Lagring i fråga om nationella identitetskort

Förslag: Den ansiktsbild och de fingeravtryck som har tagits ska

sparas i ett lagringsmedium i det nationella identitetskortet. De fingeravtryck som inte har sparats i lagringsmediet ska omedelbart förstöras när kortet har lämnats ut eller, om kortet inte har lämnats ut, när det har gått 90 dagar från den dag då det utfärdades. Även de biometriska data som tas fram ur finger- avtrycken och ansiktsbilden ska förstöras vid den tidpunkten. Om ansökan har återkallats eller avslagits ska fingeravtrycken och den biometriska datan omedelbart förstöras.

Skälen för förslaget

Lagring av fotografier och fingeravtryck Ds 2020:22

68

Utom när de krävs för behandling i enlighet med unionsrätten och nationell rätt ska de biometriska kännetecken som lagras för personalisering av identitetskort förvaras på ett mycket säkert sätt och endast fram till den dag då handlingen hämtas ut, dock aldrig längre än 90 dagar från den dag då handlingen utfärdats. Efter denna period ska de biometriska kännetecknen omedelbart raderas eller förstöras (artikel 10.3). Förordningen utgör inte någon rättslig grund för nationella databaser för lagring av biometriska uppgifter. Detta är en fråga för nationell rätt, som måste vara förenlig med unionsrätten avseende dataskydd (skäl 21).

Lagring regleras även i dataskyddsförordningen

Lagring av fotografier och fingeravtryck som avser en identifierad eller identifierbar fysisk person är en behandling av personuppgifter. Allmänna frågor om personuppgiftsbehandling diskuteras i avsnitt 11. Här behandlas bara de unionsrättsliga reglerna om lagring.

Sedan den 25 maj 2018 utgör EU:s dataskyddsförordning1_{, som}

ofta kallas för GDPR (eng. General Data Protection Regulation), den generella regleringen av personuppgiftsbehandling inom EU.

Bestämmelser som kompletterar dataskyddsförordningen finns i lagen (2018:218) med kompletterande bestämmelser till EU:s dataskyddsförordning, kallad dataskyddslagen. Det finns också ett stort antal registerförfattningar som anger hur personuppgifter får behandlas inom särskilda områden eller av vissa myndigheter.

Dataskyddsförordningen innehåller en övergripande princip om lagringsminimering (artikel 5.1 e). Enligt den får personuppgifter som huvudregel inte förvaras i en form som möjliggör identifiering av den registrerade under en längre tid än vad som är nödvändigt för de ändamål för vilka uppgifterna behandlas.

I EU-förordningens bestämmelser om lagring talas det om biometriska kännetecken och biometriska uppgifter. Biometriska uppgifter definieras i dataskyddsförordningen som personuppgifter som erhållits genom en särskild teknisk behandling som rör en fysisk persons fysiska, fysiologiska eller beteendemässiga kännetecken och som möjliggör eller bekräftar identifieringen av denna fysiska

1 _{Europaparlamentets och rådets förordning (EU) 2016/679 av den 27 april 2016 om skydd}

för fysiska personer med avseende på behandling av personuppgifter och om upphävande av direktiv 95/46/EG (allmän dataskyddsförordning).

Ds 2020:22 Lagring av fotografier och fingeravtryck

person, såsom ansiktsbilder eller fingeravtrycksuppgifter (artikel 4.14). Ansiktsbilder definieras dock som biometriska uppgifter endast när de behandlas med särskild teknik som möjliggör identifiering eller autentisering av en fysisk person (skäl 51).

Biometriska uppgifter ingår bland det som i Sverige kallas för känsliga personuppgifter (jfr 3 kap. 1 § dataskyddslagen). Sådana uppgifter får som huvudregel inte behandlas. Detta förbud är dock försett med vissa undantag (artikel 9 i dataskyddsförordningen).

Bestämmelser om passmyndigheternas lagring

Passmyndigheternas behandling av personuppgifter omfattas i dag inte av några särskilda registerförfattningar. Sådana har föreslagits men förslagen har ännu inte lett till lagstiftning (jfr promemorian Passdatalag, Ds 2015:44 och promemorian Passdatalag – en ny lag som kompletterar EU:s dataskyddsförordning, Ds 2019:5).

Att det inte finns någon registerförfattning för verksamheten med nationella identitetskort innebär inte att behandlingen av personuppgifter är oreglerad. Dels gäller dataskyddsförordningen och dataskyddslagen. Dels innehåller förordningen om nationellt identitetskort vissa bestämmelser som handlar om behandling av personuppgifter. Flera av dem avser just lagring av uppgifter.

