Remiss av betänkandet 2014 års utlänningsdatalag (SOU 2015:73)

Transkript

1 Yttrande Diarienr 1 (9) Ert diarienr Ju 2015/05766/L7 Justitiedepartementet Stockholm Remiss av betänkandet 2014 års utlänningsdatalag (SOU 2015:73) Inledning Datainspektionen, som har granskat förslagen i betänkandet huvudsakligen från sin uppgift att verka för att människor skyddas mot att deras personliga integritet kränks genom behandling av personuppgifter, lämnar följande synpunkter. Allmänna synpunkter Datainspektionen välkomnar utredningens förslag att reglera personuppgiftsbehandlingen på utlännings- och medborgarskapsområdet i en särskild lag. Som framgår av utredningens direktiv (dir. 2014:76) talar mycket för att den nu gällande förordningen (2001:720) om behandling av personuppgifter i verksamhet enligt utlännings- och medborgarskapslagstiftningen efter den 31 december 2015 inte är förenlig med 2 kap. 6 andra stycket regeringsformen, varför det finns ett behov av en ny lag. I stora delar av betänkandet har utredningen gjort en tydlig proportionalitetsbedömning mellan de aktuella myndigheternas behov av att behandla personuppgifter i respektive verksamhet och den enskildes rätt till skydd för intrång i den personliga integriteten. Det finns dock delar, se nedan, där en tillräcklig noggrann analys saknas. Datainspektionen anser att det fortsatta lagstiftningsarbetet bör innehålla en djupare analys och redogörelse för de proportionalitetsavvägningar som gjorts. Postadress: Box 8114, Stockholm E-post: datainspektionen@datainspektionen.se Webbplats: Telefon:

2 Datainspektionen Diarienr (9) Synpunkter på utvalda delar av betänkandet Kapitel 7 En ny lag om behandling av personuppgifter i verksamhet enligt utlännings- och medborgarskapslagstiftningen Överföring av personuppgifter till tredje land Genom 19 i förslaget till utlänningsdatalag föreslås omfattande undantag från förbudet i personuppgiftslagen (1998:204) att föra över personuppgifter till tredje land. Datainspektionen konstaterar att det som föreslås är en utvidgning jämfört med nuvarande reglering och att utredningen inte har redovisat vilka eventuella negativa effekter som de utökade möjligheterna till tredjelandsöverföringar kan få för den personliga integriteten. I analysen konstateras enbart att det finns ett allmänt intresse att föra över personuppgifter till tredje land när det krävs för att de svenska myndigheterna ska kunna utföra sina uppgifter på ett effektivt sätt och att de nuvarande undantagen inte är tillräckliga. Av underlaget går det enligt Datainspektionen inte att bedöma om myndigheternas behov av effektivitet i sina verksamheter väger över de negativa konsekvenserna som de aktuella överföringarna kan ge upphov till. Detta är särskilt viktigt när det som i detta fall handlar om behandling av personuppgifter som den registrerade inte kan motsätta sig. Datainspektionen vill också kommentera två saker som utredningen skriver om. För det första anges i utredningen att de sekundära ändamålen i sig kan ge stöd för en överföring av personuppgifter till tredje land. Enligt Datainspektionen kan ett sekundärt ändamål i sig aldrig ge stöd för att överföra personuppgifter till tredje land utan det kräver ett särskilt lagstöd. I avsaknad av lagstöd i den föreslagna utlänningsdatalagen ska personuppgiftslagens regler om överföring tillämpas. För det andra har utredningen framfört genom en exemplifiering att om en person reser till ett tredje land och tar med sig en bärbar dator som innehåller personuppgifter så är detta inte en överföring av personuppgifter till tredje land. Datainspektionen anser att det är en felaktig tolkning (se Personuppgiftslagen en kommentar, Sören Öhman mfl, fjärde upplagan, s. 448 ).

