Behandling av känsliga personuppgifter i testverksamhet enligt utlänningsdatalagen

Konstitutionsutskottets yttrande 2020/21:KU2y

Behandling av känsliga personuppgifter i testverksamhet enligt utlänningsdatalagen

Till socialförsäkringsutskottet

Socialförsäkringsutskottet beslutade den 13 oktober 2020 att ge konstitutions­utskottet tillfälle att yttra sig över regeringens proposition 2020/21:5 Behandling av känsliga personuppgifter i testverksamhet enligt utlännings­datalagen och en följdmotion, i de delar som berör konstitutionsutskottets beredningsområde.

Konstitutionsutskottet begränsar sitt yttrande till att avse frågor om skyddet för den personliga integriteten.

Utifrån de utgångspunkter som konstitutionsutskottet har att beakta har utskottet inget att invända mot att propositionen bifalls och att motion 2020/21:399 av Christina Höj Larsen m.fl. (V) yrkande 1 och 2 avslås.

Utskottets överväganden

Propositionen

I propositionen föreslår regeringen att utlänningsdatalagen (2016:27) ändras så att känsliga personuppgifter ska få behandlas i testverksamhet enligt utlänningsdatalagen om uppgifterna är absolut nödvändiga för syftet med behandlingen. Förslaget är avsett att ge Migrationsverket, Polismyndigheten och utlandsmyndigheterna möjlighet att i sin verksamhet enligt utlännings- och medborgarskapslagstiftningen behandla känsliga personuppgifter för att t.ex. kontrollera att befintliga it-system fungerar på ett effektivt och rättssäkert sätt eller pröva och utveckla ny teknik för att kunna delta i det internationella samarbetet.

I propositionen konstaterar regeringen att vissa EU-rättsakter som rör utlänningars inresa, utresa och vistelse i medlemsstaterna kräver att känsliga personuppgifter kan behandlas. Utlänningsdatalagens nuvarande utformning innebär att Polismyndigheten, Migrationsverket och utlandsmyndigheterna har rättsligt stöd för att behandla känsliga personuppgifter om uppgifterna är absolut nödvändiga för att kontrollera en utlänning i samband med inresa och utresa eller under vistelsen i Sverige. Det är däremot förbjudet att behandla känsliga personuppgifter i testverksamhet, vilket innebär ett hinder för berörda myndigheter att skapa och utveckla nya tekniska system som är nödvändiga för att kunna utföra kontroller som de är ålagda att utföra, t.ex. kontroll av biometriska uppgifter. Även befintliga it-system kan behöva kontrolleras genom tester så att de fungerar på ett effektivt och rättssäkert sätt.

För att genomföra test och validering och nå tillförlitliga och rättssäkra resultat kan en relativt stor mängd känsliga personuppgifter behöva behandlas. Detta innebär ett integritetsintrång. Möjligheten att testa ny teknik bidrar emellertid till att det kan införas träffsäkra, rättssäkra och effektiva system, där risken för olägenheter i form av felbedömningar till den enskildes nackdel minimeras samtidigt som en hög säkerhetsnivå kan upprätthållas. Det intrång i enskildas personliga integritet som kan uppkomma när ett system är i skarp drift blir med andra ord mindre om systemet först kan testas.

Regleringen i utlänningsdatalagen bör enligt regeringen vara enhetlig. Samma höga krav ska gälla för behandling av känsliga personuppgifter i testverksamhet som uppställs vid behandling i skarp drift. Det kommer t.ex. bara att vara tillåtet att behandla känsliga personuppgifter om det är absolut nödvändigt. Enligt regeringen talar detta för att det inte heller bör finnas några begränsningar när det gäller vilka kategorier av känsliga personuppgifter som får behandlas i testverksamhet eller vilka myndigheter som får behandla uppgifterna. Genom kravet på att uppgifterna ska vara absolut nödvändiga tydliggörs att behandlingen av känsliga personuppgifter ska ske med försiktighet och att behovet ska prövas noga i det enskilda fallet.

Sammantaget anför regeringen att behandling av känsliga personuppgifter i testverksamhet bör tillåtas och att utlänningsdatalagen därför bör ändras så att känsliga personuppgifter får behandlas i testverksamhet.

Lagändringen föreslås träda i kraft den 1 december 2020.

Lagrådet har granskat lagförslaget utan att ha några invändningar.

