Medverkan av tjänsteleverantörer i ärenden om uppehålls- och arbetstillstånd (SOU 2016:36)

Yttrande Diarienr 1 (5) 2016-09-06 932-2016 Ert diarienr UD2016/08402/PLAN Regeringskansliet Utrikesdepartementet Planeringsstaben 103 39 Stockholm Medverkan av tjänsteleverantörer i ärenden om uppehålls- och arbetstillstånd (SOU 2016:36) Datainspektionen har granskat betänkandet huvudsakligen utifrån myndighetens uppgift att verka för att människor skyddas mot att deras personliga integritet kränks genom behandling av personuppgifter. Datainspektionen lämnar följande synpunkter. 12.5.5 Personuppgiftsskydd Datainspektionen kan inte tillstyrka utredningens förslag eftersom det saknas en integritetsanalys för den personuppgiftsbehandling som blir aktuell vid en utläggning av ärenden om uppehålls- och arbetstillstånd på en extern tjänsteleverantör. Utredningens förslag säkerställer därigenom inte ett godtagbart skydd för de registrerades personuppgifter. Frågan om innehållet i det avtal som enligt utredningen ska reglera förhållandet till tjänsteleverantörerna behöver också analyseras vidare. Det måste enligt Datainspektionen stå klart för samtliga inblandade parter vilka regler som ska gälla för behandlingen av personuppgifter i den aktuella verksamheten. Utredningen har inte redogjort närmare för vilka regler som kommer att gälla för den personuppgiftsbehandling som följer av de lämnade förslagen. Det är således oklart vad som kommer att gälla till skydd för enskildas personliga integritet. Utredningen anger bara att Migrationsverket och utlandsmyndigheterna torde i egenskap av personuppgiftsansvariga myndigheter kunna sluta personuppgiftsavtal med en extern tjänsteleverantör vid en utläggning av vissa förvaltningsuppgifter i ärenden om uppehålls- och arbetstillstånd. Vidare anger utredningen att frågan om personuppgiftsbiträdesavtal bör regleras via det avtal som reglerar ett Postadress: Box 8114, 104 20 Stockholm E-post: datainspektionen@datainspektionen.se Webbplats: www.datainspektionen.se Telefon: 08-657 61 00

Datainspektionen 2016-09-06 Diarienr 932-2016 2 (5) överlämnande av vissa förvaltningsuppgifter och jämför med hur de hanteras i viseringsärenden. Det är en avsevärd skillnad mellan den reglering som nu föreslås för hanteringen i ärenden om uppehålls- och arbetstillstånd jämfört med vad som gäller för viseringsärenden eftersom den s.k. viseringskodexen gäller som lag i Sverige. Viseringskodexen innehåller en noggrann precisering av hur samarbetet med externa tjänsteleverantörer ska gå till avseende viseringsärenden samt en förteckning över minimikrav som ska ingå i det rättsliga instrumentet vid samarbete med externa tjänsteleverantörer. (Se artikel 43 och bilaga X i Europaparlamentets och rådets förordning (EG) nr 810/2009 av den 13 juli 2009 om införande av en gemenskapskodex om viseringar). Utredningens förslag om utläggning av ärenden om uppehållsoch arbetstillstånd på extern tjänsteleverantör saknar en motsvarande tydlig reglering (med undantag för vilka uppgifter som får, respektive inte får, överlämnas). Det är viktigt att skyddet för de registrerades personliga integritet inte blir sämre vid en utläggning av uppgifter på en extern tjänsteleverantör än det skulle ha varit om ansökningarna om uppehålls- och arbetstillstånd hade behandlats av Migrationsverket och utlandsmyndigheterna. Hur ett fullgott integritetsskydd ska säkerställas för de registrerade framgår inte av utredningens förslag. Utredningen noterar flera punkter som är viktiga att reglera i det förutsatta avtalet. I betänkandet saknas dock en analys av förslagets konsekvenser för de sökandes personliga integritet. Det saknas en tydlig redogörelse för vilka dataskyddsregler som kommer att gälla och ett ställningstagande till om detta skydd kan anses tillräckligt. Vid hantering av ärenden om uppehålls- och arbetstillstånd är det fråga om behandling av integritetskänsliga personuppgifter. Mot den bakgrunden är det särskilt viktigt att klargöra vilka dataskyddsregler som ska tillämpas och hur man ska säkerställa att behandlingen av de registrerades personuppgifter fullt ut följer de tillämpliga bestämmelserna. Om utredningens avsikt är att alla nödvändiga krav vad gäller dataskydd endast ska regleras i ett personuppgiftsbiträdesavtal med tjänsteleverantören uppkommer frågan hur man ska säkerställa att detta avtal verkligen omfattar samtliga krav för att uppnå ett fullgott personuppgiftsskydd (jfr bilaga X i viseringskodexen) och att avtalet följs. Utredningen synes dessutom inte ha tagit ställning i frågan om det överhuvudtaget är möjligt att använda avtalsvägen för att