3 Datainspektionen Diarienr (9) Anmälningsskyldigheten och personuppgiftsombud I avsnitt 7.8 nedan kommenterar Datainspektionen utlandsmyndigheternas personuppgiftsansvar och framför att en sådan myndighet bör vara personuppgiftsansvarig för sin behandling. Om så blir fallet bör det enligt inspektionen övervägas om inte utlandsmyndigheterna ska vara skyldiga att anmäla ett personuppgiftsombud. I 36 andra stycket personuppgiftslagen stadgas att ett personuppgiftsombud ska anmälas till Datainspektionen och inspektionen har med stöd av tredje stycket och 16 personuppgiftsförordningen (1998:1191) meddelat särskilda föreskrifter för hur en sådan anmälan ska gå till och vilka uppgifter som ska lämnas (se DIFS 1998:2). Den föreslagna lagen hänvisar till den bestämmelsen i personuppgiftslagen (se 8 i förslaget till utlänningsdatalag). Datainspektionen kan konstatera att det däremot i 10 i förslaget till utlänningsdatalag anges att ett personuppgiftsombud ska anmälas till Datainspektionen. Det framgår inte av bestämmelsen hur detta ska ske eller om Datainspektionens föreskrifter på området ska gälla. Datainspektionen anser att myndighetens föreskrifter bör gälla även för en anmälan enligt den nu föreslagna lagen. 7.8 Personuppgiftsansvar Datainspektionen är tveksam till att Migrationsverket ska vara personuppgiftsansvarig för utlandsmyndigheternas automatiska behandling av personuppgifter enligt den föreslagna lagen. En hel del talar för att utlandsmyndigheterna har en sådan självständig ställning och själva bestämmer över ändamålen och medlen för hur personuppgifter ska behandlas i it-systemen Wilma och W2. Dessutom kommer utlandsmyndigheterna, enligt förslaget, att ha kvar personuppgiftsansvaret för sådan behandling som inte är automatisk, vilket även det pekar på att det är utlandsmyndigheterna som styr behandlingen oavsett om den sker automatiserat eller inte. Det faktum att Migrationsverket är tekniskt ansvarig för dessa system är i sig inget hinder för att utlandsmyndigheterna ska ha ett personuppgiftsansvar. Tvärtom finns det exempel där en myndighet står för driften och tekniken bakom ett it-system och en annan myndighet är personuppgiftsansvarig för de personuppgifter som behandlas i system. Ett exempel är dåvarande Rikspolisstyrelsen som utvecklade och tog fram flera av de stora centrala polisiära it-systemen och där de tidigare regionala polismyndigheterna under lång tid var personuppgiftsansvariga för respektive myndighets behandling. Det avgörande vid placeringen av

4 Datainspektionen Diarienr (9) personuppgiftsansvaret är vem som faktisk har kontroll över behandlingen, vilket i detta fall sannolikt är utlandsmyndigheterna. 7.9 Ändamål I likhet med vad Datainspektionen anfört i remissbehandlingarna avseende förslagen till polisdatalag, kustbevakningsdatalag och lag om behandling av personuppgifter i Skatteverkets brottsbekämpande verksamhet kan det ifrågasättas om betänkandets förslag till ändamålsbestämmelser uppfyller kraven enligt grundläggande dataskyddsprinciper som anger att personuppgifterna endast få samlas in för specifika och legitima ändamål och att de inte får användas på ett sätt som är oförenligt med dessa ändamål (se dnr och ). Det är positivt att det klargörs att testverksamhet ska vara ett ändamål. Det är också positivt att planering, uppföljning och utvärdering anges uttryckligen i lagen som primära ändamål. Datainspektionen har i remissbehandlingen av förslaget till en ny domstolsdatalag framfört att detta uttryckligen bör framgå för att öka tydligheten (se Datainspektionens yttrande den 31 maj 2013, dnr ). Datainspektionen avstyrker utredningens förslag till att ta bort begränsningen i 8 i nuvarande förordning som anger att det inte är tillåtet att behandla direkt utpekade personuppgifter i ett rättsfallsregister. Att ta bort begränsningen riskerar en ordning där det är mer tillåtande i utlänningsdatalagen jämfört med nuvarande förordning att behandla direkt utpekande personuppgifter i rättsfallssamlingar. Dessutom innebär den föreslagna förändringen att myndigheterna själva ska bedöma behovet av att ha kvar direkt utpekande personuppgifter, vilket i sig innebär en osäkerhet hur detta kommer att utveckla sig och tillämpas av Migrationsverket. Det bör också beaktas vad som anges i rättsinformationsförordningen (1999:175) om hur och när direkta personuppgifter ska tas bort. Även om rättsinformationsförordningen inte är direkt tillämplig på de nu aktuella rättsfallssamlingarna ger den uttryck för en väl avvägd balans mellan integritetsintresset och intresset av att tillhandahålla rättsinformation Särskilt om önskade jämförelser av fotografier Datainspektionen avstyrker utredningens förslag att införa en möjlighet för Migrationsverket att jämföra fotografier med hjälp av en särskild programvara.

