regeringen en arbetsgrupp, IT-Hjalmargruppen, bestående av deltagare från Utrikesdepartementet, Justitiedepartementet, Rikspolisstyrelsen, Migrationsverket och Utlänningsnämnden. Arbetsgruppen fick bl.a. i uppdrag att projektera ett framtida IT-stöd vid ärendehantering av ansökningar om visering, uppehållstillstånd och arbetstillstånd som lämnas in på en utlandsmyndighet. Projektet föranleddes av att Sveriges inträde i Schengensamarbetet ställde nya krav på främst utlandsmyndigheterna. Bl.a. förutsätter Schengensamarbetet att staterna skall konsultera varandra i viseringsärenden, att sökning i SIS spärrlista skall göras innan visering eller uppehållstillstånd beviljas samt att Schengenenhetlig maskinläsbar text skall skrivas ut på viseringsmärken, s.k. stickers. I projektet har systemen Vision, Wilma och Alma utvecklats. Av dessa är endast Wilma fortfarande under utveckling. Systemen beskrivs översiktligt nedan.

I Hjalmarprojektet ingick att en samlad syn skulle anläggas på hela handläggningsprocessen samt att Migrationsverket skulle som ”processansvarig” i förhållande till utlandsmyndigheter, Rikspolisstyrelsen och Utlänningsnämnden ha ett helhetsansvar för processen (se bl.a. Statskontorets promemoria den 10 juni 2002 Dnr 2001/490-5 s. 21).

Vision

Vision är ett datasystem som har byggts upp inom Schengensamarbetet som ett automatiserat rådfrågningssystem i enlighet med Artikel 17 i Schengenkonventionen. Där föreskrivs att Verkställande kommittén definierar de fall då visering inte får utfärdas utan föregående hänvändelse till den berörda avtalsslutande partens centrala myndighet samt, i förekommande fall, till andra avtalsslutande parters centrala myndigheter. Ett Schengenland kan nämligen begära att bli konsulterat i ärenden om visering och uppehållstillstånd såvitt avser olika kategorier av utlänningar. Exempelvis kan Tyskland begära att bli konsulterat då irakiska medborgare

102

SOU 2003:40

Behandling av personuppgifter inom verksamhetsområdet

söker visum eller uppehållstillstånd i ett eller flera övriga Schengenländer.

I Schengenkonventionen regleras inte närmare vilka personuppgifter som konsultationerna skall avse. En under Verkställande kommittén lydande arbetsgrupp för viseringsfrågor (VISION) har dock utarbetat formulär och anvisningar för vilka personuppgifter som skall överföras vid konsultationerna. Följande uppgifter överförs regelmässigt i enlighet med dessa formulär.

(1)Personuppgifter om sökande, och i förekommande fall, hans eller hennes familjemedlemmar eller referensperson (sökandes fullständiga namn och eventuellt tidigare namn, födelsedatum och födelseort, kön, ursprungligt och nuvarande medborgarskap, yrke/ sysselsättning, föräldrars namn, makes eller makas fullständiga namn, födelsedatum och födelseort samt vid resmålet angiven referenspersons namn och adress).

(2)Uppgifter om sökandes viseringsansökan (den begärda vistelsens längd, syftet med vistelsen, huvudsakligt resmål, planerade datum för in- och utresa, antal inresor som begärts, gränsövergång vid inresan.

(3)Uppgifter om resehandling (pass, resedokument eller liknande identitetshandling, nummer och utfärdare).

Sverige har i och med inträdet i Schengensamarbetet förbundit sig att utföra dessa konsultationer. Migrationsverket har ansvar för den svenska delen av Vision. Utlandsmyndigheterna, som prövar flertalet visumansökningar, gör konsultationerna via krypterad e- post till och från Migrationsverket centrala Visionsystem, som i sin tur kommunicerar med andra Schengenländers Visionsystem. Några utlandsmyndigheter har genom Wilma direktåtkomst till Vision. Konsultationerna sker genom ett fullständigt automatiserat sökningsförfarande. Konsultationer, som innehåller personuppgifter och som berör Sverige, lagras i Vision.

Wilma

Wilma, eller ”Web-based Information system Linking Migration Authorities”, är ett webbaserat ärendehanteringssystem som förbinder utlandsmyndigheterna elektroniskt med Migrationsverkets STAMM-bas i den ärendehantering kring besöks- och bosättningsprocess som det ankommer på utlandsmyndigheterna att handha.

103

Behandling av personuppgifter inom verksamhetsområdet

SOU 2003:40

Handläggningen av ärenden om visering, uppehållstillstånd och arbetstillstånd som ges in till utlandsmyndigheter genom ansökan hanteras elektroniskt i Wilma på i korthet följande sätt. Ansökningar inregistreras elektroniskt i STAMM av en utlandsmyndighet genom Wilma och en sökning görs mot STAMM-basen för kontroll huruvida sökanden eller av denne angivna referenspersoner förekommer sedan tidigare i STAMM-basen. Syftet är att utlandsmyndigheten skall kunna få del av information av betydelse för prövningen av en ansökan om visum eller annat tillstånd.

Genom Wilma lagrar utlandsmyndigheten personuppgifter om sökanden och eventuella referenspersoner i STAMM-basen. Exempelvis tilldelar utlandsmyndigheten en utlänning, som inte förekommit tidigare i STAMM-basen, genom Wilma en dossierbeteckning i STAMM-basen varunder personuppgifter, dokument m.m. fortsättningsvis lagras. En tjänsteman på utlandsmyndighet med högsta behörighet kan söka i hela STAMM-basen utifrån vissa särskilda sökbegrepp.

Via Wilma kan utlandsmyndigheternas personal genom direktåtkomst till Migrationsverkets kopia av Sirenekontorets spärrlista göra sökningar i listan. Wilma är också kopplat ”on line” till Visionsystemet.

Om ett ärende skall överlämnas till Migrationsverket för prövning (gäller ärenden om uppehållstillstånd), planeras att ingivna handlingar i ärendet skall skannas och lagras, kopplade till ett ärende, i en dokumentdatabas och i STAMM-basen. De skannade handlingarna kommer därigenom att vara tillgängliga för alla handläggare med rätt behörighet. Dokument som skapats av utlandsmyndigheten kommer att lagras elektroniskt i en dokumentdatabas som textfiler. Om den sökande beviljas tillstånd, registreras det i Wilma. Sökanden får tillståndet, en s.k. stickers, infört i sitt pass och numren på pass respektive stickers registreras i Wilma. Får sökanden i stället avslag på sin ansökan, registreras också detta. Vid ett eventuellt överklagande (möjligt endast då ansökan avser uppehållstillstånd) registreras överklagandet och, som det planeras framöver, skall ärendet överlämnas elektroniskt via Wilma till Utlänningsnämnden. Utlänningsnämnden avses i sin tur registrera sitt beslut i Wilma.

Wilma är fortfarande under uppbyggnad och endast ett femtontal större utlandsmyndigheter är för närvarande anslutna. Utbyggnaden sker stegvis. Utlänningsnämnden och Rikspolisstyrelsen är

104

SOU 2003:40

Behandling av personuppgifter inom verksamhetsområdet

inlemmade i nätverket. Rikspolisstyrelsens och polismyndigheternas åtkomst avses successivt byggas ut ytterligare.

Tanken är bl.a. att när resande, som har fått visering eller tillstånd som utfärdats av svensk myndighet, anländer till Sverige, kan viseringen eller tillståndet kontrolleras av anslutna myndigheter mot registrerade uppgifter i Wilma. En gränskontrollant kan kontakta en polisman för vidare utredning. Polismannen kan sedan kontrollera utlänningen i för polisen tillgängliga register bl.a. i STAMM-basen. Utlänningens inresa eller utresa planeras att fr.o.m. år 2003 kunna registreras via Wilma i STAMM av polisens gränskontrollenheter.

Förutom den tillgång till STAMM som Rikspolisstyrelsen redan haft sedan tidigare, är alltså avsikten att Rikspolisstyrelsen nu via Wilma skall ges tillgång till i STAMM-basen lagrade dokument och eventuellt även skannade fotografier av sökanden i enskilda ärenden. Dessutom avses polisen, till skillnad från tidigare, kunna få uppdatera STAMM-basen med nya uppgifter. Dessa uppgifter kan gälla beviljade nödfalls- och sjömansviseringar samt in- och utresor av tredjelandsmedborgare via yttre Schengengräns. I beslut av Datainspektionen har Rikspolisstyrelsen, Utlandsmyndigheterna och Utlänningsnämnden getts tillstånd att uppdatera uppgifter i STAMM-basen via Wilma.

Frågor om åtkomstbehörighet för personal vid utlandsmyndigheterna har varit föremål för särskilt samråd mellan Migrationsverket, som ansvarar för tilldelningen av behörigheter, och Utrikesdepartementet. Lokalanställd personal har därvid getts endast mycket begränsad tillgång till personuppgifter genom Wilma. De lokalanställda får exempelvis inte tillgång till uppgifter som är belagda med utlänningssekretess eller som rör annat än av utlänningen själv uppgiven adress i hemlandet. Inte heller får de lokalanställda utföra SIS-slagningar eller Vision-konsultationer.

Det kan sammanfattningsvis konstateras att det genom Wilma överförs en mängd i hög grad integritetskänsliga uppgifter mellan myndigheterna. För närvarande rör det sig om att sådana uppgifter dels utlämnas från STAMM-basen till Utlänningsnämnden, utlandsmyndigheterna och polisen, dels inregistreras i STAMM- basen av utlandsmyndigheterna.