Datainspektionen 2016-09-06 Diarienr 932-2016 3 (5) åstadkomma ett adekvat skydd för de registrerades personliga integritet. Datainspektionen bedömer t.ex. att den inte har någon befogenhet att göra inspektioner hos en extern tjänsteleverantör (jfr 12.5.6 Tillsyn). 12.5.3 Sekretess och tystnadsplikt Utredningen utgår ifrån att Migrationsverket/utlandsmyndigheterna måste träffa avtal om tystnadsplikt vid en utläggning av förvaltningsuppgifter till extern tjänsteleverantör. Det kan dock ifrågasättas om de kan anses ha rättsligt stöd för att låta en extern tjänsteleverantör hantera personuppgifter som kan vara sekretessbelagda (såsom uppgifter om hälsa, etnisk bakgrund, sexuell läggning och biometriska uppgifter). Datainspektionen vill här uppmärksamma problemet med den tystnadsplikt som utredningen förutsätter att parterna ska teckna avtal om. Justitieombudsmannen (JO) har i beslut (dnr 3032-2011) riktat allvarlig kritik mot vårdgivare för att de ingått avtal som innebär att landstinget/regionen lämnar ut patientuppgifter för journalföring av anställda vid ett företag, trots att detta inte är förenligt med regelverket om sekretess. Hanteringen var i detta fall helt elektronisk och uppgifterna lagrades aldrig utanför landstingets/regionens it-system. Läkarsekreterarna hade en avtalsreglerad tystnadsplikt i förhållande till arbetsgivaren (dvs. det externa tjänsteföretaget). JO:s slutsats var att vårdgivarna inte hade rättsligt stöd för att på det sätt som skett lämna ut sekretessbelagda uppgifter om patienter för journalföring av företagets läkarsekreterare. 18.3 Lagring av biometriska data Inspektionen kan inte tillstyrka förslaget om förlängd lagringstid av biometriska data på det underlag som utredningen har presenterat. Utredningen föreslår att biometriska data som tas fram ur fingeravtryck och ur fotografier ska kunna sparas till dess att ett beslut om att en utlänning inte beviljas uppehållstillstånd har fått laga kraft. Det innebär en förlängning jämfört med den tid som gäller idag när uppgifterna omedelbart ska förstöras när uppehållstillståndskortet har lämnats ut eller ärendet om uppehållstillstånd har avgjorts utan att utlänningen har beviljats uppehållstillstånd. Som skäl för en förlängd lagringstid av dessa integritetskänsliga personuppgifter har utredningen framfört att om biometrin raderas direkt

