Integritetsskyddsmyndigheten (IMY) har granskat Migrationsverkets personuppgiftshantering inom ramen för verkets arbete med europeiska visumansökningar. Tillsynsmyndigheten konstaterar nu brister på två punkter. Det gäller dels Migrationsverkets gallringsrutiner för användarloggar, dels dokumentationen kring verkets it-arkitektur.
Migrationsverket är en av de svenska myndigheter som använder det så kallade VIS-systemet – EU:s gemensamma system för utbyte av uppgifter om viseringar för kortare vistelser mellan EU:s medlemsländer. Enligt en särskild förordning, VIS-förordningen, är Migrationsverket också personuppgiftsansvarig för de uppgifter som hanteras inom VIS-systemet. I systemet finns personuppgifter – inklusive fotografier och fingeravtryck – som samlats in från visumsökanden.
Enligt lag är IMY skyldig att granska att Migrationsverkets personuppgiftshantering inom VIS-systemet – dels utifrån de särskilda reglerna i VIS-förordningen, dels utifrån bestämmelserna i den allmänna dataskyddsförordningen (GDPR). En sådan granskning inleddes under början av 2020, och avslutades under veckan genom ett tillsynsbeslut.
I beslutet, som publicerades under onsdagen, konstaterar IMY att man inte har några synpunkter på ändamålen för Migrationsverkets personuppgiftshantering i systemet, eller myndighetens hantering av känsliga personuppgifter – till exempel vad gäller kvaliteten på de fingeravtryck som lagras.
I två hänseenden framkommer däremot kritik.
Enligt IMY får det anses vara en viktig organisatorisk åtgärd, enligt artikel 32 GDPR, att upprätthålla en korrekt och uppdaterad dokumentation över systemets it-arkitektur. Detta bland annat för att skydda information och minska risker och sårbarhet när till exempel personal byts ut eller slutar.
IMY konstaterar att den systemdokumentation som Migrationsverket tillhandahållit under en platsinspektion hos verket varit markerad som ett ”utkast”, och saknat såväl beslutsdatum som uppgift om beslutsfattare. Inspektionen konstaterar:
”Enligt IMY är det sannolikt, på grund av oklarheten kring dokumentets status för läsaren, att det kan uppstå felaktigheter vid utvecklingen och förvaltning av VIS, vilket i sin tur kan leda till att Migrationsverket inte vidtar lämpliga tekniska och organisatoriska åtgärder som säkerställer en lämplig säkerhetsnivå enligt artikel 32 dataskyddsförordningen.”
Därutöver riktar IMY kritik mot Migrationsverkets gallringsrutiner för användarloggar.
Av VIS-förordningen följer att Migrationsverket ska spara loggar över användaraktiviteter i systemet. Loggarna ska kunna konsulteras för att fastställa vilka uppgifter som har registrerats i VIS, när detta har gjorts, av vem, och i vilket syfte. IMY konstaterar emellertid att sådana loggar inte får lagras längre än vad som är nödvändigt för ändamålet, med hänsyn till principen om lagringsminimering i artikel 5 GDPR.
Enligt IMY har Migrationsverket inte kunnat redogöra för den rutin som gäller för gallring av användarloggarna. Avsaknaden av en sådan rutin, menar IMY, kan sannolikt komma att leda till en behandling av personuppgifter som står i strid med artikel 5 GDPR.
Eftersom de identifierade bristerna inte gäller konstaterade överträdelser av GDPR – utan sannolikheten för framtida överträdelser av förordningen – väljer IMY att tilldela Migrationsverket två varningar.
IMYs beslut finns tillgängligt i sin helhet här.