Följdmotionen

Christina Höj Larsen m.fl. (V) yrkar i kommittémotion 2020/21:399 att riksdagen ska avslå propositionen (yrkande 1). Vidare yrkas ett tillkänna­givande om att regeringen bör återkomma med ett förslag som innefattar en gedigen analys av risker för den personliga integriteten (yrkande 2).

Motionärerna instämmer i regeringens bedömning av behovet av att testa it-system och liknande innan dessa sätts i drift. Däremot menar motionärerna att regeringen inte i tillräcklig utsträckning har tagit hänsyn till de problem och risker som finns med att tillåta en mer omfattande testverksamhet, vilket har påtalats av flera remissinstanser.

Remissinstanserna har efterlyst en närmare analys av riskerna för enskildas personliga integritet och av alternativa mindre integritetskränkande tillväga­gångssätt samt en analys av om det finns ett behov som motiverar att förbudet mot att behandla känsliga personuppgifter i testverksamhet helt slopas. Vidare har remissinstanserna påtalat att det råder oklarhet kring vad som utgör behandling av biometriska uppgifter och att det behövs ytterligare vägledning när det gäller bedömningen av vad som utgör en ”absolut nödvändig” behandling.

Sammantaget menar motionärerna, mot bakgrund av den kritik som har framförts av remissinstanserna, att bristerna i förslaget är alltför stora och att regeringen bör återkomma med ett mer genomarbetat förslag.

Gällande ordning

Regeringsformen, Europakonventionen och rättighetsstadgan

Det allmänna ska enligt 1 kap. 2 § fjärde stycket regeringsformen (RF) verka för att demokratins idéer blir vägledande inom samhällets alla områden och värna den enskildes privatliv och familjeliv. Var och en är skyddad gentemot det allmänna mot betydande intrång i den personliga integriteten, om det sker utan samtycke och innebär övervakning eller kartläggning av den enskildes personliga förhållanden (2 kap. 6 § andra stycket RF).

Begränsningar i detta skydd får göras endast för att tillgodose ändamål som är godtagbara i ett demokratiskt samhälle. Begränsningarna får aldrig gå utöver vad som är nödvändigt med hänsyn till det ändamål som har föranlett dem och heller inte sträcka sig så långt att de utgör ett hot mot den fria åsikts­bildningen (2 kap. 20 och 21 §§ RF).

Enligt artikel 8 i europeiska konventionen om skydd för de mänskliga rättigheterna och de grundläggande friheterna (Europakonventionen) har var och en rätt till respekt för sitt privat- och familjeliv, sitt hem och sin korrespondens. En inskränkning i dessa rättigheter får bara göras med stöd av lag och om det är nödvändigt med hänsyn till ändamål som är angivna i artikeln. Sverige har tillträtt Europakonventionen, och den gäller sedan 1995 också som lag i Sverige. Enligt 2 kap. 19 § RF får en lag eller annan föreskrift inte meddelas i strid med Sveriges åtaganden på grund av Europa­konventionen.

I Europeiska unionens stadga om de grundläggande rättigheterna (2010/C 83/02) bekräftas de rättigheter som har sin grund i medlemsstaternas gemen­samma författningstraditioner och internationella förpliktelser, Europakon­ventionen, unionens och Europarådets sociala stadgor samt rättspraxis vid Europeiska unionens domstol och Europeiska domstolen för de mänskliga rättigheterna. Artikel 8 i stadgan reglerar skydd av personuppgifter. Enligt artikeln har var och en rätt till skydd av de personuppgifter som rör honom eller henne. Sådana uppgifter ska behandlas lagenligt för bestämda ändamål och på grundval av den berörda personens samtycke eller någon annan legitim och lagenlig grund. Var och en har rätt att få tillgång till insamlade uppgifter som rör honom eller henne och att få dem rättade. En oberoende myndighet ska kontrollera att reglerna följs.

Behandling av känsliga personuppgifter

Dataskyddsförordningen

Grundläggande bestämmelser om krav på behandlingen av personuppgifter finns – i tillämpliga delar – i dataskyddsförordningen[1] och lagen (2018:218) med kompletterande bestämmelser till EU:s dataskyddsförordning (data­skyddslagen). Dataskyddslagen är subsidiär i förhållande till annan lag eller förordning och möjliggör därmed avvikande bestämmelser i bl.a. sektors­specifika författningar, s.k. registerförfattningar. Av regelverket följer bl.a. att det för en personuppgiftsbehandling krävs en rättslig grund. Vidare tillerkänns den registrerade rättigheter och den personuppgiftsansvarige skyldigheter när personuppgifterna behandlas.

