Post 1000 av 7191 träffar
Stärkt integritet i Rättsmedicinalverkets verksamhet Prop. 2019/20:106
Ansvarig myndighet: Justitiedepartementet
Dokument: Prop. 106
Regeringens proposition
2019/20:106
Stärkt integritet i Rättsmedicinalverkets verksamhet
Prop.
2019/20:106
Regeringen överlämnar denna proposition till riksdagen.
Stockholm den 5 mars 2020
Stefan Löfven
Morgan Johansson
(Justitiedepartementet)
Propositionens huvudsakliga innehåll
Regeringen föreslår två nya lagar för Rättsmedicinalverkets verksamhet, lagen om Rättsmedicinalverkets behandling av personuppgifter och lagen om Rättsmedicinalverkets elimineringsdatabas, i syfte att både stärka skyddet för den personliga integriteten och öka effektiviteten i verksamheten. De nya lagarna kommer att uppfylla kraven i både EU:s dataskyddsförordning och EU:s dataskyddsdirektiv på det brottsbekämpande området.
Lagen om Rättsmedicinalverkets behandling av personuppgifter kommer, med de undantag som uttryckligen anges i lagen, att vara tillämplig på all behandling av personuppgifter som äger rum vid Rättsmedicinalverket. Genom lagen om Rättsmedicinalverkets elimineringsdatabas införs tydliga rättsliga förutsättningar för att Rättsmedicinalverket ska kunna föra en elimineringsdatabas i syfte att stärka kvaliteten i den rättsgenetiska verksamheten med dna-analyser.
De nya lagarna föreslås träda i kraft den 1 juli 2020.
Innehållsförteckning
1 Förslag till riksdagsbeslut 4
2 Lagtext 5
2.1 Förslag till lag om Rättsmedicinalverkets behandling av personuppgifter 5
2.2 Förslag till lag om Rättsmedicinalverkets elimineringsdatabas 9
3 Ärendet och dess beredning 12
4 Rättsmedicinalverkets organisation och uppdrag 13
5 Dataskyddsregleringen 14
5.1 Dataskyddsförordningen och dataskyddslagen 14
5.2 Dataskyddsdirektivet och brottsdatalagen 16
5.3 Dataskyddsregleringens tillämpning i Rättsmedicinalverkets verksamhet 17
6 En lag om Rättsmedicinalverkets behandling av personuppgifter 17
6.1 Behovet av en särskild reglering av behandlingen av personuppgifter i Rättsmedicinalverkets verksamhet 17
6.2 Gränsdragningsfrågor 19
6.3 En lag om behandling av personuppgifter i Rättsmedicinalverkets verksamhet 22
6.3.1 Normgivningsnivå och författningens namn 22
6.3.2 Förhållandet till den allmänna dataskyddsregleringen och till brottsdatalagen 25
6.3.3 Förhållandet till andra författningar 27
6.3.4 Utgångspunkter för den nya lagen 28
6.3.5 Lagens syfte 29
6.3.6 Lagens tillämpningsområde 30
6.3.7 Dataskyddsregleringen ska i tillämpliga delar även gälla vid behandling av uppgifter om avlidna 31
6.3.8 Rättsmedicinalverket ska vara personuppgiftsansvarigt 33
6.3.9 Rättslig grund och ändamål för behandling av personuppgifter på dataskyddsförordningens tillämpningsområde 36
6.3.10 Rättslig grund och ändamål för behandling av personuppgifter på brottsdatalagens tillämpningsområde 41
6.3.11 Begreppet känsliga personuppgifter 44
6.3.12 Behandling av känsliga personuppgifter inom dataskyddsförordningens tillämpningsområde 45
6.3.13 Behandling av känsliga personuppgifter inom brottsdatalagens tillämpningsområde 50
6.3.14 Elektroniskt utlämnande av personuppgifter 54
6.3.15 Rätt att meddela föreskrifter 56
6.3.16 Tillsyn och sanktionsavgifter 57