105

Behandling av personuppgifter inom verksamhetsområdet

SOU 2003:40

Alma

Alma eller ”Alternative Migration Application” har utvecklats som ett förenklat alternativ till Wilma. Samtliga utlandsmyndigheter har använt Alma och de som ännu inte är anslutna till Wilma använder fortfarande Alma. Alma är vidare tänkt att framgent finnas som ett reservsystem om tillfälliga tekniska fel medför att Wilma inte kan användas. Alma har ingen nätanslutning utan är en programvara som distribueras från Migrationsverket via Utrikesdepartementets kurirpost till utlandsmyndigheterna på en CD-romskiva. Denna innehåller installationsprogram, konsultationsdel, del för SIS- sökning och sökning i Infobas (se avsnitt 4.1.1.1) samt del för utskrift av viserings- och tillståndsmärken (stickers). Var fjortonde dag levererar Migrationsverket en uppdaterad version av Infobas och SIS-bas till utlandsmyndigheterna. Alma står alltså inte i direkt kommunikation med andra system.

Respons

Övrigt informationsutbyte mellan utlandsmyndigheterna och Migrationsverket sker utan användande av särskilt uppbyggda datorsystem. Exempelvis används telefax och kurirpost.

Det kan dock nämnas att Migrationsverket har en särskild rutin benämnd Respons genom vilken verket besvarar olika slags e- postade förfrågningar från utlandsmyndigheterna enligt en given ordning. Utlandsmyndigheter kan skicka dessa förfrågningar om ärendehantering till en viss e-postbrevlåda. Frågor besvaras i allmänhet inom två dygn. Varje dag besvaras mellan 30 och 40 frågor. Personuppgifter överförs ibland genom Responsförfarandet.

4.1.4DHS – elektronisk dokumenthantering

Dokumenthanteringssystemet DHS är en del av Migrationsverkets IT-infrastruktur och är till för att skapa och lagra elektroniska dokument. För närvarande innehåller DHS ett personaktsarkiv med elektroniska dossierer och ett mallarkiv för skapande av elektroniska dokument med på förhand ifyllda individ- och ärendeuppgifter.

DHS är en del i den pågående utvecklingen av ärende- och dokumenthanteringen inom Migrationsverket. Arbete pågår med

106

SOU 2003:40

Behandling av personuppgifter inom verksamhetsområdet

att integrera DHS och Hjalmarsystemet (Wilma) (se ovan avsnitt 4.1.3.).

Redan år 1997 genomfördes ett försök med elektronisk ärendehantering, EHÄ, och 4 000 elektroniska dossierer skapades som alltjämt är aktuella och hanteras i det nuvarande DHS. Alla tillkommande handlingar i dessa dossierer skannas in.

DHS är kopplat till STAMM-basen från vilken information och personuppgifter överförs. I systemet skapas dokument elektroniskt. Visst material som lagras kan läsas bara inom en enhet. Fritextsökning kan i dag inte göras i DHS.

En fördel man inom Migrationsverket framhåller med elektroniska dossierer är att tjänstemän på olika enheter i landet kan titta i en dossier samtidigt. När det gäller pappersdossiererna läggs betydande tid på att skicka omkring dessa eller göra kopior av handlingar i dem för att skicka dem vidare till andra enheter eller myndigheter. Mycket arbetstid får i bland läggas på att lokalisera dossierer.

Målsättningen inom Migrationsverket är en övergång till fullständig elektronisk ärendehantering i syfte att effektivisera verksamheten. En fråga som återstår att lösa är emellertid hur arkiveringen i form av automatiserad långtidslagring av bl.a. elektroniska sigill skall ske.

4.1.5PLUS – System för planering, uppföljning och statistik

Migrationsverket är enligt 2 § förordningen med instruktion för Migrationsverket ålagt att föra register och statistik över utlänningar i landet i den utsträckning som behövs för verksamheten. Vidare är verket ålagt att fortlöpande bevaka att myndigheternas handläggning av frågor enligt utlännings- och medborgarskapslagstiftningen är effektiv. Enligt 9 § utlänningsdataförordningen får personuppgifter behandlas automatiserat i verksamhetsregister för ändamålen tillsyn, uppföljning och verksamhetsplanering samt för att framställa statistik.

Den 1 januari 2000 togs systemet PLUS – Planering, Uppföljning och Statistik – i drift och ersatte då ett tidigare statistiksystem. Det huvudsakliga ändamålet med PLUS är att förse verkets ledning, centralt eller regionalt, med den statistik och information som behövs för uppföljning av verksamheten.

107

Behandling av personuppgifter inom verksamhetsområdet

SOU 2003:40

Från STAMM-basen hämtas automatiserat varje dygn alla personuppgifter som hänför sig till en individ, alla händelser som rör individen och datum för händelserna. Detta innebär att i princip alla i STAMM registrerade individer också registreras i PLUS med dossiernummer, adressändringar liksom alla ärenden, korrespondens, beslut m.m. som rör dessa individer. All denna individbaserade information lagras sedan i PLUS.

PLUS är konstruerat för att kunna besvara frågor som ställs till databasen och utifrån dessa skapa rapporter. Cirka 30 anställda har tillgång till PLUS. Även om PLUS innehåller en mycket stor mängd personuppgifter, däribland integritetskänsliga, finns inga uppgifter som identifierar individer med i de rapporter som framställs.

För närvarande finns vissa planer på att ge fler anställda möjligheter att komma åt individbaserad information i PLUS. Det finns också planer på att framställa rapporter som kommer att innehålla personuppgifter.

4.1.6LIFOS

För bedömningarna i utlänningsärenden och i synnerhet asylärenden är det av största vikt att handläggande myndigheter har god insikt i förhållandena i de länder varifrån flyktingar kommer. Migrationsverkets behov av allmän länderkunskap tillgodoses på en mängd olika sätt. De svenska utlandsmyndigheterna rapporterar regelbundet till Utrikesdepartementet om de politiska förhållandena och läget när det gäller mänskliga rättigheter i de länder man bevakar. I den mån rapporterna bedöms ha intresse för asylfrågor, får Migrationsverket (och Utlänningsnämnden) del av rapporterna. Även utländska utlandsmyndigheters rapporter, informationsutbyte mellan EU-länderna med stöd av Dublinkonventionen, dokumentation från UNHCR, Amnesty International och massmedia ger underlag för länderkunskap. Migrationsverkets tjänstemän reser också till de aktuella länderna för att samla kunskap om förhållandena på platsen, s.k. fact findingsresor. Dessa resor sker ofta tillsammans med tjänstemän från Utlänningsnämnden. Ibland deltar också någon tjänsteman från Utrikesdepartementet.

På Migrationsverkets huvudkontor finns en praxisenhet där experter på länder- och praxisfrågor samordnar, kontrollerar och

108

SOU 2003:40

Behandling av personuppgifter inom verksamhetsområdet

följer upp praxis i ärenden enligt utlännings- och medborgarskapslagarna. Enheten ingår i flera internationella nätverk med andra länder och organ som sysslar med migrationsfrågor. Bl.a. deltar man i IGC – Inter Governmental Cosultations on Asylum, Refugees and Migration Policies – en internationell arbetsgrupp bestående av 14 stater, däribland USA, Canada och Australien, som samverkar i migrationsfrågor.

År 1997 startades LIFOS, Migrationsverkets databaserade länderinformationssystem m.m. LIFOS finns tillgängligt på Migrationsverkets intranät och är dessutom åtkomligt för handläggare på Utlänningsnämnden. I LIFOS görs allmän bakgrundsinformation tillgänglig för handläggarna så att dessa får del av kunskap som behövs för att kunna fatta välgrundade beslut i enskilda fall. För de länder varifrån ett större antal asylsökande kommer, finns landöversikter med allmän övergripande information om den politiska situationen och vanliga asylskäl som åberopas av asylsökande från dessa länder. Dessutom finns landdokumentation, dvs. mer specifik information av intresse för ärendehanteringen. Informationskällorna kan, utöver reserapporter från fact findingresor, t.ex. komma från Utrikesdepartementet, utlandsmyndigheter, rapporter från FN:s flyktingkommissariat UNHCR eller frivilligorganisationer. Vidare finns avidentifierade vägledande beslut från regeringen, Utlänningsnämnden eller Migrationsverket samt Utlänningsnämndens praxissamling i LIFOS.

För närvarande pågår i Migrationsverkets praxisgrupp ett projekt om informationsutbyte mellan olika länders databaser för landinformation m.m.

I LIFOS finns personuppgifter, däribland känsliga sådana. Det är exempelvis särskilt vanligt med uppgifter i inskannade rapporter som avslöjar etniskt ursprung på namngivna personer. Även andra känsliga personuppgifter förekommer. I den mån identiteten saknar betydelse för informationens värde avidentifieras dock alla personuppgifter innan de görs tillgängliga i LIFOS.

Eftersom LIFOS innehåller bl.a. integritetskänslig information, är tillgängligheten till LIFOS delvis begränsad. Särskild behörighet med olika behörighetsnivåer krävs för åtkomst till LIFOS olika delar.

Uppgifterna i LIFOS har av Datainspektionen ansetts vara information i löpande text. Inspektionen har därför inte ansett LIFOS utgöra ett personregister i datalagens mening och LIFOS var alltså inte tillståndspliktigt då det togs i bruk.

109

Behandling av personuppgifter inom verksamhetsområdet

SOU 2003:40

Genom 12 § i utlänningsdataförordningen har Migrationsverket getts författningsstöd för att föra ett automatiserat landinformationsregister för återsökning av information som lämnats rörande förhållanden i andra länder. Känsliga personuppgifter får i detta register endast behandlas i löpande text och under förutsättning att uppgifterna är oundgängligen nödvändiga för att fullgöra arbetsuppgifter i verksamhet enligt utlännings- och medborgarskapslagstiftningen. Personuppgifter som direkt pekar ut den registrerade får inte användas som sökbegrepp (13 §), även om det för närvarande inte finns några tekniska hinder för att söka på personnamn, födelsedatum, etnisk tillhörighet etc. i löpande text. Ut- länningsnämnden får ha tillgång till landinformationsregistret genom direktåtkomst (14 §).