Av 4 § förordningen om nationellt identitetskort framgår att den ansiktsbild som tas i samband med en ansökan får sparas i ett lagringsmedium i identitetskortet. Vidare framgår att de biometriska data som tas fram ur ansiktsbilden omedelbart ska förstöras när identitetskortet har lämnats ut eller ansökan har återkallats eller avslagits. Det senare kräver en förklaring. Den ansiktsbild som tas vid en ansökan och som sparas i kortet ska senare kunna jämföras med bilder som tas vid en kontroll. För att detta ska vara möjligt måste biometriska data tas fram ur bilden innan identitetskortet utfärdas. Därigenom kan man kontrollera att bilden har en sådan teknisk kvalitet att den kan användas vid en automatisk kontroll. Det är dessa biometriska data som ska förstöras när kortet har lämnats ut eller ansökan har återkallats eller avslagits (jfr prop. 2004/05:119

Lagring av fotografier och fingeravtryck Ds 2020:22

70

Begreppet biometriska data, som används i både passlagen och förordningen om nationellt identitetskort, har samma innebörd som biometriska uppgifter.

Några regler om lagring av fingeravtryck finns inte i förordningen om nationellt identitetskort, eftersom fingeravtryck inte tas i dag.

Fingeravtryck och ansiktsbild ska lagras i identitetskortet

Att innehavarens ansiktsbild och två fingeravtryck ska sparas i ett lagringsmedium i det nationella identitetskortet framgår direkt av EU-förordningen (artikel 3.5 och avsnitt 7.1). Intresset av ett tydligt och sammanhållet nationellt regelverk talar dock för att låta detta framgå även av förordningen om nationellt identitetskort. I fråga om pass finns en motsvarande bestämmelse i 6 a § passlagen. Även den återspeglar en EU-förordning, förordning (EG) nr 2252/2004.

Den nuvarande bestämmelsen i 4 § förordningen om nationellt identitetskort handlar endast om ansiktsbild och har en fakultativ utformning. Den anger att bilden får sparas i kortet. För att stämma överens med EU-förordningen bör bestämmelsen ändras så att det framgår att både de fingeravtryck och den ansiktsbild som tas ska sparas i ett lagringsmedium i kortet och att detta är obligatoriskt.

Fingeravtryck och biometriska data bör inte lagras i registret

Ansiktsbilden bör även i fortsättningen sparas i registret över nationella identitetskort. Detta är nödvändigt för verksamheten på samma sätt som i dag. En passmyndighet behöver kunna ta del av bilden i flera olika situationer, exempelvis vid en ny ansökan om identitetskort. Frågan är vad som ska gälla för den digitala version av fingeravtrycken som inte har sparats i kortet och för de biometriska data som kan tas fram ur fingeravtrycken och ansiktsbilden.

I passverksamheten, där fingeravtryck samlas in redan i dag, gäller att varken fingeravtryck eller sådana biometriska data som tas fram ur fingeravtryck eller ansiktsbilder får sparas i passregistret. Dessa uppgifter ska i stället omedelbart förstöras när passet har lämnats ut eller passansökan har återkallats eller avslagits (6 a § passlagen).

Motsvarande bör gälla i verksamheten med nationellt identitets- kort. I 4 § förordningen om nationellt identitetskort anges i dag att

Ds 2020:22 Lagring av fotografier och fingeravtryck

de biometriska data som tas fram ur ansiktsbilden omedelbart ska förstöras när kortet har lämnats ut eller ansökan har återkallats eller avslagits. Bestämmelsen bör ändras så att den också omfattar de fingeravtryck som har tagits och de biometriska data som tas fram ur dessa. För att den nationella regleringen ska ansluta helt till artikel 10.3 i EU-förordningen bör det framgå att de aktuella uppgifterna alltid ska förstöras när det har gått 90 dagar från den dag då kortet utfärdades, även om kortet då fortfarande inte har lämnats ut. Den nationella regleringen bör slutligen ändras redaktionellt, så att det tydligt framgår att kravet på förstörelse avser den version av finger- avtrycken som inte har sparats i lagringsmediet i identitetskortet.

För att motverka att pass utfärdas på felaktiga grunder har det föreslagits att biometriska data som har tagits fram ur ansiktsbilder framöver borde få lagras i passregistret (Ds 2019:5). Motsvarande förslag har lämnats i fråga om nya statliga identitetskort (SOU 2019:14). Polismyndigheten har i sina remissyttranden över dessa förslag lyft frågan om inte även fingeravtryck borde få sparas. Dessa frågor får analyseras närmare när förslagen i Ds 2019:5 och SOU 2019:14 tas om hand. Tills vidare bör varken fingeravtryck eller biometriska data få sparas i registret över nationella identitetskort.