5 Datainspektionen Diarienr (9) Möjligheten att kunna jämföra fotografier med hjälp av en särskild programvara är något helt nytt och ger upphov till särskilda integritetsrisker. Som exempel kan nämnas risken för felaktigheter dvs. att två fotografier som föreställer två olika personer kopplas ihop med varandra. Vilka konsekvenser kan en sådan felkoppling få för de enskilda personerna? På det underlag som presenteras i betänkandet är det svårt att överblicka konsekvenserna för den personliga integriteten och Datainspektionen anser att frågan bör utredas vidare. Det är inte heller klart vilket behov av jämförelser av fotografier som ska vägas mot integritetsriskerna. Enligt utredningen har Migrationsverket i framställan till justitiedepartementet framfört att användningsområdet för fotojämförelser är att utföra skyldigheten att diarieföra en inkommen handling på ett bättre sätt än vad verket gör idag och att identifieringsarbetet skulle bli effektivare. Datainspektionen ifrågasätter om det finns ett behov av jämförelser av fotografier för att kunna effektivisera arbetet med diarieföringen av allmänna handlingar och har svårt att förstå de argument för detta som framförs i betänkandet. Däremot står det klart att en jämförelse av fotografier kan underlätta arbetet med att identifiera personer som är aktuella hos Migrationsverket. Det är enligt Datainspektionen det senare behovet som ska vägas mot integritetsriskerna och som redan framförts måste dessa risker utredas vidare Personuppgifter som får behandlas För att åstadkomma ett väl avvägt integritetsskydd och förutsägbarhet behövs en närmare precisering av tillåtna kategorier av personuppgifter. Utredningen föreslår att den tidigare uppräkningen av kategorier av personuppgifter som får behandlas tas bort och att det istället anges att endast de personuppgifter som är nödvändiga för ändamålen får behandlas. Förslaget innebär ett försämrat integritetsskydd där möjligheterna att behandla personuppgifter sannolikt ökar. Därtill föreslår utredningen, som framgår under punkten 7.9, att ändamålen ska utvidgas. Det innebär bland annat att känsliga personuppgifter kommer att kunna behandlas för ändamålen tillsyn, kontroll, uppföljning, planering av verksamheten, framställning av statistik eller testverksamhet. Enligt Datainspektionen är den analys av integritetsriskerna som utredningen presenterar i denna del bristfällig. Det är inte tillräckligt att konstatera att behandlingen av känsliga personuppgifter kan medföra integritetsrisker utan att närmare analysera vilka dessa är. Dessutom anser Datainspektionen att argumentet att Migrationsverkets rutiner för dataskydd och säkerhet är tillräcklig garanti för behandlingen av känsliga

