Remiss av betänkandet 2014 års utlänningsdatalag (SOU 2015:73)



Relevanta dokument
SOU 2014:67 Inbyggd integritet inom Inspektionen för socialförsäkringen

Svensk författningssamling

Medverkan av tjänsteleverantörer i ärenden om uppehålls- och arbetstillstånd (SOU 2016:36)

Betänkandet Uppgiftslämnarservice för företagen (SOU 2015:33)

En omarbetad utlänningsdatalag Anpassning till EU:s dataskyddsförordning (Ds )

Remiss av betänkande digitalforvaltning.nu (SOU 2017:23)

RemitteringsPM - förordningsändringar i anledning av en ny vägtrafikdatalag och en ny lag om fordons registrering och brukande

Yttrande Diarienr Ert diarienr N2014/1095/TE. Näringsdepartementet Transportenheten STOCKHOLM

Datainspektionen lämnar följande synpunkter.

Stockholm den 8 augusti 2014

Brottsdatalag kompletterande lagstiftning (SOU 2017:74)

Remiss av förslag till EU-direktiv om skydd för personer som rapporterar om överträdelser av unionsrätten

Transporter av frihetsberövade (SOU 2011:7) och Transporter av frihetsberövade en konsekvensanalys (Statskontoret, rapport 2011:28)

Snabbare lagföring (Ds 2018:9)

Remiss av departementspromemorian En anpassning till dataskyddsförordningen inom Miljö- och energidepartementets verksamhetsområde (Ds 2017:54)

Remiss av promemorian Ds 2014:30 Informationsutbyte vid samverkan mot grov organiserad brottslighet

Förslag till föreskrifter och allmänna råd om behandling av personuppgifter och journalföring i hälso- och sjukvården

En anpassning till dataskyddsförordningen av dataskyddsbestämmelser inom Näringsdepartementets verksamhetsområde

Departementspromemorian Domstolsdatalag (Ds 2013:10)

Promemorian Uppgifter på individnivå i en arbetsgivardeklaration

Datalagring och integritet (SOU 2015:31)

Remiss av betänkandet Personuppgiftsbehandling för forskningsändamål (SOU 2017:50)

Remiss: Transportstyrelsens framställan om ändringar i lagen (2001:558) och förordningen (2001:650) om vägtrafikregister.

Remiss av slutbetänkandet Digitaliseringens transformerande kraft - vägval för framtiden (SOU 2015:91)

Taxi och samåkning i dag, i morgon och i övermorgon (SOU 2016:86)

Yttrande i Förvaltningsrätten i Stockholms mål

Synpunkter med anledning av regeringens uppdrag till Myndigheten för samhällskydd och beredskap om nödlarmsystemet ecall i Sverige

Tillsyn enligt personuppgiftslagen (1998:204) inspelning av telefonsamtal i kundtjänst

Ökad insyn i fristående skolor (SOU 2015:82) Sammanfattning. Utbildningsdepartementet Stockholm

Remiss av SOU 2015:66 En förvaltning som håller ihop

Förordning (2001:720) om behandling av personuppgifter i verksamhet enligt utlänningsoch medborgarskapslagstiftningen

Beslag och husrannsakan ett regelverk för dagens behov (SOU 2017:100)

Tillsyn enligt personuppgiftslagen (1998:204) Polismyndighetens behandling av personuppgifter i belastningsregistret och misstankeregistret

Genomförande av Inspire-direktivet i svensk lagstiftning; förslag till ny miljöinformationslag och förordning m.m.

Hur står det till med den personliga integriteten? (SOU 2016:41)

Polisens tillgång till signalspaning i försvarsunderrättelseverksamhet (Ds 2011:44)

Betänkandet låt fler forma framtiden! (SOU 2016:5)

Promemorian Författningsändringar på finansmarknadsområdet med anledning av EU:s dataskyddsförordning

Betänkandet EU:s direktiv om sanktioner mot arbetsgivare (SOU 2010:63)

Samrådsyttrande om fördelning av personuppgiftsansvar E-delegationsprojektet Effektiv informationsförsörjning

Tillsyn av behandlingen av personuppgifter i allmänhetens terminal m.m.