6.3.17 Skadestånd 59
6.3.18 Tillgången till personuppgifter 60
6.3.19 Dataskyddsombud 61
6.3.20 Avgiftsfri information 63
6.3.21 Begränsning av rätten till information om personuppgiftsincidenter 64
7 En lag om Rättsmedicinalverkets elimineringsdatabas 66
7.1 Rättsmedicinalverkets elimineringsdatabas 66
7.2 Rättsmedicinalverkets elimineringsdatabas bör författningsregleras 67
7.3 Förutsättningar och ändamål för behandlingen av personuppgifter 69
7.4 Innebörden av vissa uttryck 70
7.5 Förhållandet till annan dataskyddsreglering 71
7.6 Rättsmedicinalverket är personuppgiftsansvarigt 72
7.7 Elimineringsdatabasens innehåll 72
7.8 Provtagning 74
7.9 Användning av elimineringsdatabasen 75
7.10 Längsta tid för behandling 76
7.11 Skadestånd 77
7.12 Rätt att meddela föreskrifter 78
7.13 Sekretess för uppgifter i elimineringsdatabasen 79
8 Ikraftträdande- och övergångsbestämmelser 80
9 Konsekvenser av förslagen 82
10 Författningskommentar 84
10.1 Förslaget till lag om Rättsmedicinalverkets behandling av personuppgifter 84
10.2 Förslaget till lag om Rättsmedicinalverkets elimineringsdatabas 100
Bilaga 1 Sammanfattning av betänkandet Stärkt integritet i Rättsmedicinalverkets verksamhet (SOU 2017:80) 107
Bilaga 2 Betänkandets lagförslag 114
Bilaga 3 Förteckning över remissinstanser 122
Bilaga 4 Lagrådsremissens lagförslag 123
Bilaga 5 Lagrådets yttrande 130
Utdrag ur protokoll vid regeringssammanträde den 5 mars 2020 131
1
Förslag till riksdagsbeslut
Regeringens förslag:
1. Riksdagen antar regeringens förslag till lag om Rättsmedicinalverkets behandling av personuppgifter.
2. Riksdagen antar regeringens förslag till lag om Rättsmedicinalverkets elimineringsdatabas.
2 Lagtext
Regeringen har följande förslag till lagtext.
2.1 Förslag till lag om Rättsmedicinalverkets behandling av personuppgifter
Härigenom föreskrivs följande.
1 kap. Allmänna bestämmelser
Lagens tillämpningsområde
1 § Denna lag gäller vid behandling av personuppgifter i Rättsmedicinalverkets verksamhet.
Lagen gäller endast om behandlingen är helt eller delvis automatiserad eller om personuppgifterna ingår i eller kommer att ingå i ett register.
Lagens uppbyggnad
2 § I detta kapitel finns allmänna bestämmelser om behandling av personuppgifter i Rättsmedicinalverkets verksamhet.
Bestämmelserna i 2 kap. gäller vid behandling av personuppgifter inom det område som omfattas av Europaparlamentets och rådets förordning (EU) 2016/679 av den 27 april 2016 om skydd för fysiska personer med avseende på behandling av personuppgifter och om det fria flödet av sådana uppgifter och om upphävande av direktiv 95/46/EG (allmän dataskyddsförordning), här benämnd EU:s dataskyddsförordning.
Bestämmelserna i 3 kap. gäller vid behandling av personuppgifter inom det område som omfattas av brottsdatalagen (2018:1177).
Förhållandet till annan reglering
3 § Denna lag kompletterar EU:s dataskyddsförordning.
Vid behandling av personuppgifter enligt denna lag gäller lagen (2018:218) med kompletterande bestämmelser till EU:s dataskyddsförordning och föreskrifter som har meddelats i anslutning till den lagen, om inte annat följer av denna lag eller föreskrifter som har meddelats i anslutning till lagen.