En gång om året gallras material som bedöms vara inaktuellt ur informationssynpunkt. Någon systematisk gallring med hänseende på personuppgifter sker inte.

Som nämnts ovan finns dessutom praxissammanställningar och övriga vägledande avgöranden, rättsutredningar m.m. tillgängliga i LIFOS. Dessa dokument avidentifieras i allmänhet men kan ibland innehålla personuppgifter av integritetskänslig karaktär. Migrationsverket samt också Utlänningsnämnden har genom 8 § utlänningsdataförordningen getts rätt att automatiserat föra dylika rättsfallsregister. En förutsättning är emellertid att registret inte innehåller personuppgifter som direkt pekar ut den registrerade. Vidare har tillstånd getts att föra ut personuppgifter ur rättsfallsregister till tredje land, dvs. en stat som inte ingår i EU eller är ansluten till EES.

4.1.7Fingeravtrycksregistret

Enligt 5 kap. 5 § utlänningslagen får Migrationsverket eller en polismyndighet under vissa förutsättningar fotografera en utlänning och, om han eller hon har fyllt 14 år, ta dennes fingeravtryck. Förutsättningarna är att utlänningen inte kan styrka sin identitet vid ankomsten till Sverige eller utlänningen ansöker om uppehållstillstånd under anförande av att han eller hon är flykting eller skyddsbehövande i övrigt eller det finns förutsättningar att ta utlänningen i förvar. Avsikten med bestämmelsen är att underlätta identifikationen av den som söker asyl här (se prop. 1996/97:25 s. 143 f.). Genom dokumentationen möjliggörs kontroller av om

110

SOU 2003:40

Behandling av personuppgifter inom verksamhetsområdet

utlänningen tidigare har sökt asyl i Sverige (under annat namn) eller om han eller hon har sökt och eventuellt fått asyl i något annat EU-land. Fingeravtrycken används bl.a. vid förfrågningar enligt artikel 15 Dublinkonventionen för utrönandet av vilket land som enligt principen om första asylland har ansvaret för asylprövningen. Om Migrationsverket misstänker att en asylsökande har vistats i något annat EU-land på väg till Sverige, gör verket regelmässigt en förfrågan enligt artikel 15 i Dublinkonventionen.

Utvecklingen under senare år ger vid handen att asylsökande i allt större omfattning rör sig över gränserna inom Europa under angivande av nya identiteter. Detta gör att utlänningsmyndigheterna i länderna får lägga ner allt större resurser på att fastställa en sökandes identitet. Tillgång till kvalificerade tekniska identifieringsmöjligheter har därmed blivit allt viktigare. Inom EU har det från januari 2003 inrättats en central databas för fingeravtryck som tas på asylsökande i de olika länderna, se avsnitt 4.1.7.3 om Eurodac.

Aktuella bestämmelser

Bestämmelsen i 5 kap. 5 § utlänningslagen fick sin nuvarande lydelse den 1 januari 1997 då Migrationsverket (dåvarande Statens invandrarverk) övertog ansvaret för utredning och prövning av utlänningsärenden, förvar m.m. från polismyndigheterna. Denna reform medförde att ansvaret för registrering av fingeravtryck flyttades från Rikspolisstyrelsen till Migrationsverket.

Dessförinnan hade fingeravtryck som tagits med stöd av utlänningslagen registrerats i Rikspolisstyrelsens omfattande fingeravtrycksregister (AFIS), som fördes och alltjämt förs med hjälp av automatiserad databehandling. Rikspolisstyrelsens fingeravtrycksregister består av en A-del och en B-del. B-delen innehöll före reformen den 1 januari 1997 dels fingeravtryck tagna enligt utlänningslagen, dels fingeravtryck tagna enligt lagen (1991:572) om särskild utlänningskontroll. Från den 1 januari 1997 har emellertid fingeravtryck tagna enligt utlänningslagen utmönstrats ur Rikspolisstyrelsens B-del. Kvar i B-delen är alltså bara utlänningars fingeravtryck som tagits med stöd av lagen om särskild utlänningskontroll.

Rikspolisstyrelsens behandling av personuppgifter i register för fingeravtryck regleras i 29-31 §§ polisdatalagen (1998:622). Även

111

Behandling av personuppgifter inom verksamhetsområdet

SOU 2003:40

Polisdatautredningens nyligen lämnade förslag till ny polisdatalag omfattar särreglering av fingeravtrycksregistret (se Behandling av personuppgifter i polisens verksamhet, SOU 2001:92).

Till ändringen i fråga om Migrationsverkets ansvar för den utbrutna delen av Rikspolisstyrelsens fingeravtrycksregister kopplades en förordning (1996:1389) om register hos Migrationsverket över fingeravtryck, som reglerade Migrationsverkets rätt att föra register över fingeravtryck och fotografier med hjälp av automatisk databehandling. Författningen upphävdes i samband med att utlänningsdataförordningen trädde i kraft den 1 oktober 2001. Bestämmelserna inarbetades emellertid i sak oförändrade i den nya förordningens 9-11 §§.

Enligt utlänningsdataförordningen får registret användas endast vid prövning av ansökningar om uppehållstillstånd där skäl som avses i 3 kap. 2 eller 3 § utlänningslagen åberopas, med andra ord vid prövning av asylansökningar, samt i ärenden om avvisning och utvisning (9 §). Registret får endast innehålla fingeravtryck och fotografi samt uppgifter om den registrerades namn, person- eller samordningsnummer, födelsetid, kön, medborgarskap eller annan identifieringsuppgift. Uppgifter ur registret får lämnas ut på medium för automatisk databehandling endast om det följer av lag eller förordning (10 §). Någon direktåtkomst är alltså inte medgiven. En uppgift i fingeravtrycksregister skall gallras när den registrerade blir svensk medborgare, dock senast tio år efter det att uppgiften registrerades. (11 §).

I allmänhet är det Migrationsverkets personal vid någon av landets asylenheter eller vid verkets gränsenheter, exempelvis i Malmö eller på Arlanda, som tar fingeravtryck såvitt avser asylsökande. Polisen tar dock fortfarande fingeravtryck enligt utlänningslagen, nämligen på de utlänningar som avvisas vid gränserna utan att ha sökt asyl samt på dem som påträffas illegalt i landet och tas i förvar och som inte sökt eller söker asyl.

Fingeravtryck och fotografi skall tillsammans med utredning i ärendet sändas till Migrationsverket.

Migrationsverket får meddela de ytterligare föreskrifter som behövs för verkställigheten av bestämmelserna om fingeravtryck och fotografi (5 kap. 20 § utlänningsförordningen). Några sådana föreskrifter har dock inte meddelats.

112

SOU 2003:40

Behandling av personuppgifter inom verksamhetsområdet

Hanteringen

Migrationsverkets fingeravtrycksregister är, tekniskt sett, fortfarande en del av Rikspolisstyrelsens databas för fingeravtryck. Migrationsverket köper således vissa tjänster i fråga om fingeravtrycksregistret från Rikspolisstyrelsen. Säkerheten i systemet administreras av Rikspolisstyrelsen som också äger all hårdvara. Rikspolisstyrelsen följer emellertid, enligt upplysning från verket, Migrationsverkets säkerhetskrav. Loggning och arkivering av loggar sker hos Rikspolisstyrelsen.

Åtgärderna att ta fingeravtryck av en utlänning innebär att avtryck tas av varje finger och av hela handflatorna. Fingeravtrycken tas med en elektronisk utrustning som digitaliserar avtrycken för databehandling. Avtrycken sänds därefter elektroniskt per e-post till Migrationsverkets ID-enhet, där de på motsvarande sätt vidarebefordras till Rikspolisstyrelsens fingeravtrycksdatabas. Där görs sedan en automatiserad sökning mot verkets egna register samt mot filer i Rikspolisstyrelsen register som avser vissa tagna fingeravtryck, dvs. kriminalfilen samt filen för avtryck tagna enligt lagen om särskild utlänningskontroll. Vid en eventuell träff gör Rikspolisstyrelsen en manuell analys och utfärdar ett sakkunnigutlåtande.

Som nämnts ovan görs identitetskontroller genom förfrågningar hos övriga länder som tillträtt Dublinkonventionen, om man misstänker att en asylsökande vistats i ett sådant land tidigare. Dylika förfrågningar görs beträffande samtliga asylsökande hos övriga nordiska länder. Alla fingeravtrycksjämförelser med de nordiska länderna och Dublinkonventionsländer i övrigt hanteras av personal vid Migrationsverket. Inom Norden tillgår dessa förfrågningar automatiserat såtillvida att Migrationsverkets ID-enhet lagrar fingeravtryck på en CD-romskiva som skickas per post till behörig myndighet i respektive land för fingeravtrycksjämförelse.

Eurodac

Inom ramen för samarbetet inom EU enligt Dublinkonventionen har länge funnits planer på att införa ett system för utbyte och jämförelser av asylsökandes fingeravtryck i en gemensam databas, Eurodac. Den 11 december 2000 antogs rådets förordning (EG) nr 2725/2000 om inrättandet av Eurodac för jämförelse av finger-

113

Behandling av personuppgifter inom verksamhetsområdet

SOU 2003:40

avtryck för en effektiv tillämpning av Dublinkonventionen. I rådets förordning (EG) nr 407/2002 av den 28 februari 2002 finns vissa tillämpningsföreskrifter till den först nämnda förordningen.