Beslut efter tillsyn enligt personuppgiftslagen (1998:204) PuL

Handlägges.Q"(4.e...

Utkast till lagrådsremissen Vägtrafikdatalag

Hemlig dataavläsning ett viktigt verktyg i kampen mot allvarlig brottslighet (SOU 2017:89)

Svensk författningssamling

Tillsyn enligt personuppgiftslagen (1998:204) Seamless Payment AB

Remissyttrande över departementspromemorian Behandling av personuppgifter i polisens brottsbekämpande verksamhet (Ds 2007:43)

Betänkandet Skyddet för den personliga integriteten Bedömningar och förslag (SOU 2008:3)

Behandling av personuppgifter vid Försvarsmakten och Försvarets radioanstalt (SOU 2018:63)

Yttrande över promemorian Införande av vissa internationella standarder i penningtvättslagen

SOU 2015:84 Organdonation En livsviktig verksamhet

Beslut efter tillsyn enligt personuppgiftslagen (1998:204) behandling av personnummer

Tillsyn enligt personuppgiftslagen (1998:204) samkörning av personuppgifter för gemensam verksamhetsuppföljning

Kompletterande promemoria: Kameraövervakning vid åteljakt efter vildsvin

Svensk författningssamling

Tillsyn mot Wihlborgs Fastigheter AB avseende användning av positioneringssystemet ABAX

Remiss avseende förslag till Socialstyrelsens föreskrifter och allmänna råd om ordination och hantering av läkemedel i hälso- och sjukvården m.m.

Tillsyn enligt personuppgiftslagen (1998:204) Hyresbostäder i Norrköping AB

Svensk författningssamling

Personuppgiftsansvar för behandling av personuppgifter i det centrala kriminalunderrättelseregistret, KUR

Beslut efter tillsyn enligt personuppgiftslagen (1998:204) PuL

Promemorian Vissa frågor om vapenlagen (Ds 2010:6)

Förordning (2001:720) om behandling av personuppgifter i verks... medborgarskapslagstiftningen [Fakta & Historik]

Klagande Datainspektionen, Box 8114, Stockholm. Motpart MarknadsTing i Gånarp AB, Munka Ljungby

Yttrande över betänkandet Ny dataskyddslag Kompletterande bestämmelser till EU:s dataskyddsförordning

Överklagande. Prövningstillstånd. Kammarrätten i Jönköping Box Jönköping. Klagande Datainspektionen, Box 8114, Stockholm

Tillsyn enligt personuppgiftslagen (1998:204) registrering av kunduppgifter samt klagomåls- och reklamationshantering

Stockholm den 28 april 2015

Tillsyn enligt kameraövervakningslagen (2013:460) Försäkringskassans användning av webbkameror

Vägtrafikregisterutredningens betänkande (SOU 2010:76) Transportstyrelsens databaser på vägtrafikområdet integritet och effektivitet

Remissen Läkemedelsverkets förslag till föreskrifter för Nationella medicinska informationssystem

Ansökan om undantag från förbudet i 21 personuppgiftslagen (1998:204)

Betänkandet Allmänna handlingar i elektronisk form offentlighet och integritet (SOU 2010:4)

Tillsyn enligt polisdatalagen (2010:361) och personuppgiftslagen (1998:204) av Polismyndighetens personuppgiftsbehandling i fingeravtrycksregistret

Stockholm den 25 november 2015 R-2015/2121. Till Justitiedepartementet. Ju2015/08545/L4

Tillsyn enligt personuppgiftslagen (1998:204) Arbetslöshetskassornas samorganisation (SO)

Remittering av betänkandet SOU 2017:66 Dataskydd inom Socialdepartementets verksamhetsområde en anpassning till EU:s dataskyddsförordning