4 § När Rättsmedicinalverket i egenskap av behörig myndighet enligt 1 kap. 6 § brottsdatalagen (2018:1177) behandlar personuppgifter enligt denna lag i syfte att förebygga, förhindra eller upptäcka brottslig verksamhet, utreda eller lagföra brott eller verkställa straffrättsliga påföljder gäller brottsdatalagen och föreskrifter som har meddelats i anslutning till den lagen, om inte annat följer av denna lag eller föreskrifter som har meddelats i anslutning till lagen.
5 § Denna lag gäller inte när personuppgifter behandlas med stöd av
1. lagen (1999:353) om rättspsykiatriskt forskningsregister,
2. lagen (2003:460) om etikprövning av forskning som avser människor, eller
3. patientdatalagen (2008:355).
6 § I lagen (2020:0000) om Rättsmedicinalverkets elimineringsdatabas finns bestämmelser om Rättsmedicinalverkets behandling av personuppgifter i myndighetens elimineringsdatabas.
Uppgifter om avlidna
7 § Följande reglering ska i tillämpliga delar gälla även vid behandling av uppgifter om avlidna i Rättsmedicinalverkets verksamhet:
1. denna lag och föreskrifter som har meddelats i anslutning till den,
2. EU:s dataskyddsförordning, lagen (2018:218) med kompletterande bestämmelser till EU:s dataskyddsförordning och föreskrifter som har meddelats i anslutning till den, och
3. brottsdatalagen (2018:1177) och föreskrifter som har meddelats i anslutning till den.
Personuppgiftsansvar
8 § Rättsmedicinalverket är personuppgiftsansvarigt för behandling av personuppgifter i myndighetens verksamhet.
Elektroniskt utlämnande av personuppgifter
9 § Personuppgifter får lämnas ut elektroniskt om det inte är olämpligt. Utlämnande får dock inte ske i form av direktåtkomst.
Regeringen eller den myndighet som regeringen bestämmer kan med stöd av 8 kap. 7 § regeringsformen meddela ytterligare föreskrifter om begränsningar av möjligheten att lämna ut personuppgifter elektroniskt.
2 kap. Behandling av personuppgifter inom det område som omfattas av EU:s dataskyddsförordning
Ändamål
1 § Rättsmedicinalverket får behandla personuppgifter om det är nödvändigt för att myndigheten ska kunna utföra sina uppgifter i den rättspsykiatriska, rättskemiska, rättsmedicinska eller rättsgenetiska verksamheten.
2 § Personuppgifter som behandlas enligt 1 § får även behandlas för att fullgöra uppgiftslämnande som sker i överensstämmelse med lag eller förordning.
Personuppgifterna får behandlas även för andra ändamål, under förutsättning att uppgifterna inte behandlas på ett sätt som är oförenligt med det ändamål för vilket uppgifterna samlades in.
Sökförbud
3 § Det är förbjudet att göra sökningar i syfte att få fram ett urval av personer grundat på personuppgifter som avslöjar ras, etniskt ursprung, politiska åsikter, religiös eller filosofisk övertygelse eller medlemskap i fackförening eller som rör sexualliv eller sexuell läggning.
4 § Sökförbudet i 3 § hindrar inte att särskilda beteckningar för identifiering av en viss ärendetyp, brottsrubriceringar eller uppgifter som beskriver en persons utseende används som sökbegrepp.
Sökförbudet hindrar inte heller sökning i en viss handling eller i ett visst ärende.
Tillgången till personuppgifter
5 § Tillgången till personuppgifter ska begränsas till det som var och en behöver för att kunna fullgöra sina arbetsuppgifter.
Information om personuppgiftsincidenter
6 § Den personuppgiftsansvariges skyldighet att informera den registrerade om en personuppgiftsincident enligt artikel 34 i EU:s dataskyddsförordning gäller inte sådana uppgifter som den personuppgiftsansvarige inte får lämna ut till den registrerade enligt lag eller annan författning eller enligt beslut som har meddelats med stöd av författning.
