IMY konstaterar brister i generalkonsulatet i Istanbuls hantering av personuppgifter
Pass förvarades i öppna plastbackar på golvet och fingeravtryck kontrollerades inte på rätt sätt. IMY konstaterar därför att Sveriges generalkonsulat i Istanbul inte har tillsett att deras externa tjänsteleverantör för handläggning av visumärenden upprätthåller tillräcklig säkerhet vid hantering av fysiska dokument samt upptagning av biometriska uppgifter.
Bakgrund
Integritetsskyddsmyndigheten (IMY) inledde tillsyn mot Sveriges generalkonsulat i Istanbul i syfte att utreda behandlingen av personuppgifter vid viseringar enligt VIS-förordningen (767/2008), SIS-gränsförordningen (2018/1861) samt dataskyddsförordningen (2016/679). Tillsynen omfattade även användningen av en extern tjänsteleverantör för hanteringen av visumansökningar.
IMY är enligt VIS-förordningen och gränsförordningen skyldig att regelbundet granska hur så kallade slutanvändare hanterar personuppgifter i VIS och SIS. Generalkonsulatet i Istanbul har främst blivit utvalt för granskning på grund av den höga andel visumansökningar som går via Turkiet (cirka 16 000 per år). Generalkonsulatet är slutanvändare av både VIS- och SIS4-systemen samt användare av Migrationsverkets ärendehanteringssystem Wilma och W2.
Generalkonsulatet har två biometristationer på plats för upptagning av den biometri som krävs för visumansökningar, men den absoluta majoriteten av sökanden lämnar sina uppgifter till en extern tjänsteleverantör som har fyra viseringscenter i Turkiet.
Integritetsskyddsmyndigheten
Upptagning av biometriska uppgifter
IMY noterade vid inspektion att säkerhetsåtgärderna för godkännande av fingeravtryck som inte når upp till tillräckligt god kvalitet vid biometristationen frångicks vid upptagande av biometri från de sökande. Den inbyggda säkerhetsfunktionen att en annan anställd måste godkänna en så kallad override av ett icke godkänt fingeravtryck kräver att den anställde som godkänner gör en faktisk kontroll av kvaliteten på fingeravtrycket.
Hantering av fysiska dokument
De handlingar som visumsökanden lämnade in, såsom värdehandlingar i form av pass och dylikt, förvarades i plastbackar på golvet hos personalen. Utrymmet var begränsat och biometriupptagning för flera olika länders uppdrag skedde jämte varandra. Det rörde sig mycket personal i utrymmet och backarna förvarades öppet. Det förefaller som förhållandevis enkelt att blanda ihop eller tappa bort handlingar. Hanteringen gör det också svårare att följa handlingen och säkerställa dess säkerhet från yttre påverkan.
Slutsats
IMY konstaterar att Sveriges generalkonsulat i Istanbul behandlar personuppgifter i strid med artikel 28.1 och artikel 32.1 i dataskyddsförordningen genom att inte tillse att den externa tjänsteleverantören upprätthåller tillräcklig säkerhet kring upptagning av biometriska uppgifter samt vid hanteringen av fysiska dokument.
Sammanfattningsvis bedöms inte några av bristerna vara så allvarliga att en sanktionsavgift är aktuell. Det är dock av vikt att bristerna åtgärdas. IMY förelägger, med stöd av artikel 58.2 d i dataskyddsförordningen, generalkonsulatet att inom tre månader skicka in en skriftlig redogörelse om vilka åtgärder som vidtagits eller avses att vidtas för att avhjälpa de konstaterade bristerna.
Referat av Integritetsskyddsmyndigheten 2025-05-06 dnr IMY-2024-2347.
Ursprungligen publicerad i JP ITnet.
Ny praxis och lagändringar kan ha tillkommit sedan texten skrevs. De senaste uppdateringarna och hur dessa påverkat rättsområdet hittar du alltid i relevant informationstjänst.
Publicerad 1 sep 2025

Jurist, redaktör