Tillsyn enligt personuppgiftslagen (1998:204) socialtjänstens behandling av personuppgifter om etniskt ursprung

Ds 2016:44 Nationell läkemedelslista

LAGEN.NU. Lag (2003:763) om behandling av personuppgifter inom socialförsäkrin... administration. Nyheter Lagar Domar Begrepp

Regionala etikprövningsnämnden i Uppsala

Beslut efter tillsyn enligt personuppgiftslagen (1998:204) registrering av icke kyrkotillhöriga barn

Tillsyn avseende undersökningen Hälsa Stockholm

Tillsyn enligt personuppgiftslagen (1998:204) användning av s.k. elektroniska nycklar hos ett bostadsbolag

Lag (2001:185) om behandling av uppgifter i Tullverkets verksamhet

Beslut om förteckning enligt artikel 35.4 i EU:s allmänna dataskyddsförordning 2016/679

Personuppgiftsbehandling i forskningsbibliotekens verksamhet

Kommittédirektiv. Behandlingen av personuppgifter i verksamhet enligt utlänningsoch. medborgarskapslagstiftningen, Dir. 2014:76

Tillsyn av behandlingen av personuppgifter i allmänhetens terminal m.m.

Ansökan om undantag från förbudet i 21 personuppgiftslagen

Myndighetsdatalag (SOU 2015:39)

Juridik som stöd för förvaltningens digitalisering (SOU 2018:25)

Beslut efter tillsyn enligt personuppgiftslagen (1998:204)

Beslut efter tillsyn enligt personuppgiftslagen (1998:204) PuL

Kommittédirektiv. Möjligheterna till kameraövervakning ska förenklas. Dir. 2017:124. Beslut vid regeringssammanträde den 13 december 2017

Undantag från förbudet i 21 personuppgiftslagen (1998:204)

Tillsyn enligt personuppgiftslagen (1998:204) socialtjänstens behandling av personuppgifter om etniskt ursprung

Förändrad handläggning av medborgarfö r- slag

Tillsyn enligt personuppgiftslagen (1998:204) av Göteborgs universitet (Svensk nationell datatjänst)

Transkript:

Yttrande Diarienr 1 (9) 2015-10-01 1391-2015 Ert diarienr Ju 2015/05766/L7 Justitiedepartementet 103 33 Stockholm Remiss av betänkandet 2014 års utlänningsdatalag (SOU 2015:73) Inledning Datainspektionen, som har granskat förslagen i betänkandet huvudsakligen från sin uppgift att verka för att människor skyddas mot att deras personliga integritet kränks genom behandling av personuppgifter, lämnar följande synpunkter. Allmänna synpunkter Datainspektionen välkomnar utredningens förslag att reglera personuppgiftsbehandlingen på utlännings- och medborgarskapsområdet i en särskild lag. Som framgår av utredningens direktiv (dir. 2014:76) talar mycket för att den nu gällande förordningen (2001:720) om behandling av personuppgifter i verksamhet enligt utlännings- och medborgarskapslagstiftningen efter den 31 december 2015 inte är förenlig med 2 kap. 6 andra stycket regeringsformen, varför det finns ett behov av en ny lag. I stora delar av betänkandet har utredningen gjort en tydlig proportionalitetsbedömning mellan de aktuella myndigheternas behov av att behandla personuppgifter i respektive verksamhet och den enskildes rätt till skydd för intrång i den personliga integriteten. Det finns dock delar, se nedan, där en tillräcklig noggrann analys saknas. Datainspektionen anser att det fortsatta lagstiftningsarbetet bör innehålla en djupare analys och redogörelse för de proportionalitetsavvägningar som gjorts. Postadress: Box 8114, 104 20 Stockholm E-post: datainspektionen@datainspektionen.se Webbplats: www.datainspektionen.se Telefon: 08-657 61 00