Rätt att meddela föreskrifter
7 § Regeringen eller den myndighet som regeringen bestämmer kan med stöd av 8 kap. 7 § regeringsformen
1. meddela föreskrifter om begränsningar av möjligheten att göra sökningar i syfte att få fram ett urval av personer grundat på uppgifter om hälsa, biometriska uppgifter och genetiska uppgifter samt sådana sökningar som anges i 4 §, och
2. meddela närmare föreskrifter om tillgången till personuppgifter enligt 5 §.
3 kap. Behandling av personuppgifter inom det område som omfattas av brottsdatalagen
Ändamål
1 § Rättsmedicinalverket får behandla personuppgifter om det är nödvändigt för att myndigheten ska kunna utföra följande uppgifter:
1. förebygga, förhindra eller upptäcka brottslig verksamhet,
2. utreda eller lagföra brott,
3. verkställa straffrättsliga påföljder, eller
4. fullgöra förpliktelser som följer av internationella åtaganden.
2 § Förutsättningarna för att behandla personuppgifter som behandlas med stöd av 1 § för nya ändamål regleras i 2 kap. 4 och 22 §§ brottsdatalagen (2018:1177).
Biometriska och genetiska uppgifter
3 § Rättsmedicinalverket får behandla biometriska och genetiska uppgifter om det är absolut nödvändigt för ändamålet med behandlingen.
Sökförbud
4 § Det är förbjudet att göra sökningar i syfte att få fram ett urval av personer grundat på personuppgifter som avslöjar ras, etniskt ursprung, politiska åsikter, religiös eller filosofisk övertygelse eller medlemskap i fackförening eller som rör sexualliv eller sexuell läggning.
5 § Sökförbudet i 4 § hindrar inte att särskilda beteckningar för identifiering av en viss ärendetyp, brottsrubriceringar eller uppgifter som beskriver en persons utseende används som sökbegrepp.
Sökförbudet hindrar inte heller sökning i en viss handling eller i ett visst ärende.
Sanktionsavgifter
6 § En sanktionsavgift får tas ut av den personuppgiftsansvarige vid överträdelse av bestämmelserna i
- 1 § om ändamål, eller
- 4 § om sökförbud.
En sanktionsavgift får också tas ut vid överträdelse av de föreskrifter som anges i 8 § 1.
Sanktionsavgiften ska bestämmas till högst 10 000 000 kronor.
Skadestånd
7 § Bestämmelsen om skadestånd i 7 kap. 1 § brottsdatalagen (2018:1177) ska tillämpas vid behandling av personuppgifter i strid med denna lag eller föreskrifter som har meddelats i anslutning till den.
Rätt att meddela föreskrifter
8 § Regeringen eller den myndighet som regeringen bestämmer kan med stöd av 8 kap. 7 § regeringsformen
1. meddela föreskrifter om begränsningar av möjligheten att göra sökningar i syfte att få fram ett urval av personer grundat på uppgifter om hälsa, biometriska uppgifter och genetiska uppgifter samt sökningar som anges i 5 §, och
2. meddela närmare föreskrifter om tillgången till personuppgifter.
1. Denna lag träder i kraft den 1 juli 2020.
2. En sanktionsavgift enligt 3 kap. 6 § får beslutas endast för överträdelser som har skett efter ikraftträdandet.
2.2 Förslag till lag om Rättsmedicinalverkets elimineringsdatabas
Härigenom föreskrivs följande.
Ändamål
1 § Rättsmedicinalverket får föra ett register över dna-profiler i syfte att stärka kvaliteten i den rättsgenetiska verksamheten med dna-analyser (elimineringsdatabasen) i enlighet med denna lag.
Uppgifter i elimineringsdatabasen får endast behandlas för att upptäcka och utreda kontamineringar av det som är föremål för dna-analys.