Databasen Eurodac är placerad i Luxemburg. Det centrala fingeravtrycksregistret togs i bruk den 15 januari 2003. I registret kan sökningar göras på de deltagande ländernas fingeravtryck som tagits på asylsökande, andra utlänningar som påträffas vid illegala gränsöverskridanden samt andra utlänningar som vistas illegalt i länderna. Fingeravtrycken jämte uppgift om utlänningens kön kommer att lagras tio år i basen varefter de gallras. När det gäller asylsökande som erhåller flyktingstatus enligt Genèvekonventionen i något land skall en blockering göras i Eurodac. Med blockering avses varje åtgärd som kan vidtas för att uppgifterna skall vara förknippade med information om att de är spärrade och om anledningen till spärren.

Fotografier

Hanteringen av fotografier som tas enligt utlänningslagen är för närvarande inte automatiserad på motsvarande sätt som beträffande fingeravtryck. Fotografier tas emellertid och fogas till Migrationsverkets dossier. Det finns diskussioner om att med s.k. biometrisk teknik automatiserat behandla och registrera fotografier i identifieringssyfte på motsvarande sätt som görs beträffande fingeravtryck.

4.1.8Exempel på övrig behandling av Migrationsverket

Migrationsverket är en stor och utspridd myndighet med en komplex verksamhet. Verket är därmed i behov av utvecklade datasystem för effektivisering av administrativa göromål. För personal- och löneadministration används ett system benämnt Palasso. Personuppgifter om personal finns i systemet. Ekonomiadministration sker i systemet Agresso. Här sköts bl.a. ersättningar till offentliga biträden.

Migrationsverket har vidare en hemsida på Internet för information till allmänheten samt ett intranät för interninformation. I båda dessa informationssystem kan personuppgifter förekomma.

114

SOU 2003:40

Behandling av personuppgifter inom verksamhetsområdet

Ett register finns också för passerkontrollsystem där uppgifter om anställda vid verket och vid Integrationsverket lagras. Vidare finns ett automatiserat register över begärda registerkontroller som görs hos säkerhetspolisen enligt säkerhetsskyddslagen (1996:627). I registret lagras namn, personnummer, befattning och kontrollorsak.

På Migrationsverkets huvudkontor finns 40 000 hyllmeter arkiverade äldre dossierer. Beträffande dossierer fr.o.m. år 1975 kan sökningar göras i STAMM-basen. Vad gäller äldre dossierer finns systematiskt ordnade manuella register med olika sökvägar. Dessa torde omfattas av personuppgiftslagens regler om manuell behandling av personuppgifter. Liksom nyare dossierer innehåller dessa gamla dossierer känsliga personuppgifter.

4.2Utlänningsnämnden

Utlänningsnämndens huvudsakliga verksamhet är att pröva överklagade beslut från Migrationsverket i ärenden enligt utlänningslagen eller medborgarskapslagen. Som framgått ovan har Ut- länningsnämnden åtkomst till uppgifter i STAMM, Migrationsverkets verksamhetsstödjande system, och till LIFOS.

Utlänningsnämnden har emellertid ett eget verksamhetsstödjande system som heter UNik, vilket tidigare bedrevs med tillstånd från Datainspektionen då systemet utgjorde ett personregister i datalagens mening. Enligt den terminologi som tillämpas i utlänningsdataförordningen är UNik ett verksamhetsregister i nämndens ärendehantering.

UNiks ändamål är i första hand att utgöra nämndens diarium samt att ge underlag för utskrifter av beslutsunderlag och beslut. UNik används också för att göra statistiska sammanställningar. I UNik registreras uppgifter om ärenden. Dessutom registreras bl.a. namnuppgifter på juridiska ombud för utlänningar, tolkar, ledamöter i Utlänningsnämnden, ingivare av handlingar, gode män till utlänningar och personer som omfattas av externa eller interna administrativa ärenden.

I fråga om utlänningar registreras t.ex. namn och adress, personnummer eller motsvarande, kön, medborgarskap, hemvistland och Migrationsverkets dossiernummer. Därutöver registreras eventuella anhörigas namn och dossiernummer på Migrationsverket samt andra anknytningars namn.

115

Behandling av personuppgifter inom verksamhetsområdet

SOU 2003:40

UNik är inte kopplat till andra system. Någon extern direktåtkomst till UNik eller automatiserat utlämnande från UNik förekommer inte.

Utöver UNik kan nämnas att Utlänningsnämnden sammanställer avidentifierade avgöranden, som hålls allmänt tillgängliga på nämndens internethemsida liksom i Migrationsverkets databas LIFOS (se avsnitt 4.1.6).

4.3Integrationsverket

Integrationsverket är en ny myndighet som inrättades den 1 juni 1998 för att som en särskild myndighet ha ett övergripande ansvar för integrationsfrågor.

I viss utsträckning fick den nya myndigheten överta delar av Migrationsverkets tidigare verksamhet, bl.a. större delen av ansvaret för prövning och utbetalning av vissa ersättningar till kommuner och landsting enligt förordningen om statlig ersättning för flyktingmottagande m.m. Att Integrationsverket har övertagit verksamhet från Migrationsverket har satt sin prägel på den automatiserade behandling av personuppgifter som förekommer inom Integrationsverket. Flera register eller andra system har nämligen ursprungligen utvecklats av Migrationsverket och ett regelrätt personregister, ROSE, ingår alltjämt i ett delsystem i Migrationsverkets STAMM-bas. Integrationsverket har också, med Datainspektionens tillstånd, övertagit vissa personregister från Migrationsverket.

Redogörelsen nedan för nuvarande register eller annan automatiserad behandling av personuppgifter vid Integrationsverket bygger på verkets förteckning över ADB-register enligt 15 kap. 11 § sekretesslagen samt motsvarande förteckning enligt 39 § personuppgiftslagen. Vad gäller ROSE hänvisas till avsnitt 4.1.1.2.

MOTIV

MOTIV – vilket står för Mottagningsstatistik för Integrationsverket – är ett verksamhetsstödjande system och utgör ett s.k. ADB-register. Registrets ändamål är att ge ett effektivt stöd för prognosarbete avseende behov av introduktionsplatser i kommunerna. Registret används dessutom för att ge underlag i bosättnings-

116

SOU 2003:40

Behandling av personuppgifter inom verksamhetsområdet

arbetet samt för att göra anslagsberäkning enligt förordningen om statlig ersättning för flyktingmottagande m.m. Rapportering sker sedan till bl.a. regeringen och Ekonomistyrningsverket. Personuppgifter hämtas en gång per månad från ROSE. Det rör sig om uppgifter om antal individer, mottagningsdatum, adresshistorik och ersättningstyp. Ingen extern åtkomst finns till MOTIV.

STATIV

STATIV utgör Integrationsverkets statistikdatabas för utvärderings- och uppföljningsarbete inom det integrationspolitiska området. Ändamålet med databasen är att genom statistik kunna ge en lägesbeskrivning av invandrarnas ekonomiska och sociala situation i samhället samt att kunna följa utvecklingen för invandrare över tiden. STATIV innehåller statistiska uppgifter på individnivå inom områdena demografi, inkomster, boende, sysselsättning, utbildning och arbetslöshet. Uppgifter inom det sistnämnda området inhämtas dels från Arbetsmarknadsstyrelsens (AMS) register, dels från Statistiska Centralbyråns (SCB) register. Enskilda individer kan inte sökas genom personnummer i databasen. Endast ett mindre antal anställda vid verket har tillgång till STATIV. Samtliga dessa har skriftligen åtagit sig att följa direktiv avseende sekretessen vid databasen. Ingen extern åtkomst eller utlämnande från databasen förekommer.

AKTIV

AKTIV är en databas och ett register som inrättades av Migrationsverket med Datainspektionens tillstånd år 1992. Integrationsverket fick vid sitt bildande överta AKTIV som alltjämt används inom Integrationsverket. AKTIV:s ändamål är att göra resultatuppföljningar beträffande bl.a. kommunernas introduktionsinsatser för mottagna flyktingar, dvs. resultatuppföljningar av flyktingmottagandet. Integrationsverket övertog nämligen från Migrationsverket regeringsuppdraget att följa upp flyktingmottagandet fr.o.m. 1991 års mottagningskontingent. Personuppgifterna som bearbetas i AKTIV hämtas dels från ROSE, dels från SFI-registret (svenska för invandrare) och socialbidragsregistret, som båda förs av SCB. Uppgifterna från SCB avser exempelvis

117

Behandling av personuppgifter inom verksamhetsområdet

SOU 2003:40

deltagande, status och resultat från undervisningen i svenska eller utvecklingen och graden av socialbidragsberoende för flyktinghushåll under fyra år efter första kommunplacering. Dessutom hämtas uppgifter om arbetslöshet, sysselsättning och arbetsmarknadspolitiska åtgärder från register som förs av AMS. Från ROSE inhämtas uppgifter om adresshistorik, utbetalda ersättningar till kommuner samt uppgifter som gör det möjligt att identifiera persongrupper.

Bo-Data

Bo-Data är ytterligare ett system som utvecklats för statistikframställning. Ändamålet med Bo-Data är att ta fram aktuella beskrivningar av situationen beträffande handläggningstider för bosättnings- och mottagningsärenden enligt förordningen om statlig ersättning för flyktingmottagande m.m. Integrationsverket har regeringens uppdrag att mäta dessa handläggningstider.

I Bo-Data registreras personuppgifter om exempelvis dossiernummer vid Migrationsverket, placeringstyp, fullständigt namn, tillståndsdatum, tillståndsskäl, familjekod, språk och nationalitet. Fritext finns också. Integritetskänsliga uppgifter förekommer. Ingen extern åtkomst till Bo-Data finns. Någon gallring sker inte men avsikten är att personuppgifterna inte kommer att bevaras längre än vad som är nödvändigt för Bo-Datas ändamål.

Övrigt

Liksom många andra myndigheter använder Integrationsverket systemet Agresso för ekonomiadministration. Inga personuppgifter förekommer i systemet. Integrationsverkets lönehantering sköts av Kammarkollegiet.