Datainspektionen 2015-10-01 Diarienr 1391-2015 2 (9) Synpunkter på utvalda delar av betänkandet Kapitel 7 En ny lag om behandling av personuppgifter i verksamhet enligt utlännings- och medborgarskapslagstiftningen 7.7.8 Överföring av personuppgifter till tredje land Genom 19 i förslaget till utlänningsdatalag föreslås omfattande undantag från förbudet i personuppgiftslagen (1998:204) att föra över personuppgifter till tredje land. Datainspektionen konstaterar att det som föreslås är en utvidgning jämfört med nuvarande reglering och att utredningen inte har redovisat vilka eventuella negativa effekter som de utökade möjligheterna till tredjelandsöverföringar kan få för den personliga integriteten. I analysen konstateras enbart att det finns ett allmänt intresse att föra över personuppgifter till tredje land när det krävs för att de svenska myndigheterna ska kunna utföra sina uppgifter på ett effektivt sätt och att de nuvarande undantagen inte är tillräckliga. Av underlaget går det enligt Datainspektionen inte att bedöma om myndigheternas behov av effektivitet i sina verksamheter väger över de negativa konsekvenserna som de aktuella överföringarna kan ge upphov till. Detta är särskilt viktigt när det som i detta fall handlar om behandling av personuppgifter som den registrerade inte kan motsätta sig. Datainspektionen vill också kommentera två saker som utredningen skriver om. För det första anges i utredningen att de sekundära ändamålen i sig kan ge stöd för en överföring av personuppgifter till tredje land. Enligt Datainspektionen kan ett sekundärt ändamål i sig aldrig ge stöd för att överföra personuppgifter till tredje land utan det kräver ett särskilt lagstöd. I avsaknad av lagstöd i den föreslagna utlänningsdatalagen ska personuppgiftslagens regler om överföring tillämpas. För det andra har utredningen framfört genom en exemplifiering att om en person reser till ett tredje land och tar med sig en bärbar dator som innehåller personuppgifter så är detta inte en överföring av personuppgifter till tredje land. Datainspektionen anser att det är en felaktig tolkning (se Personuppgiftslagen en kommentar, Sören Öhman mfl, fjärde upplagan, s. 448 ).

Datainspektionen 2015-10-01 Diarienr 1391-2015 3 (9) 7.7.9 Anmälningsskyldigheten och personuppgiftsombud I avsnitt 7.8 nedan kommenterar Datainspektionen utlandsmyndigheternas personuppgiftsansvar och framför att en sådan myndighet bör vara personuppgiftsansvarig för sin behandling. Om så blir fallet bör det enligt inspektionen övervägas om inte utlandsmyndigheterna ska vara skyldiga att anmäla ett personuppgiftsombud. I 36 andra stycket personuppgiftslagen stadgas att ett personuppgiftsombud ska anmälas till Datainspektionen och inspektionen har med stöd av tredje stycket och 16 personuppgiftsförordningen (1998:1191) meddelat särskilda föreskrifter för hur en sådan anmälan ska gå till och vilka uppgifter som ska lämnas (se DIFS 1998:2). Den föreslagna lagen hänvisar till den bestämmelsen i personuppgiftslagen (se 8 i förslaget till utlänningsdatalag). Datainspektionen kan konstatera att det däremot i 10 i förslaget till utlänningsdatalag anges att ett personuppgiftsombud ska anmälas till Datainspektionen. Det framgår inte av bestämmelsen hur detta ska ske eller om Datainspektionens föreskrifter på området ska gälla. Datainspektionen anser att myndighetens föreskrifter bör gälla även för en anmälan enligt den nu föreslagna lagen. 7.8 Personuppgiftsansvar Datainspektionen är tveksam till att Migrationsverket ska vara personuppgiftsansvarig för utlandsmyndigheternas automatiska behandling av personuppgifter enligt den föreslagna lagen. En hel del talar för att utlandsmyndigheterna har en sådan självständig ställning och själva bestämmer över ändamålen och medlen för hur personuppgifter ska behandlas i it-systemen Wilma och W2. Dessutom kommer utlandsmyndigheterna, enligt förslaget, att ha kvar personuppgiftsansvaret för sådan behandling som inte är automatisk, vilket även det pekar på att det är utlandsmyndigheterna som styr behandlingen oavsett om den sker automatiserat eller inte. Det faktum att Migrationsverket är tekniskt ansvarig för dessa system är i sig inget hinder för att utlandsmyndigheterna ska ha ett personuppgiftsansvar. Tvärtom finns det exempel där en myndighet står för driften och tekniken bakom ett it-system och en annan myndighet är personuppgiftsansvarig för de personuppgifter som behandlas i system. Ett exempel är dåvarande Rikspolisstyrelsen som utvecklade och tog fram flera av de stora centrala polisiära it-systemen och där de tidigare regionala polismyndigheterna under lång tid var personuppgiftsansvariga för respektive myndighets behandling. Det avgörande vid placeringen av