Datainspektionen 2016-09-06 Diarienr 932-2016 4 (5) efter ett avslagsbeslut måste den sökande på nytt lämna biometri för ett uppehållstillståndskort om han eller hon efter en omprövning eller ett överklagande erhåller ett bifallsbeslut på sin ansökan om uppehållstillstånd. En sådan ordning innebär sämre service för de sökande och att ytterligare arbetsuppgifter läggs på utlandsmyndigheterna och Migrationsverket. Utredningen har inte redogjort för hur lång lagringstid det kan bli fråga om eller i hur många fall den nuvarande ordningen är ett problem. Mot behovet av en förlängd lagringstid av biometriska uppgifter kopplat till möjligheterna att ge bättre service och minska riskerna för att uppgifterna ska behöva lämnas igen (vilket i sig innebär ett visst mått av intrång i den personliga integriteten) ska ställas det ökade integritetsintrång som det innebär för den enskilde att dessa för varje individ unika uppgifter sparas under en längre tid. Det bör också noteras att uppgifterna ursprungligen har samlats in för ändamålet att identifiera den som ansöker om uppehållstillstånd i Sverige. En förlängd lagringstid önskas för att kunna tillverka uppehållstillståndskort till den som senare har beviljats uppehållstillstånd, dvs. för ett delvis annat ändamål. Förvaltningsrätten i Malmö föreslog redan i samband med införandet av biometriska uppgifter i uppehållstillståndskorten en förlängd lagringsfrist i enlighet med utredningens nu aktuella föreslag. Regeringen uttalade i det tidigare lagstiftningsärendet att den situation som förvaltningsrätten tog upp inte bör kunna förekomma när det gäller fingeravtrycken och de biometriska data som tas fram ur dessa och ur fotografiet, eftersom dessa uppgifter inte är avsedda att användas för att fastställa sökandens identitet. Regeringen uttalade vidare att det inte fanns någon anledning att föreskriva att uppgifterna, vid avslag på ansökan om uppehållstillstånd, inte får förstöras förrän beslutet om avslag har vunnit laga kraft (prop. 2010/11:123 s. 17). När man tar ställning till förslaget måste man väga det ökade integritetsintrånget pga. den förlängda lagringstiden mot den olägenhet som det innebär för den enskilde och myndigheterna att i vissa fall på nytt lämna respektive ta upp biometri för utfärdande av ett uppehållstillståndskort. Datainspektionen efterlyser en djupare analys för att kunna ta ställning till hur stor denna olägenhet är. Först när en sådan analys är gjord kan man på ett korrekt sätt väga det redovisade behovet mot det intrång i den personliga integriteten som det innebär att dessa för varje individ unika uppgifter sparas efter det att de samlats in och använts för att identifiera den som ansöker om uppehållstillstånd i Sverige.

Datainspektionen 2016-09-06 Diarienr 932-2016 5 (5) Ny allmän dataskyddsförordning Det saknas en analys av hur utredningens förslag ställer sig till den kommande dataskyddsförordningen. Datainspektionen vill erinra om att personuppgiftslagen kommer att upphävas i och med att dataskyddsförordningen ska börja tillämpas den 25 maj 2018. Oavsett om behandling av personuppgifter idag utförs med stöd av en särskild registerförfattning eller personuppgiftslagen måste dataskyddsförordningen beaktas och analyseras som helhet. Det innebär att det är nödvändigt att undersöka om behandlingen är tillåten med direkt tillämpning av dataskyddsförordningen, om det enligt förordningen finns krav på nationell reglering för att en viss behandling ska vara tillåten och om det är tillåtet med kompletterande nationell reglering enligt dataskyddsförordningen. Se till exempel artikel 9 enligt vilken biometriska uppgifter utgör en särskild kategori av personuppgifter och artikel 28-29 om personuppgiftsbiträden som i och med förordningen kommer att få nya skyldigheter och ett betydligt utökat eget ansvar för personuppgiftsbehandlingen. Detta yttrande har beslutats av generaldirektören Kristina Svahn Starrsjö efter föredragning av datarådet Agneta Runmarker. Vid den slutliga handläggningen har även chefsjuristen Hans-Olof Lindblom och enhetschefen Nicklas Hjertonsson deltagit. Kristina Svahn Starrsjö Agneta Runmarker