4.4Rikspolisstyrelsen och polismyndigheterna

Som tidigare nämnts (avsnitt 4.1.7) ingår fingeravtryck tagna enligt lagen om särskild utlänningskontroll i polisens fingeravtrycksregister. Det har också redogjorts för att den automatiserade registerföringen omfattas av polisdatalagen.

118

SOU 2003:40

Behandling av personuppgifter inom verksamhetsområdet

Rikspolisstyrelsen (rikskriminalen) för även det s.k. U-boks- registret med automatiserad behandling. I U-boken läggs uppgifter in om utlänningar som meddelats förbud att återvända till Sverige i samband med att de utvisats på grund av brott enligt 4 kap. 7 § utlänningslagen eller i samband med beslut om avvisning eller utvisning som fattats av Migrationsverket eller Utlänningsnämnden. Registret omfattar såväl medborgare i Schengenstater som medborgare i tredje land. U-boken är åtkomlig för alla anställda inom polisen. Från U-boken överför Rikspolisstyrelsen uppgifter om utlänningar från tredje land till SIS för uppdatering av spärrlistan. Uppgifterna i U-boken gallras då tiden för ett återreseförbud har löpt ut. Även U-boken omfattas av polisdatalagens bestämmelser, se 15 § polisdataförordningen (1999:81).

4.5Utlandsmyndigheterna

Beträffande utlandsmyndigheterna hänvisas till de redovisade systemen Wilma, Alma m.m. i avsnitt 4.1.3. Inom ett flertal utlandsmyndigheter finns vidare ett antal äldre personregister som heter ”Evita”. Dessa register inrättades och fördes av utlandsmyndigheterna med stöd av tillstånd från Datainspektionen. Evita är ett hjälpmedel för utlandsmyndigheternas handläggning av ärenden om visering, uppehållstillstånd och arbetstillstånd. Efter etableringen av Wilma- och Almasystemen har användningen av Evita minskat kraftigt. Registren finns emellertid kvar vid utlandsmyndigheterna. För närvarande pågår diskussioner mellan Utrikesdepartementet och Migrationsverket om att verket skall ta över administrationen av Evita.

119

ÖVERVÄGANDEN OCH FÖRSLAG

5Allmänna utgångspunkter

Utredningens förslag: Behandling av personuppgifter i verksamhet enligt utlännings- och medborgarskapslagstiftningen författningsregleras i en lag som ersätter utlänningsdataförordningen. Lagen omfattar all helt eller delvis automatiserad behandling av personuppgifter inom verksamhetsområdet. Dessutom omfattas manuell behandling, om personuppgifterna ingår i eller är avsedda att ingå i ett register. I lagen behålls registerbegreppet endast för Migrationsverkets register över fingeravtryck och fotografier som tas med stöd av 5 kap. 5 § utlänningslagen.

5.1Användningen av modern informationsteknik och personlig integritet

Begreppet informationsteknik – IT– har kommit att användas som en samlad benämning på användningen av datateknik och telekommunikation. Begreppet innefattar såväl den tekniska utrustningen för informationsbehandling som metoder och tillvägagångssätt för att utnyttja denna. Den fortsatta förbättringen av datorernas prestanda och kapacitetsökningen i telenäten har tillsammans med att tekniken blivit allt billigare och enklare att använda medfört en närmast explosionsartad utveckling av informationstekniken på senare år. Informationstekniken har fått en stor betydelse för samhällsutvecklingen och innebär också helt nya förutsättningar för den offentliga förvaltningen.

Datortekniken anammades förhållandevis tidigt av den offentliga förvaltningen, redan under 1970-talet. Från att till en början avse användning av avgränsade s.k. ADB-register, sker i dag praktiskt taget allt skrivarbete med användning av datorer. Automatiserade ärendehanteringssystem förekommer i stor utsträckning. Några myndigheter, t.ex. försäkringskassorna, har övergått till elektronisk

123

Allmänna utgångspunkter

SOU 2003:40

ärendehantering med elektroniska akter i stället för pappersbaserade akter. I dessa system inkommer handlingar elektroniskt eller på papper varefter de bildfångas elektroniskt genom att skannas. De inkomna handlingarna lagras sedan i en elektronisk akt tillsammans med upprättade handlingar. Ärendena handläggs utan att den enskilde tjänstemannen har originalhandlingar tillgängliga på papper. All individrelaterad information som behövs för handläggningen av ett ärende lagras således på medium för automatiserad behandling. Informationstekniken brukas vidare i allt större utsträckning för uppföljning, framställning av statistik, kommunikation med andra myndigheter och enskilda samt för att sprida allmän information internt bland anställda eller till allmänheten.

Denna utveckling påskyndas av de krav som riktas mot myndigheterna när det gäller effektivitet, samverkan med andra myndigheter och en förbättrad service gentemot medborgarna.

I propositionen Åtgärder för att bredda och utveckla användningen av informationsteknik (prop. 1995/96:126 s. 66 f.) formulerade regeringen övergripande mål för en nationell IT-strategi. För den offentliga förvaltningens användning av informationsteknik uttalades bl.a. att förvaltningen bör vara ett föredöme som användare av informationsteknik, att den offentliga förvaltningen skall utnyttja informationstekniken för att effektivisera verksamheten och ge en god service till företag och medborgare. Mer rationella arbetsrutiner, effektivare organisations- och samarbetsformer i den offentliga förvaltningen förbättrar servicen och minskar samtidigt kostnaderna. Vidare angavs att informationsteknikens möjligheter att främja allmänhetens insyn i förvaltningen skall tillvaratas samt att alla offentliga organ bör kunna ta emot och besvara elektronisk post. Elektroniska kommunikationsmöjligheter med organ i EU, fortsatte regeringen, skall vidare göra det europeiska förvaltningssamarbetet effektivare.

I propositionen Statlig förvaltning i medborgarnas tjänst (prop. 1997/98:136 s. 55 f.) har målsättningen vidhållits. Regeringen framhöll där att den statliga sektorn fortlöpande måste ompröva verksamhetsformer i syfte att åstadkomma högre kostnadseffektivitet. Som ett led i denna bör myndigheterna aktivt ta till sig ett effektivt utnyttjande av informationstekniken. Dock framhöll regeringen att det är viktigt att uppgifter som rör enskildas personliga förhållanden inte sprids i onödan och att sådana uppgifter har ett tillfredsställande sekretesskydd. Allmänhetens förtroende angavs som en nyckelfråga för informationsteknikens

124

SOU 2003:40

Allmänna utgångspunkter

användning i den offentliga förvaltningen. I propositionen Ett informationssamhälle för alla (prop. 1999/2000:86) utvecklade och preciserade regeringen målen för den fortsatta IT-strategin. Vad gäller den offentliga förvaltningen uttalades bl.a. att utvecklingen av s.k. 24-timmarsmyndigheter, som är elektroniskt tillgängliga för informationshämtande och ärendehantering, bör stimuleras (a. prop. s. 100).

Regeringen har nyligen i propositionen Några förvaltningsrättsliga frågor lämnat ett förslag till ändring i 5 § förvaltningslagen (1986:223), som reglerar myndigheternas tillgänglighet och öppethållande. Enligt förslaget införs en bestämmelse om att myndigheterna skall vara skyldiga att kommunicera med medborgarna via e-post och telefax (prop. 2002/03:62). Lagändringen föreslås träda i kraft den 1 juli 2003.

Senare års IT-utveckling inom den offentliga förvaltningen präglas av de målsättningar som regeringen formulerat i de nyss nämnda propositionerna. De myndigheter som bedriver verksamhet enligt utlännings- och medborgarskapslagstiftningen utgör inget undantag härvidlag. Migrationsverket har – i sin funktion som central utlänningsmyndighet med ett övergripande ansvar för att bevaka att myndigheternas handläggning av frågor enligt utlännings- och medborgarskapslagstiftningen är effektiv – haft en viktig roll som processansvarig myndighet när det gäller att utveckla IT-stödet för informationsförsörjningen såväl inom myndigheten som i fråga om informationsutbyte med andra myndigheter i och utanför Sverige. När det gäller en närmare beskrivning av användningen av informationsteknik inom verksamhetsområdet hänvisas till avsnitt 4.

Med tanke på senare års oerhört snabba tekniska utveckling är det i det närmaste meningslöst att här försöka göra några långsiktiga antaganden om den kommande utvecklingen av informationshanteringen inom det verksamhetsområde utredningen haft att kartlägga. Man kan dock anta att utvecklingen av informationstekniken kommer att generera behov av ytterligare eller helt nya datorlösningar inom verksamhetsområdet. Migrationsverket har t.ex. planer på att inom en överskådlig framtid övergå från pappersbunden till elektronisk akthantering. Den pågående intensifieringen av samarbetet inom EU i migrations- och asylfrågor torde vidare förutsätta ett ökat automatiserat informationsutbyte för att samarbetet skall fungera smidigt.

125

Allmänna utgångspunkter

SOU 2003:40

Det är uppenbart att IT-utvecklingen är till nytta för samhället i många bemärkelser, inte minst för att den möjliggör oerhörda effektivitetsvinster och kostnadsbesparingar för den offentliga förvaltningen. Snabb och enkel tillgång till en allt större mängd information är också ägnad att ge fylligare och säkrare fakta- och kunskapsunderlag för myndigheterna när de handlägger enskilda ärenden, gör utvärderingar, framställer statistik m.m. Detta gagnar dem som berörs av verksamheten likväl som samhället i stort.

Samtidigt innebär utvecklingen att de personuppgifter som myndigheterna hanterar i sin verksamhet i allt större utsträckning insamlas och lagras automatiserat i stället för i pappersform. Detta kan naturligtvis innebära nackdelar från integritetssynpunkt. Ju större informationsmängder som finns samlade så att uppgifter kan sökas och sammanställas på ett allt enklare sätt desto mer ökar samhällets kontroll över enskilda samt risken för att den enskilde drabbas av oacceptabla intrång i sin personliga sfär. Den tekniska utvecklingen väcker därför frågor om risker för otillbörliga intrång i enskildas personliga integritet.