Datainspektionen 2015-10-01 Diarienr 1391-2015 4 (9) personuppgiftsansvaret är vem som faktisk har kontroll över behandlingen, vilket i detta fall sannolikt är utlandsmyndigheterna. 7.9 Ändamål I likhet med vad Datainspektionen anfört i remissbehandlingarna avseende förslagen till polisdatalag, kustbevakningsdatalag och lag om behandling av personuppgifter i Skatteverkets brottsbekämpande verksamhet kan det ifrågasättas om betänkandets förslag till ändamålsbestämmelser uppfyller kraven enligt grundläggande dataskyddsprinciper som anger att personuppgifterna endast få samlas in för specifika och legitima ändamål och att de inte får användas på ett sätt som är oförenligt med dessa ändamål (se dnr 1548-2007. 679-2011 och 1720-2013). Det är positivt att det klargörs att testverksamhet ska vara ett ändamål. Det är också positivt att planering, uppföljning och utvärdering anges uttryckligen i lagen som primära ändamål. Datainspektionen har i remissbehandlingen av förslaget till en ny domstolsdatalag framfört att detta uttryckligen bör framgå för att öka tydligheten (se Datainspektionens yttrande den 31 maj 2013, dnr 361-2013). Datainspektionen avstyrker utredningens förslag till att ta bort begränsningen i 8 i nuvarande förordning som anger att det inte är tillåtet att behandla direkt utpekade personuppgifter i ett rättsfallsregister. Att ta bort begränsningen riskerar en ordning där det är mer tillåtande i utlänningsdatalagen jämfört med nuvarande förordning att behandla direkt utpekande personuppgifter i rättsfallssamlingar. Dessutom innebär den föreslagna förändringen att myndigheterna själva ska bedöma behovet av att ha kvar direkt utpekande personuppgifter, vilket i sig innebär en osäkerhet hur detta kommer att utveckla sig och tillämpas av Migrationsverket. Det bör också beaktas vad som anges i rättsinformationsförordningen (1999:175) om hur och när direkta personuppgifter ska tas bort. Även om rättsinformationsförordningen inte är direkt tillämplig på de nu aktuella rättsfallssamlingarna ger den uttryck för en väl avvägd balans mellan integritetsintresset och intresset av att tillhandahålla rättsinformation. 7.10.2 Särskilt om önskade jämförelser av fotografier Datainspektionen avstyrker utredningens förslag att införa en möjlighet för Migrationsverket att jämföra fotografier med hjälp av en särskild programvara.