Dataskyddsförordningen innehåller ett principiellt förbud mot att behandla vissa särskilda kategorier av personuppgifter (artikel 9.1). Förbudet omfattar uppgifter som avslöjar ras, etniskt ursprung, politiska åsikter, religiös eller filosofisk övertygelse eller medlemskap i fackförening och behandling av genetiska uppgifter, biometriska uppgifter för att entydigt identifiera en fysisk person, uppgifter om hälsa eller uppgifter om en fysisk persons sexualliv eller sexuella läggning. I svensk rätt betecknas sådana personuppgifter som känsliga personuppgifter (se t.ex. 14 § första stycket utlännings­datalagen).

Förbudet i dataskyddsförordningen mot behandling av känsliga person­uppgifter kompletteras av ett antal undantag som gör det möjligt att behandla sådana personuppgifter i vissa fall. Ett sådant undantag är om behandlingen är nödvändig av hänsyn till ett viktigt allmänt intresse, på grundval av unionsrätten eller medlemsstaternas nationella rätt, vilken ska stå i proportion till det eftersträvade syftet, vara förenligt med det väsentliga innehållet i rätten till dataskydd och innehålla bestämmelser om lämpliga och särskilda åtgärder för att säkerställa den registrerades grundläggande rättigheter och intressen (artikel 9.2 g).

Utlänningsdatalagen

Utlänningsdatalagen är en registerförfattning som kompletterar dataskydds­förordningen (4 a §). Lagen innehåller bestämmelser om Migrations­­verkets, Polismyndighetens och utlandsmyndigheternas behandling av personuppgifter i deras verksamhet enligt utlännings- och medborgarskapslagstiftningen. Syftet med lagen är att ge myndigheterna möjlighet att behandla personuppgif­ter på ett ändamålsenligt sätt och att skydda människor mot att deras personliga integritet kränks vid sådan behandling (1 §). Lagen gäller bl.a. behandling av personuppgifter i myndigheternas verksamhet som rör utlänningars inresa och vistelse i Sverige och utresa eller avlägsnande från Sverige (2 § 1 och 2 samt 3 §).

I 11 och 12 §§ utlänningsdatalagen anges för vilka primära ändamål som myndigheterna får behandla personuppgifter. Personuppgifter får behandlas bl.a. om det behövs för att kontrollera en utlänning i samband med inresa och utresa samt för kontroll under vistelsen i Sverige (11 § 2). Personuppgifter får även behandlas om det behövs för att utföra testverksamhet (11 § 5).

Behandling av känsliga personuppgifter regleras i bl.a. 14 § utlännings­data­lagen. Enligt paragrafen får känsliga personuppgifter behandlas för samtliga primära ändamål i 11 § utom testverksamhet (14 § första stycket 1). Känsliga personuppgifter får endast behandlas om det är absolut nödvändigt för syftet med behandlingen.

I propositionen Anpassning av utlänningsdatalagen till EU:s dataskydds­förordning bedömde regeringen att den behandling av känsliga personupp­gifter som möjliggörs genom utlänningsdatalagen uppfyller de krav som ställs i artikel 9.2 g i dataskyddsförordningen för att få behandla känsliga personupp­gifter (prop. 2017/18:254 s. 30 f.).

Utskottets ställningstagande

Utskottet vill inledningsvis betona vikten av att värna den enskildes personliga integritet. Lagförslag bör föregås av en noggrann analys av konsekvenserna för den personliga integriteten, och en avvägning måste göras mellan integritetsskyddsintresset och det intresse som motiverar lagförslaget. En inskränkning av skyddet för den personliga integriteten får inte gå längre än vad som är nödvändigt med hänsyn till det ändamål som har föranlett den.

Syftet med regeringens förslag är att ge Migrationsverket, Polismyndighe­ten och utlandsmyndigheterna möjlighet att i sin verksamhet enligt utlännings- och medborgarskapslagstiftningen behandla känsliga personuppgifter för att t.ex. kontrollera att befintliga it-system fungerar på ett effektivt och rättssäkert sätt eller pröva och utveckla ny teknik för att kunna delta i det internationella samarbetet. Testverksamhet som innefattar behandling av känsliga personupp­gifter innebär risker för integritetsintrång. Utskottet noterar att regeringens förslag innebär att samma krav ska gälla för behandling av känsliga personuppgifter i testverksamhet som uppställs vid behandling i skarp drift.