Begreppet personlig integritet och behovet av skydd mot otillbörliga intrång däri har varit omdiskuterat i lagstiftningssammanhang alltsedan datortekniken började göra insteg i den offentliga förvaltningen. Datalagens införande år 1973 motiverades bl.a. av den konflikt man fann föreligga mellan datoriseringen och den enskildes personliga integritet. Det har emellertid av naturliga skäl visat sig inte vara möjligt att definiera exakt vad som är ett otillbörligt ingrepp i den enskildes personliga sfär, inte minst därför att personlig integritet är ett värdeladdat begrepp vars innebörd inte kan fastställas objektivt utan är föremål för subjektivt vitt skilda uppfattningar. Klart är emellertid att den enskildes rätt till personlig integritet inte är en oinskränkt rättighet utan måste vägas mot andra intressen.

I propositionen Hälsodata- och vårdregister (prop. 1997/98:108 s. 26 ff.) utvecklade regeringen sin syn på begreppet personlig integritet och den avvägning mot andra intressen som måste göras. Resonemanget belyser väl den grundläggande problematiken och har fortfarande aktualitet. Det återges därför här.

Personlig integritet är – även om begreppet inte kan ges någon mer objektivt bestämbar innebörd – ett honnörsbegrepp. Det anses allmänt att det är viktigt att skydda den enskildes integritet och förhindra olika former av intrång däri. Innebörden av begreppen personlig integritet och intrång är dock olika för olika människor i olika situationer.

126

SOU 2003:40

Allmänna utgångspunkter

Någon entydig förklaring till begreppet är inte möjlig att ge. En ofta använd beskrivning av integritetsskyddet innebär att man skall skydda den enskildes rätt att bli lämnad i fred. Andra försök att beskriva vad som menas med personlig integritet tar fasta på rätten till ensamhet, till förtrolig samvaro inom familjen, en rätt till anonymitet och distans till andra individer. Ett annat sätt att beskriva begreppet är att den enskilde skall kunna kontrollera spridningen av uppgifter eller ha en rätt att själv bestämma vilka uppgifter om sig själv som han eller hon vill dela med sig till andra.

Ett skydd mot otillbörligt intrång är nödvändigt för att den enskilde skall uppnå en viss frihet att styra och kontrollera sitt eget liv. Den enskilde kan dock inte resa krav på en helt fredad sfär. Den personliga integriteten kan inte vara absolut i den mening att regler till skydd därför skall gälla och tillämpas undantagslöst eller oavsett motstående intressen. Ett visst mått av intrång måste accepteras. I stället får man bygga upp ett skydd mot sådant som bedöms utgöra ett otillbörligt intrång.

Vad som upplevs som en integritetskränkning av en person behöver inte upplevas som en sådan av en annan person. Det är därför svårt att generalisera. Några omständigheter kan dock mera allmänt sägas påverka den enskildes uppfattning om risk för integritetsintrång. Stora mängder uppgifter, förekomsten av många olika register och den möjlighet till samkörning som det ger är sådana exempel. Vidare om de uppgifter som behandlas belyser den enskildes avvikelser från gängse normer, särskilt i kombination med om tilltron till att uppgifterna hålls hemliga sviktar.

Svårigheter att uppnå rättelse och användning av personnummer är ytterligare omständigheter som ofta oroar den enskilde.

(....)

I begreppet personlig integritet kan man lägga två delkomponenter. För det första att den enskilde bör tillförsäkras en sfär som skyddas mot otillbörliga intrång från myndigheter och andra som kan uppfattas som utomstående och för det andra att den enskilde bör ha rätt och möjlighet att själv vara med och bestämma i vilka sammanhang uppgifter om honom får utnyttjas och hur det i så fall skall ske. I båda fallen måste dock den enskilde tåla vissa ingrepp, framförallt från samhällets sida, när andra intressen, som av samhället bedöms som totalt sett viktigare, kräver det. Ingrepp får dock inte vara alltför långtgående, alltför besvärande eller betungande i förhållande till de syften som intrånget skall tjäna. Varje gång det blir aktuellt att utnyttja uppgifter om en enskilds personliga förhållanden måste således en avvägning göras mellan den enskildes rätt till personlig integritet och det allmännas behov av information.

127

Allmänna utgångspunkter

SOU 2003:40

5.2Behovet av en författningsreglering

Utredningen har i uppdrag att granska regelsystemet och föreslå de författningsändringar och andra åtgärder som behövs för att den rättsliga regleringen av behandling av personuppgifter i verksamhet enligt utlännings- och medborgarskapslagstiftningen skall vara väl anpassad till personuppgiftslagen. I direktiven har regeringen uttalat som sin uppfattning att mer specifika bestämmelser om behandlingen av personuppgifter i verksamhet enligt utlännings- och medborgarskapslagstiftningen skall regleras särskilt i lag. Det sägs också att utlänningsdataförordningen är avsedd att få en begränsad giltighet i avvaktan på att frågan om en lagreglering bereds vidare.

Av 2 § personuppgiftslagen följer att från personuppgiftslagen avvikande bestämmelser kan meddelas i lag eller förordning. En förutsättning är dock att de avvikande bestämmelserna inte strider mot dataskyddsdirektivet såvitt gäller verksamhet som omfattas av gemenskapsrätten.

En grundläggande förutsättning för att – i förhållande till personuppgiftslagen – särreglera den behandling av personuppgifter som sker i verksamhet enligt utlännings- och medborgarskapslagstiftningen är att det finns behov av en sådan reglering.

I propositionen Personuppgiftslag (prop. 1997/98:44 s. 40 f.) uttalade regeringen att den nya lagen i princip bara bör innehålla generella regler och att behovet av undantag och särregler för mer speciella områden får tillgodoses genom andra författningar. Regeringen framhöll att registerförfattningarna innehåller många preciserade och viktiga regler som inte kan ersättas av de generella bestämmelser som den nya lagen innehåller. Vid utskottsbehandlingen av förslaget till personuppgiftslag uttalade Konstitutionsutskottet, i sitt av riksdagen godkända betänkande, att det saknas anledning att nu avvika från den tidigare fastlagda målsättningen att myndighetsregister med ett stort antal registrerade och ett särskilt känsligt innehåll skall regleras särskilt i lag (bet. 1997/98:KU18 s. 43, rskr. 1997/98:180). Den tidigare fastlagda målsättningen formulerades av regeringen i propositionen Offentlighet, integritet och ADB. Konstitutionsutskottet instämde häri vid propositionens riksdagsbehandling (prop. 1990/91:60 s.58 samtbet. 1990/91:KU11s.11).

I verksamhet enligt utlännings- och medborgarskapslagstiftningen behandlas personuppgifter av ofta mycket integritetskänslig natur. Verksamheten omfattar även ett mycket stort antal

128

SOU 2003:40

Allmänna utgångspunkter

registrerade personer. Redan detta förhållande talar – mot bakgrund av regeringens ståndpunkt och riksdagens nyss redovisade målsättning – med styrka för att behandlingen av personuppgifter inom verksamhetsområdet regleras särskilt i lagform. Även andra skäl talar emellertid för en särreglering i förhållande till personuppgiftslagen.

Enligt personuppgiftslagen får känsliga personuppgifter enligt lagens definition inte behandlas inom verksamhetsområdet utan den registrerades samtycke. De övriga undantagen från personuppgiftslagens förbud mot behandling av känsliga personuppgifter torde mycket sällan vara tillämpliga i verksamhet enligt utlännings- och medborgarskapslagstiftningen. Visserligen har regeringen genom en ändring av personuppgiftsförordningen (1998:1191) gjort ett generellt undantag från förbudet genom att föreskriva att känsliga personuppgifter får behandlas av en myndighet i löpande text, om uppgifterna har lämnats i ett ärende eller är nödvändiga för handläggningen av det (8 § personuppgiftsförordningen). Ändringen trädde i kraft den 1 oktober 2001. Det undantaget är emellertid inte tillräckligt för att myndigheter som bedriver verksamhet enligt utlännings- och medborgarskapslagstiftningen skall kunna behandla känsliga personuppgifter i alla de fall som det finns en befogad anledning att göra det.

Det behövs alltså en särreglering, som gör undantag från personuppgiftslagen i fråga om känsliga personuppgifter. Att det föreslagna undantaget inskränker personuppgiftslagens integritetsskydd genom att utvidga möjligheterna att behandla känsliga personuppgifter understryker ytterligare vad som tidigare sagts om att särregleringen bör underställas riksdagens prövning.

Emellertid anser utredningen att det även finns behov av att i särreglering utöka integritetsskyddet i förhållande till vad som annars skulle ha gällt enligt personuppgiftslagen. I likhet med många motsvarande registerförfattningar föreslås i det följande exempelvis regler som av integritetsskäl begränsar möjligheterna att söka efter information. Sådana begränsningsregler saknas helt i personuppgiftslagen.

Ett annat skäl för att införa en särreglering är att det finns ett behov av att förtydliga eller precisera förhållanden som annars, med enbart personuppgiftslagens reglering, kan ge upphov till tolkningsproblem, t.ex. i fråga om vem som är personuppgiftsansvarig.

Genom en särreglering klargörs vidare för allmänheten att det finns begränsningar för hur myndigheterna får lov att behandla

129

Allmänna utgångspunkter

SOU 2003:40

uppgifter om enskilda, t.ex. i fråga om för vilka ändamål personuppgifter får behandlas eller i fråga om extern åtkomst till lagrade uppgifter. Detta är ägnat att öka allmänhetens förtroende för myndigheternas hantering av personuppgifter i sin verksamhet.