Datainspektionen 2015-10-01 Diarienr 1391-2015 5 (9) Möjligheten att kunna jämföra fotografier med hjälp av en särskild programvara är något helt nytt och ger upphov till särskilda integritetsrisker. Som exempel kan nämnas risken för felaktigheter dvs. att två fotografier som föreställer två olika personer kopplas ihop med varandra. Vilka konsekvenser kan en sådan felkoppling få för de enskilda personerna? På det underlag som presenteras i betänkandet är det svårt att överblicka konsekvenserna för den personliga integriteten och Datainspektionen anser att frågan bör utredas vidare. Det är inte heller klart vilket behov av jämförelser av fotografier som ska vägas mot integritetsriskerna. Enligt utredningen har Migrationsverket i framställan till justitiedepartementet framfört att användningsområdet för fotojämförelser är att utföra skyldigheten att diarieföra en inkommen handling på ett bättre sätt än vad verket gör idag och att identifieringsarbetet skulle bli effektivare. Datainspektionen ifrågasätter om det finns ett behov av jämförelser av fotografier för att kunna effektivisera arbetet med diarieföringen av allmänna handlingar och har svårt att förstå de argument för detta som framförs i betänkandet. Däremot står det klart att en jämförelse av fotografier kan underlätta arbetet med att identifiera personer som är aktuella hos Migrationsverket. Det är enligt Datainspektionen det senare behovet som ska vägas mot integritetsriskerna och som redan framförts måste dessa risker utredas vidare. 7.11 Personuppgifter som får behandlas För att åstadkomma ett väl avvägt integritetsskydd och förutsägbarhet behövs en närmare precisering av tillåtna kategorier av personuppgifter. Utredningen föreslår att den tidigare uppräkningen av kategorier av personuppgifter som får behandlas tas bort och att det istället anges att endast de personuppgifter som är nödvändiga för ändamålen får behandlas. Förslaget innebär ett försämrat integritetsskydd där möjligheterna att behandla personuppgifter sannolikt ökar. Därtill föreslår utredningen, som framgår under punkten 7.9, att ändamålen ska utvidgas. Det innebär bland annat att känsliga personuppgifter kommer att kunna behandlas för ändamålen tillsyn, kontroll, uppföljning, planering av verksamheten, framställning av statistik eller testverksamhet. Enligt Datainspektionen är den analys av integritetsriskerna som utredningen presenterar i denna del bristfällig. Det är inte tillräckligt att konstatera att behandlingen av känsliga personuppgifter kan medföra integritetsrisker utan att närmare analysera vilka dessa är. Dessutom anser Datainspektionen att argumentet att Migrationsverkets rutiner för dataskydd och säkerhet är tillräcklig garanti för behandlingen av känsliga

Datainspektionen 2015-10-01 Diarienr 1391-2015 6 (9) personuppgifter inte i sig är tillräckligt för att få behandla känsliga personuppgifter för de ovannämnda ändamålen. Här saknar Datainspektionen också en utredning av Migrationsverkets behov av att behandla känsliga personuppgifter för testverksamhet. 7.13 Sökbegränsningar Datainspektionen delar utredningens bedömning att personuppgifter som direkt pekar ut den registrerade fortsättningsvis inte ska få användas som sökbegrepp för återsökning av information rörande förhållande i andra länder. Datainspektionen delar också utredningens bedömning att andra uppgifter enligt 21 personuppgiftslagen än uppgifter om förvar inte ska få användas som sökbegrepp. Som utredningen konstaterat ger användningen av känsliga personuppgifter som sökbegrepp upphov till särskilda integritetsrisker. Datainspektionen ifrågasätter inte att Migrationsverket kan ha ett behov av att kunna söka på känsliga personuppgifter och att det kan vara ett verktyg för tillsyn, kontroll, uppföljning, planering av verksamhet, framställning av statistik och testverksamhet. Datainspektionen saknar dock en analys av vilka integritetsrisker som ska vägas mot detta behov. Utan en sådan analys går det inte att avgöra om Migrationsverkets intresse väger över det integritetsintrång som en sådan sökmöjlighet skulle innebära. Det bör i det sammanhanget också nämnas att det tillhör undantaget att sökning får utföras med hjälp av känsliga personuppgifter. Till exempel får den öppna polisen inte söka med hjälp av känsliga personuppgifter. Enligt Datainspektionen måste det föreligga mycket starka behov för att en möjlighet till sökning med sådana uppgifter ska vara befogad. Datainspektionen vill i sammanhanget också uppmärksamma att ändamålsbegränsningar inte utgör sådana rättsliga begränsningar som avses i 2 kap. 3 andra stycket tryckfrihetsförordningen (se prop. 2007/08:160 s. 66 f). Det innebär att det är möjligt för enskild med stöd av offentlighetsprincipen att begära integritetskänsliga sammanställningar utifrån känsliga personuppgifter som myndigheten inte självt får utföra. Slutligen bör det även vägas in att en möjlighet att söka på känsliga personuppgifter kan riskera att fler känsliga personuppgifter behandlas än vad som annars skulle vara fallet.