6 Datainspektionen Diarienr (9) personuppgifter inte i sig är tillräckligt för att få behandla känsliga personuppgifter för de ovannämnda ändamålen. Här saknar Datainspektionen också en utredning av Migrationsverkets behov av att behandla känsliga personuppgifter för testverksamhet Sökbegränsningar Datainspektionen delar utredningens bedömning att personuppgifter som direkt pekar ut den registrerade fortsättningsvis inte ska få användas som sökbegrepp för återsökning av information rörande förhållande i andra länder. Datainspektionen delar också utredningens bedömning att andra uppgifter enligt 21 personuppgiftslagen än uppgifter om förvar inte ska få användas som sökbegrepp. Som utredningen konstaterat ger användningen av känsliga personuppgifter som sökbegrepp upphov till särskilda integritetsrisker. Datainspektionen ifrågasätter inte att Migrationsverket kan ha ett behov av att kunna söka på känsliga personuppgifter och att det kan vara ett verktyg för tillsyn, kontroll, uppföljning, planering av verksamhet, framställning av statistik och testverksamhet. Datainspektionen saknar dock en analys av vilka integritetsrisker som ska vägas mot detta behov. Utan en sådan analys går det inte att avgöra om Migrationsverkets intresse väger över det integritetsintrång som en sådan sökmöjlighet skulle innebära. Det bör i det sammanhanget också nämnas att det tillhör undantaget att sökning får utföras med hjälp av känsliga personuppgifter. Till exempel får den öppna polisen inte söka med hjälp av känsliga personuppgifter. Enligt Datainspektionen måste det föreligga mycket starka behov för att en möjlighet till sökning med sådana uppgifter ska vara befogad. Datainspektionen vill i sammanhanget också uppmärksamma att ändamålsbegränsningar inte utgör sådana rättsliga begränsningar som avses i 2 kap. 3 andra stycket tryckfrihetsförordningen (se prop. 2007/08:160 s. 66 f). Det innebär att det är möjligt för enskild med stöd av offentlighetsprincipen att begära integritetskänsliga sammanställningar utifrån känsliga personuppgifter som myndigheten inte självt får utföra. Slutligen bör det även vägas in att en möjlighet att söka på känsliga personuppgifter kan riskera att fler känsliga personuppgifter behandlas än vad som annars skulle vara fallet.

7 Datainspektionen Diarienr (9) Datainspektionen anser sammanfattningsvis att frågan om användningen av känsliga personuppgifter vid sökningar måste utredas vidare och avstyrker utredningens förslag Direktåtkomst Inledningsvis delar Datainspektionen utredningens bedömning att det inte, mot bakgrund av nuvarande utredning, går att tillstyrka att en registrerad ska ha teknisk möjlighet att via en visningstjänst, som innebär direktåtkomst, få åtkomst till Migrationsverkets uppgifter om sig själv. I stora delar överensstämmer den direktåtkomst som anges i förslaget till utlänningsdatalag och tillhörande förordning med den ordning som gäller idag. För Försäkringskassan, Pensionsmyndigheten och Skatteverket anges på samma sätt som idag vilka uppgifter som dessa myndigheter ska ha tillgång till via direktåtkomst. För Polismyndigheten och Säkerhetspolisen finns det en begränsning till att direktåtkomsten endast får omfatta uppgifter som Migrationsverket har i sitt verksamhetsregister. Eftersom förslaget till utlänningsdatalag frångår principen att uttryckligen ange vilka kategorier av personuppgifter som får behandlas i Migrationsverkets verksamhetsregister till att istället utgå ifrån ändamålen, ökar sannolikt möjligheterna för Migrationsverket att behandla andra kategorier av personuppgifter än vad som är fallet idag. Datainspektionen saknar här en analys av följderna vad detta innebär för Polismyndighetens och Säkerhetspolisens direktåtkomst och vilket eventuellt behov som dessa myndigheter har av en direktåtkomst till fler uppgifter än idag. Detta behov måste därefter vägas mot det intrång i den personliga integriteten som den ökade direktåtkomsten innebär. I det fortsatta lagstiftningsarbetet bör det ingå en motsvarande analys av behovet av direktåtkomst för de myndigheter som anges i 7 kapitlet liknande den analys som utredningen redovisat i kapitel 9 och som avser Migrationsverkets behov av direktåtkomst till uppgiftskategorier hos vissa närmare angivna myndigheter Bevarande och gallring m.m. Genom den valda, eller snarare avsaknaden av, regleringen av gallring och avskiljande i den föreslagna lagen kommer personuppgifter som behandlas med stöd av utlänningsdatalagen till stor del att sparas med stöd av arkivlagens bestämmelser. Det innebär att personuppgifter kan komma att sparas under mycket lång tid. I viss mån minskas integritetsintrånget genom bestämmelsen om avskiljande i 20 i förslaget till utlänningsdatalag. Det