Det finns således starka skäl för en särreglering i lag av behandlingen av personuppgifter i verksamheten enligt utlännings- och medborgarskapslagstiftningen. Utredningen föreslår därför en särskild lag om behandling av personuppgifter i verksamhet enligt utlännings- och medborgarskapslagstiftningen. Denna lag skall ersätta utlänningsdataförordningen.

5.3Övergripande principer för utredningens överväganden

Utgångspunkten för förslaget är att lagens övergripande syfte skall vara att skydda den enskilde mot otillbörliga intrång i dennes personliga integritet. Samtidigt måste emellertid också beaktas att det finns ett viktigt allmänintresse av att myndigheterna inom verksamhetsområdet på ett rationellt och effektivt sätt kan använda modern informationsteknik i fråga om sådan information som myndigheterna måste hantera för att kunna fullgöra sina uppgifter. Lagen bör således avspegla en rimlig avvägning i den inneboende intressekonflikten mellan samhällets behov kontra den enskildes anspråk på skydd för sin personliga integritet.

En annan utgångspunkt – som också i direktiven framhålls som en utgångspunkt för utredningsuppdraget – är att den rättsliga regleringen inte skall vara beroende av att vissa tekniska lösningar används. Detta är enligt utredningen särskilt viktigt med hänsyn till hur snabbt informationstekniken utvecklas. Det är självklart och i linje med regeringens ambitioner (se avsnitt 5.1) att man inom den offentliga verksamheten skall kunna dra nytta av de möjligheter till effektivitetsvinster, kostnadsbesparingar samt smidigt informationsutbyte med svenska eller utländska myndigheter och enskilda som den tekniska utvecklingen kan komma att medföra. Lagen bör således inte hämma användningen av ny informationsteknik utan lämna utrymme för förändringar i myndigheternas IT-struktur i den mån denna inte går ut över integritetsskyddet. Särregleringen bör därför – liksom personuppgiftslagen – vara teknikoberoende.

Vidare bör särregleringen vara flexibel så till vida att den är i möjligaste mån oberoende av förändringar på grund av nya faktiska

130

SOU 2003:40

Allmänna utgångspunkter

eller rättsliga förutsättningar för verksamheten i fråga. Ett sätt att åstadkomma denna flexibilitet är att ge lagen karaktär av ramlagstiftning, som anger vilka grundläggande principer som skall gälla för behandling av personuppgifter inom verksamhetsområdet, medan detaljfrågor lämnas utanför lagen. Närmare reglering av detaljfrågor bör i stället, inom lagens ramar, kunna meddelas i en förordning som utfärdas i anslutning till lagen eller, efter regeringen bemyndigande, i myndighetsföreskrifter. En sådan författningsteknik är fördelaktig i det avseendet att detaljregler, som sannolikt behöver ändras ofta, inte måste underställas riksdagens prövning.

Givetvis måste dock de från integritetssynpunkt viktigaste principerna regleras av lagen. Till dessa hör bl.a. för vilka ändamål personuppgifter får behandlas, under vilka förutsättningar känsliga personuppgifter enligt 13 § personuppgiftslagen får behandlas samt i vad mån automatiserad direktåtkomst kan medges till personuppgifter som behandlas inom verksamhetsområdet. Närmare reglering i förordning eller i myndighetsföreskrifter föreslås i dessa frågor vara möjlig endast om de ytterligare ökar den enskildes integritetsskydd genom att i något avseende inskränka utrymmet för behandling av personuppgifter jämfört med vad lagens ramar anger.

Slutligen bör framhållas att en självklar utgångspunkt för förslagen varit att lagen inte i något avseende skall strida mot dataskyddsdirektivet. Det verksamhetsområde som föreslås omfattas av lagens tillämpningsområde avser till övervägande del frågor som hör till EU:s gemenskapsrätt. Dataskyddsdirektivet gäller följaktligen för behandling av personuppgifter i den delen. Vad gäller verksamhet som faller utanför direktivets tillämpningsområde – t.ex. verksamhet enligt medborgarskapslagstiftningen – har det i utredningsarbetet inte framkommit någon anledning att föreslå avsteg från direktivets bestämmelser.

5.4Särskilda uppgiftssamlingar

I utlänningsdataförordningen regleras enbart automatiserad behandling av personuppgifter i verksamhetsregister, rättsfallsregister, landinformationsregister samt i fingeravtrycksregister. Hur registren är avgränsade framgår inte av förordningen. Automatiserad behandling av personuppgifter i löpande texter med hjälp av ordbehandlingsprogram utan koppling till registren, elektronisk

131

Allmänna utgångspunkter

SOU 2003:40

post m.m. torde emellertid inte omfattas av utlänningsdataförordningens tillämpningsområde utan styrs av personuppgiftslagens regler. Inte heller omfattar utlänningsdataförordningen manuell hantering av personuppgifter. Även denna behandling regleras av personuppgiftslagen, dock att lagens övergångsbestämmelser innebär att flera av lagens centrala bestämmelser (9, 10, 13 och 21 §§) inte gäller förrän den 1 oktober 2007 såvitt avser redan före den 24 oktober 1998 påbörjad manuell behandling eller manuell behandling som utförs för ett bestämt ändamål om manuell behandling för ändamålet påbörjats före den 24 oktober 1998.

Utredningen har ställt sig frågan om det finns anledning att begränsa lagens tillämplighet på motsvarande sätt, dvs. till specifika samlingar av personuppgifter. En ytterligare fråga är om det finns anledning att i lagen göra åtskillnad mellan regler som endast gäller för vissa samlingar av personuppgifter medan andra regler gäller generellt.

5.4.1Allmänt om uppgiftssamlingar

Personuppgiftssamlingar i register blev ett centralt begrepp i svensk datalagstiftning genom datalagens införande. Med personregister avsågs, enligt datalagens definition, register, förteckning eller andra anteckningar som förs med hjälp av automatisk databehandling och som innehåller personuppgift som kan hänföras till den som avses med behandlingen. Den allmänt använda termen för automatiserade uppgiftssamlingar har sedan datalagens införande varit register. I enlighet med sin benämning har registerförfattningar, som härrör från datalagens tid, i allmänhet reglerat bl.a. vilka uppgifter om enskilda som får sammanställas i myndigheters automatiserade register. Karaktäristiskt för dessa register är att uppgifter förs in i en uppgiftssamling på ett systematiserat sätt efter särskilda kriterier och att de är sökbara med särskilda sökord, koder eller dylikt.

Redan flera år före personuppgiftslagens införande kritiserades emellertid registerbegreppet för att vara otidsenligt. På grund av den tekniska utvecklingen har det i en sammansatt och komplex datormiljö blivit allt svårare att fastställa såväl när ett register har inrättats som vad som är ett register i förhållande till ett annat. Det har också vuxit fram metoder att med datorhjälp söka och

132

SOU 2003:40

Allmänna utgångspunkter

sammanställa uppgifter som över huvud taget inte har organiserats eller systematiserats i förväg.

Genom personuppgiftslagens införande har begreppet register kommit att spela en underordnad roll vid automatiserad behandling av personuppgifter. För manuell behandling är begreppet register dock avgörande, eftersom sådan hantering omfattas av lagens tillämpningsområde endast då personuppgifterna ingår i eller är avsedda att ingå i en strukturerad samling av personuppgifter som är tillgängliga för sökning eller sammanställning enligt särskilda kriterier, dvs. är samlade i register. För helt eller delvis automatiserad behandling av personuppgifter finns emellertid inga särskilda bestämmelser om register eller andra samlingar av personuppgifter. All behandling av personuppgifter som sker helt eller delvis automatiserat omfattas således av lagens generella bestämmelser oavsett om personuppgifterna ingår i register eller inte. Av avgörande betydelse är i stället att personuppgifter skall samlas in för uttryckligt angivna ändamål och sedan inte behandlas för något annat ändamål som är oförenligt med det ändamål för vilket uppgifterna samlades in. Personuppgiftslagen innebär alltså att automatiserade register kan inrättas om det sker för uttryckligt angivna ändamål.

I förarbetena till personuppgiftslagen uttalade emellertid regeringen om registerbegreppet att inget hindrar att ett datoriserat register också kallas för det. Flertalet särskilda registerförfattningar rör just upprättandet och förandet av traditionella datoriserade register. Ofta har registerformen, fortsatte regeringen, valts medvetet för att skapa förutsägbarhet och säkerhet beträffande de uppgifter som behandlas med hjälp av datorer (prop. 1997/98:44 s. 39).

Lagen (1998:938) om behandling av personuppgifter om totalförsvarspliktiga och polisdatalagen (1998:622) kan nämnas som exempel på författningar som är anpassade till personuppgiftslagen och dessutom innehåller bestämmelser om vissa register.

Efter personuppgiftslagens införande har begreppet databas introducerats som ett juridiskt begrepp i några registerförfattningar, nämligen i lagarna för behandling av personuppgifter inom skatte-, tull- och exekutionväsendet samt inom den arbetsmarknadspolitiska verksamheten (se t.ex. 2 kap. 1 § lagen [2001:181] om behandling av personuppgifter i skatteförvaltningens verksamhet och 7 § lagen [2002:546] om behandling av personuppgifter i den arbetsmarknadspolitiska verksamheten). I

133

Allmänna utgångspunkter

SOU 2003:40

lagarna sägs att det i respektive verksamhet får finnas en databas, dvs. en samling personuppgifter som med hjälp av automatiserad behandling används gemensamt i verksamheten för ändamål som anges i lagarna. För databaserna gäller sedan särskilda regler om bl.a. vad de får innehålla, direktåtkomst, gallring m.m.