Datainspektionen 2015-10-01 Diarienr 1391-2015 7 (9) Datainspektionen anser sammanfattningsvis att frågan om användningen av känsliga personuppgifter vid sökningar måste utredas vidare och avstyrker utredningens förslag. 7.15 Direktåtkomst Inledningsvis delar Datainspektionen utredningens bedömning att det inte, mot bakgrund av nuvarande utredning, går att tillstyrka att en registrerad ska ha teknisk möjlighet att via en visningstjänst, som innebär direktåtkomst, få åtkomst till Migrationsverkets uppgifter om sig själv. I stora delar överensstämmer den direktåtkomst som anges i förslaget till utlänningsdatalag och tillhörande förordning med den ordning som gäller idag. För Försäkringskassan, Pensionsmyndigheten och Skatteverket anges på samma sätt som idag vilka uppgifter som dessa myndigheter ska ha tillgång till via direktåtkomst. För Polismyndigheten och Säkerhetspolisen finns det en begränsning till att direktåtkomsten endast får omfatta uppgifter som Migrationsverket har i sitt verksamhetsregister. Eftersom förslaget till utlänningsdatalag frångår principen att uttryckligen ange vilka kategorier av personuppgifter som får behandlas i Migrationsverkets verksamhetsregister till att istället utgå ifrån ändamålen, ökar sannolikt möjligheterna för Migrationsverket att behandla andra kategorier av personuppgifter än vad som är fallet idag. Datainspektionen saknar här en analys av följderna vad detta innebär för Polismyndighetens och Säkerhetspolisens direktåtkomst och vilket eventuellt behov som dessa myndigheter har av en direktåtkomst till fler uppgifter än idag. Detta behov måste därefter vägas mot det intrång i den personliga integriteten som den ökade direktåtkomsten innebär. I det fortsatta lagstiftningsarbetet bör det ingå en motsvarande analys av behovet av direktåtkomst för de myndigheter som anges i 7 kapitlet liknande den analys som utredningen redovisat i kapitel 9 och som avser Migrationsverkets behov av direktåtkomst till uppgiftskategorier hos vissa närmare angivna myndigheter. 7.16 Bevarande och gallring m.m. Genom den valda, eller snarare avsaknaden av, regleringen av gallring och avskiljande i den föreslagna lagen kommer personuppgifter som behandlas med stöd av utlänningsdatalagen till stor del att sparas med stöd av arkivlagens bestämmelser. Det innebär att personuppgifter kan komma att sparas under mycket lång tid. I viss mån minskas integritetsintrånget genom bestämmelsen om avskiljande i 20 i förslaget till utlänningsdatalag. Det