8 Datainspektionen Diarienr (9) finns dock en osäkerhet kring hur detta avskiljande i praktiken kommer att se ut eftersom mycket överlämnas till myndigheterna att bestämma. Vid en jämförelse med polisdatalagens bestämmelser om avskiljande kan det konstateras att där finns, till skillnad från det nu aktuella förslaget till utlänningsdatalag, vissa regler som beskriver när avskiljande ska ske. Datainspektionen anser, till skillnad från utredningen, att bestämmelserna om gallring och avskiljande bör placeras i lag och att frågan om avskiljande inte ska överlämnas till myndigheten att avgöra. Datainspektionen anser också att det i lag bör anges en bortre gräns för hur länge känsliga personuppgifter som använts för ändamålen tillsyn, kontroll, uppföljning, planering av verksamheten, framställning av statistik eller testverksamhet får sparas. Datainspektionen anser att det är positivt att det föreslås en särskild gallringsbestämmelse i 3 i förslaget till utlänningsdataförordning avseende Migrationsverkets fingeravtrycks- och fotografiregister. Som framförts ovan bör denna bestämmelse dock placeras i förslaget till utlänningsdatalag och inte i förslaget till utlänningsdataförordning. Kapitel 8 - Registrering av kvalitetsomdömen Utredningens analys vad avser integritetsriskerna för enskilda som kan komma att föras upp på en lista för avvikelseregistreringar är bristfällig. Vilka risker finns för vidarespridning av en sådan lista? Eftersom det inte föreslås några sekretessregler finns det enligt Datainspektionen en klar risk att listan kan komma att spridas långt utanför Migrationsverket och till exempel publiceras på Internet. Vilka konsekvenser, ekonomiskt och socialt, kan detta få för de registrerade? Datainspektionen anser vidare att Migrationsverkets behov, där rättssäkerheten för de personer som är beroende av att ombud m.m. sköter sitt uppdrag är i centrum, kan tillgodoses med en lista som istället utgår ifrån personer som kan anses som lämpliga som ombud, liknande den som de allmänna domstolarna har. Såsom utredningen konstaterat är en sådan lista mindre integritetskänslig än den som Migrationsverket vill använda. För att inrätta så kallade svarta listor med negativa verkningar för enskilda krävs starka skäl som väger över intrånget i den personliga integriteten för de registrerade. En svart lista innebär att den personuppgiftsansvarige samlar in

9 Datainspektionen Diarienr (9) och sprider specifika uppgifter och som sammanställts enligt för ändamålet specifika kriterier. I allmänhet får en svart lista negativa följder för de enskilda personerna genom att avstänga dem från en viss tjänst eller skada deras anseende. Det finns enligt Datainspektionen en uppenbar risk att de ombud m.m. som registreras av Migrationsverket på en avvikelselista i praktiken kommer att diskvalificeras för uppdrag under den tiden han/hon finns med på listan. Kapitel 9 - Ett effektivare informationsutbyte vid handläggning av uppehållstillstånd för arbete och arbetstillstånd Datainspektionen konstaterar att utredningen på ett bra sätt redogjort för de behov som Migrationsverket har av uppgifter från Skatteverket, Kronofogdemyndigheten samt Försäkringskassan. Utredningen har genom analysen beaktat vad Datainspektionen framfört i remissvar den 18 november 2013 (dnr ) över departementspromemorian Åtgärder mot missbruk av reglerna för arbetskraftsinvandring, Ds 2013:57. Datainspektionen tillstyrker att de ovannämnda myndigheterna medges den direktåtkomst som utredningen föreslår. Kapitel 10 - Migrationsverkets rätt att ta del av uppgifter från Polismyndighetens fingeravtrycksregister Datainspektionen delar utredningens bedömning att det krävs uttryckligt lagstöd för att Migrationsverket ska ha rätt att ta del av uppgifter från Polismyndighetens fingeravtrycksregister. Utredningen visar också att det finns ett behov för Migrationsverket att ta del av uppgifterna. Datainspektionen efterlyser dock en djupare analys av de integritetsrisker som en sådan åtkomst kan medföra. Detta yttrande har beslutats av generaldirektören Kristina Svahn Starrsjö efter föredragning av juristen Jonas Agnvall. Vid den slutliga handläggningen har även chefsjuristen Hans-Olof Lindblom och enhetschefen Nicklas Hjertonsson deltagit. Kristina Svahn Starrsjö Jonas Agnvall