I Registerförfattningsutredningens betänkande Skatt, Tull, Exekution – Normer för behandling av personuppgifter (SOU 1999:105 s. 231 f.) redogjorde utredningen för vad som enligt dess mening skall avses med gemensam användning av uppgifter. Sammanfattningsvis anfördes att en uppgift är gemensamt tillgänglig och därmed utgörande en del av en databas om den registreras och lagras i ett datasystem på ett sådant sätt att tjänstemännen inom en eller flera myndigheter har möjlighet att ta del av uppgiften direkt på automatiserad väg. Enligt Registerförfattningsutredningen är det den faktiskt åsyftade tillgängligheten och inte hur uppgiften tekniskt lagras som är väsentlig. Att olika personalkategorier har olika behörighet och att vissa uppgifter därför är åtkomliga endast för ett begränsat antal personer förtar i sig inte uppgifternas egenskap som gemensamma. Detsamma gäller om vissa uppgifter är åtkomliga endast inom en regional myndighet. En uppgift som lagras elektroniskt på hårddisken i en dator eller i en server hos en myndighet i samband med att en tjänsteman arbetar med ordbehandling och som normalt bara är åtkomlig för tjänstemannen själv och exempelvis systemadministratören vid myndigheten, kan däremot inte anses vara gemensamt tillgänglig. Syftet med en sådan tillfällig behandling är inte att uppgifterna som lagras i datorn skall användas av andra än den som utför behandlingen.

I propositionen Behandling av personuppgifter inom skatt, tull och exekution (prop. 2000/01:33 s. 89 f.) har regeringen redogjort för sina överväganden kring begreppen register respektive databas. Som skäl för att införa begreppet databas anförde regeringen bl.a. följande. Att följa personuppgiftslagens struktur och enbart tala om behandling av personuppgifter kan i vissa fall föranleda att en lagtext tyngs och blir svårhanterlig, t.ex. när man inte avser behandling i allmänhet utan endast behandling i fastställda samlingar av uppgifter för vilka särskilda handlingsregler bör gälla. Begreppet databas utesluter manuella register och gör det möjligt att särskilja tillfälliga behandlingar av personuppgifter i en dator från databaser som är särskilt reglerade till sitt innehåll och användning. Definitionen har även den fördelen att den inte tekniskt avgränsar

134

SOU 2003:40

Allmänna utgångspunkter

hur en samling uppgifter är uppbyggd eller organiserad. Flera register kan vara sammanlänkade i en databas om de på ett gemensamt sätt är tillgängliga för sökning med automatiserad behandling inom en avgränsad verksamhet. Regeringen framhöll vidare att det från integritetssynpunkt är viktigt att stora uppgiftssamlingar, som hanteras av myndigheter och som möjliggör sammanställningar av en rad olika uppgifter om enskilda personer, omgärdas av särskilda skyddsregler. För behandlingen av uppgifter i databaser bedömdes därför att särskilda bestämmelser bör gälla på en rad punkter, nämligen i fråga om vilka uppgifter som får behandlas, vilken åtkomst myndigheter och andra skall ha till uppgifterna samt vilka regler som skall gälla för bevarande och gallring.

Motsvarande överväganden gjordes av regeringen i förarbetena till lagen om behandling av personuppgifter i den arbetsmarknadspolitiska verksamheten (prop. 2001/02:144 s. 27 f.).

5.4.2Utredningens överväganden i fråga om uppgiftssamlingar

Lagen bör omfatta all behandling av personuppgifter som sker helt eller delvis automatiserat eller manuellt i register. Lagen blir därigenom teknikoberoende och väl anpassad till personuppgiftslagens regelverk. Flera av de skäl som tidigare (avsnitt 5.2) anförts för en särreglering har giltighet på behandling av personuppgifter oavsett om personuppgifterna ingår i automatiserade uppgiftssamlingar eller inte. Visserligen utvidgas därmed särregleringen av behandlingen av personuppgifter i verksamhet enligt utlännings- och medborgarskapslagstiftningen jämfört med vad som gäller för närvarande. Det innebär bl.a. större möjligheter än i dag att behandla känsliga personuppgifter, vilket från integritetssynpunkt kan sägas tala emot den föreslagna utvidgningen. Utvidgningen ter sig emellertid nödvändig för att verksamheten skall kunna bedrivas på ett lämpligt sätt. Exempelvis bör känsliga personuppgifter kunna behandlas även om den enskilde tjänstemannen av olika skäl utför behandlingen med hjälp av ordbehandlingsprogram i sin persondator i stället för i ett större datorsystem. Även denna behandling bör vidare styras av de regler om ändamål m.m. som kommer att föreslås i det följande.

135

Allmänna utgångspunkter

SOU 2003:40

Mot bakgrund av den komplexa IT-struktur som redan är för handen kan det ifrågasättas om begreppet register över huvud taget skall förekomma i lagen. I flera av de registerförfattningar som tillkommit efter personuppgiftslagens införande har begreppet övergetts, förutom i de nyss nämnda författningarna, se t.ex. lagen (2001:454) om behandling av personuppgifter inom socialtjänsten eller lagen (2001:617) om behandling av personuppgifter inom kriminalvården, vilket dock inte hindrar att en mängd register – automatiserade eller inte – förs inom respektive verksamhet.

Den kritik som riktats mot begreppet register är relevant beträffande flertalet av de uppgiftssamlingar som redovisats i avsnitt 4. Det kan här påpekas att Datainspektionen ansett att Migrationsverkets landinformationssystem LIFOS – som torde omfattas inte bara av utlänningsdataförordningens regler om landinformationsregister utan även av förordningens regler om rättsfallsregister – inte utgör ett personregister i den tidigare gällande datalagens mening, eftersom personuppgifter endast förekommer i löpande text. Migrationsverkets omfattande automatiserade system STAMM-basen kan vidare nämnas som en exemplifiering av den utveckling av IT-strukturen som skett inom många myndigheter under 1990-talets senare hälft och som har medfört att beteckningen register inte längre passar som beskrivning av systemet, vilket numera består av ett flertal verksamhetsstödjande personregister integrerade med ärendehanteringsfunktioner, lagrade handlingar m.m.

Migrationsverkets automatiserade fingeravtrycksregister är emellertid ett register i ordets egentliga bemärkelse, där ett visst urval uppgifter på ett systematiserat sätt förs in i ett register för ett specifikt ändamål, nämligen att underlätta identifieringen av asylsökande. Registret är inte integrerat med övriga datorsystem inom myndigheten. Det föreligger därför inte problem med att avgränsa fingeravtrycksregistret gentemot andra register, dokumenthantering eller övrig personuppgiftsbehandling på det sätt som registerbegreppet kritiserats för.

En jämförelse kan göras med polisdatalagen (1998:622) som innehåller särskilda bestämmelser om regelrätta datoriserade register, däribland fingeravtrycks- och signalementsregistret, som förs inom polisens verksamhet. I propositionen Polisens register, som föregick lagens införande (prop. 1997/98:97 s. 102 och 111), anförde regeringen sammanfattningsvis att det behövs särskilda bestämmelser om vissa traditionella register samt, vad gäller

136

SOU 2003:40

Allmänna utgångspunkter

fingeravtrycks- och signalementsregistret, att det från integritetssynpunkt finns skäl att begränsa behandlingen av personuppgifter för att underlätta identifieringen av personer i samband med brott.

Samma argument kan enligt utredningens mening åberopas vad gäller Migrationsverkets fingeravtrycksregister. Registret innehåller personuppgifter om ett stort antal utlänningar och är integritetskänsligt. Registret kan också antas komma att föras under överskådlig tid framöver.

Som kommer att framgå i avsnitten 6.7 och 6.18.5 föreslår utredningen därför att de särskilda regler som i dag gäller för vilka uppgifter registret får innehålla, när gallring skall ske m.m. alltjämt skall vara författningsreglerade. Det föreslås också att uppgiftssamlingen även i fortsättningen benämns som ett register.

När det däremot gäller övriga register, ärendehanteringssystem och andra personuppgiftssamlingar som förekommer inom verksamhetsområdet finns, enligt utredningens mening, bland dem inte någon klar och urskiljbar uppgiftssamling som på motsvarande sätt som beträffande fingeravtrycksregistret bör bli föremål för särreglering. Utredningen har därför inte funnit anledning att i lagen begagna begreppen register eller databas och att för dessa uppgiftssamlingar föreslå särskilda regler. Olika uppgiftssamlingar nämns således inte särskilt utan omfattas av lagens allmänna bestämmelser om behandling av personuppgifter.

Givetvis är integritetsriskerna större när information om ett stort antal individer samlas och lagras automatiserat så att de är tillgängliga för mer än ett fåtal personer. Det är därför särskilt viktigt att sådana personuppgifter omgärdas av integritetsskyddande regler. Lagförslaget är i konsekvens härmed utformat med i första hand dessa integritetskänsliga uppgiftssamlingar i åtanke. Enligt utredningens bedömning är det dock inte nödvändigt, för att myndigheterna skall kunna fullgöra sina arbetsuppgifter på ett tillfredsställande sätt, att andra regler gäller för behandling av personuppgifter som sker utanför uppgiftssamlingar eller utanför gemensamt tillgängliga system.

För den personuppgiftsansvariga likväl som för den som rutinmässigt behandlar personuppgifter i det dagliga arbetet är det dessutom en fördel om regelverket är så enhetligt som möjligt. Därigenom undviks att tveksamhet uppstår i fråga om vilka regler som gäller för en viss behandling av personuppgifter. Vilken benämning man än väljer för att beskriva en eller flera uppgiftssamlingar torde nämligen gränsdragningsproblem kunna upp-

137

Allmänna utgångspunkter

SOU 2003:40

stå i många fall. Detta hänger särskilt samman med svårigheterna att lagstiftningsvägen exakt avgränsa vad som skall anses ske i respektive utanför en uppgiftssamling som inte utgör ett traditionellt register separerat från all annan automatiserad behandling av personuppgifter. Det kan vidare inte uteslutas att den tekniska utvecklingen kommer att göra denna gränsdragning än mer problematisk.

138