Datainspektionen 2015-10-01 Diarienr 1391-2015 8 (9) finns dock en osäkerhet kring hur detta avskiljande i praktiken kommer att se ut eftersom mycket överlämnas till myndigheterna att bestämma. Vid en jämförelse med polisdatalagens bestämmelser om avskiljande kan det konstateras att där finns, till skillnad från det nu aktuella förslaget till utlänningsdatalag, vissa regler som beskriver när avskiljande ska ske. Datainspektionen anser, till skillnad från utredningen, att bestämmelserna om gallring och avskiljande bör placeras i lag och att frågan om avskiljande inte ska överlämnas till myndigheten att avgöra. Datainspektionen anser också att det i lag bör anges en bortre gräns för hur länge känsliga personuppgifter som använts för ändamålen tillsyn, kontroll, uppföljning, planering av verksamheten, framställning av statistik eller testverksamhet får sparas. Datainspektionen anser att det är positivt att det föreslås en särskild gallringsbestämmelse i 3 i förslaget till utlänningsdataförordning avseende Migrationsverkets fingeravtrycks- och fotografiregister. Som framförts ovan bör denna bestämmelse dock placeras i förslaget till utlänningsdatalag och inte i förslaget till utlänningsdataförordning. Kapitel 8 - Registrering av kvalitetsomdömen Utredningens analys vad avser integritetsriskerna för enskilda som kan komma att föras upp på en lista för avvikelseregistreringar är bristfällig. Vilka risker finns för vidarespridning av en sådan lista? Eftersom det inte föreslås några sekretessregler finns det enligt Datainspektionen en klar risk att listan kan komma att spridas långt utanför Migrationsverket och till exempel publiceras på Internet. Vilka konsekvenser, ekonomiskt och socialt, kan detta få för de registrerade? Datainspektionen anser vidare att Migrationsverkets behov, där rättssäkerheten för de personer som är beroende av att ombud m.m. sköter sitt uppdrag är i centrum, kan tillgodoses med en lista som istället utgår ifrån personer som kan anses som lämpliga som ombud, liknande den som de allmänna domstolarna har. Såsom utredningen konstaterat är en sådan lista mindre integritetskänslig än den som Migrationsverket vill använda. För att inrätta så kallade svarta listor med negativa verkningar för enskilda krävs starka skäl som väger över intrånget i den personliga integriteten för de registrerade. En svart lista innebär att den personuppgiftsansvarige samlar in

Datainspektionen 2015-10-01 Diarienr 1391-2015 9 (9) och sprider specifika uppgifter och som sammanställts enligt för ändamålet specifika kriterier. I allmänhet får en svart lista negativa följder för de enskilda personerna genom att avstänga dem från en viss tjänst eller skada deras anseende. Det finns enligt Datainspektionen en uppenbar risk att de ombud m.m. som registreras av Migrationsverket på en avvikelselista i praktiken kommer att diskvalificeras för uppdrag under den tiden han/hon finns med på listan. Kapitel 9 - Ett effektivare informationsutbyte vid handläggning av uppehållstillstånd för arbete och arbetstillstånd Datainspektionen konstaterar att utredningen på ett bra sätt redogjort för de behov som Migrationsverket har av uppgifter från Skatteverket, Kronofogdemyndigheten samt Försäkringskassan. Utredningen har genom analysen beaktat vad Datainspektionen framfört i remissvar den 18 november 2013 (dnr 1378-2013) över departementspromemorian Åtgärder mot missbruk av reglerna för arbetskraftsinvandring, Ds 2013:57. Datainspektionen tillstyrker att de ovannämnda myndigheterna medges den direktåtkomst som utredningen föreslår. Kapitel 10 - Migrationsverkets rätt att ta del av uppgifter från Polismyndighetens fingeravtrycksregister Datainspektionen delar utredningens bedömning att det krävs uttryckligt lagstöd för att Migrationsverket ska ha rätt att ta del av uppgifter från Polismyndighetens fingeravtrycksregister. Utredningen visar också att det finns ett behov för Migrationsverket att ta del av uppgifterna. Datainspektionen efterlyser dock en djupare analys av de integritetsrisker som en sådan åtkomst kan medföra. Detta yttrande har beslutats av generaldirektören Kristina Svahn Starrsjö efter föredragning av juristen Jonas Agnvall. Vid den slutliga handläggningen har även chefsjuristen Hans-Olof Lindblom och enhetschefen Nicklas Hjertonsson deltagit. Kristina Svahn Starrsjö Jonas Agnvall

2024 © DocPlayer.se Sekretesspolicy | Användarvillkor | Kontakta oss