Några remissinstanser anser att riskerna för enskildas personliga integritet och behovet av att helt slopa förbudet mot behandling av känsliga personuppgifter i testverksamhet bör analyseras närmare. Regeringen gör dock bedömningen att det är nödvändigt att kunna behandla känsliga person­uppgifter i testverksamhet. Regeringen framhåller att möjligheten att behandla känsliga personuppgifter vid testning av befintliga it-system och vid utvecklingen av ny teknik bidrar till att minska det intrång i enskildas personliga integritet som kan uppkomma när ett system är i skarp drift. Det framhålls vidare att om det är möjligt att nå ett rättssäkert och tillförlitligt resultat genom att använda alternativa och mindre integritetskänsliga tillvägagångssätt, t.ex. med fiktiva eller avidentifierade uppgifter, kan kravet på att uppgifterna ska vara absolut nödvändiga normalt inte anses uppfyllt.

Utskottet konstaterar att regeringen bemöter remissinstansernas synpunkter och redogör utförligt för sina överväganden när det gäller förslagets konsekvenser för den personliga integriteten. Regeringen redogör även för den avvägning som har gjorts mellan integritetsskyddsintresset och intresset av att berörda myndigheter ska kunna skapa och utveckla nya tekniska system och kontrollera befintliga it-system som är nödvändiga för att utföra kontroller som myndigheterna är ålagda att utföra. Regeringen framhåller att de krav som dataskyddsförordningen uppställer på bl.a. öppenhet, uppgiftsminimering, riktighet, proportionalitet och säkerhet givetvis måste uppfyllas även vid testverksamhet.

Utifrån de utgångspunkter som konstitutionsutskottet har att beakta har utskottet inget att invända mot att propositionen bifalls och att motion 2020/21:399 av Christina Höj Larsen m.fl. (V) yrkande 1 och 2 avslås.

Stockholm den 22 oktober 2020

På konstitutionsutskottets vägnar

Karin Enström

Följande ledamöter har deltagit i beslutet: Karin Enström (M), Hans Ekström (S), Ida Karkiainen (S), Marta Obminska (M), Matheus Enholm (SD), Per-Arne Håkansson (S), Linda Modig (C), Mia Sydow Mölleby (V), Ida Drougge (M), Fredrik Lindahl (SD), Laila Naraghi (S), Tuve Skånberg (KD), Tina Acketoft (L), Camilla Hansén (MP), Erik Ottoson (M), Erik Ezelius (S) och Per Söderlund (SD).

 

 

 

Avvikande mening

Behandling av känsliga personuppgifter i testverksamhet enligt utlänningsdatalagen (V)

Mia Sydow Mölleby (V) anför:

 

Jag instämmer i regeringens bedömning av behovet av att testa it-system och liknande innan dessa sätts i drift. Däremot menar jag att regeringen inte i tillräcklig utsträckning har tagit hänsyn till de problem och risker som finns med att tillåta en mer omfattande testverksamhet, vilket har påtalats av flera remissinstanser.

Remissinstanserna har efterlyst en närmare analys av riskerna för enskildas personliga integritet och av alternativa mindre integritetskränkande tillväga­gångssätt samt en analys av om det finns ett behov som motiverar att förbudet mot att behandla känsliga personuppgifter i testverksamhet helt slopas. Vidare har remissinstanserna påtalat att det råder oklarhet kring vad som utgör behandling av biometriska uppgifter och att det behövs ytterligare vägledning när det gäller bedömningen av vad som utgör en ”absolut nödvändig” behandling.

Sammantaget menar jag att bristerna i förslaget är alltför stora och att regeringen bör återkomma med ett mer genomarbetat förslag.

Från de utgångspunkter som konstitutionsutskottet har att beakta anser jag mot denna bakgrund att socialförsäkringsutskottet bör föreslå för riksdagen att propositionen avslås och att motion 2020/21:399 (V) bifalls.

[1] Europaparlamentets och rådets förordning (EU) 2016/679 av den 27 april 2016 om skydd för fysiska personer med avseende på behandling av personuppgifter och om det fria flödet av sådana uppgifter och om upphävande av direktiv 95/46/EG (allmän dataskyddsförordning, ofta benämnd GDPR).