Innebörden av vissa uttryck
2 § I denna lag avses med
dna-analys: varje förfarande som kan användas för analys av deoxiribonukleinsyra i humant material, och
dna-profil: resultatet av en dna-analys som presenteras i form av siffror eller bokstäver.
Förhållandet till annan dataskyddsreglering
3 § Vid behandling av personuppgifter enligt denna lag gäller lagen (2020:000) om Rättsmedicinalverkets behandling av personuppgifter och föreskrifter som har meddelats i anslutning till den lagen, om inte annat följer av denna lag eller föreskrifter som har meddelats i anslutning till lagen.
Personuppgiftsansvar
4 § Rättsmedicinalverket är personuppgiftsansvarigt för behandling av personuppgifter i elimineringsdatabasen.
Innehåll
5 § Elimineringsdatabasen får innehålla dna-profiler från personer som anges i 6 och 7 §§ och som genom att komma i kontakt med material eller prover som ska bli föremål för dna-analys eller lokaler där sådana analyser utförs riskerar att kontaminera dessa. Databasen får också innehålla dna-profiler som har påträffats vid en dna-analys och som inte kan hänföras till en identifierad person.
En dna-profil som registreras i databasen får endast ge information om identitet och inte om personliga egenskaper.
Utöver dna-profiler får elimineringsdatabasen innehålla uppgifter om vem dna-profilen avser.
Provtagning
6 § Anställda vid Rättsmedicinalverket och andra som återkommande kan komma i kontakt med och därigenom riskerar att kontaminera material som används vid dna-analys, prover som ska bli föremål för dna-analys eller lokaler där sådana analyser utförs, är skyldiga att lämna prov för dna-analys i syfte att dna-profilen ska registreras i elimineringsdatabasen. Provet tas i form av salivprov.
7 § För att få tillträde till en lokal där dna-prover hanteras eller förvaras är även den som inte omfattas av 6 § men som riskerar att kontaminera lokalen, prover som ska bli föremål för dna-analys eller material som används för dna-analys skyldig att lämna prov för dna-analys i syfte att dna-profilen ska registreras i elimineringsdatabasen. Provet tas i form av salivprov.
8 § Ett prov för dna-analys som har tagits med stöd av 6 eller 7 § får inte användas för något annat ändamål än det som provet togs för och ska förstöras senast sex månader efter det att provet togs.
Användning av elimineringsdatabasen
9 § Dna-profiler i elimineringsdatabasen får endast användas för jämförelser med
1. dna-profiler från prov som analyseras vid Rättsmedicinalverket, och
2. dna-profiler som har tagits fram för att kvalitetssäkra den rättsgenetiska verksamheten med dna-analyser.
Längsta tid för behandling
10 § Uppgifter i elimineringsdatabasen får behandlas så länge de behövs för att upptäcka och utreda om en persons dna kan ha kontaminerat material, prover eller lokaler, dock som längst den tid som anges i andra-fjärde styckena.
Uppgifter som rör anställda vid Rättsmedicinalverket får inte behandlas längre än två år efter det att det förhållande som grundade skyldigheten att lämna prov upphörde.
Uppgifter som har registrerats med stöd av 7 § får inte behandlas längre än ett år efter det att uppgifterna registrerades.
Uppgifter som rör andra än de som anges i andra och tredje styckena får inte behandlas längre än ett år efter det att det förhållande som grundade skyldigheten att lämna prov upphörde.
Bestämmelsen i 2 kap. 17 § andra stycket brottsdatalagen (2018:1177) gäller inte vid tillämpning av denna paragraf.
Skadestånd
11 § Inom det område som omfattas av brottsdatalagen (2018:1177) ska bestämmelsen om skadestånd i 7 kap. 1 § brottsdatalagen tillämpas vid behandling av personuppgifter i strid med denna lag eller föreskrifter som har meddelats i anslutning till den.
Rätt att meddela föreskrifter
12 § Regeringen eller den myndighet som regeringen bestämmer kan med stöd av 8 kap. 7 § regeringsformen
1. meddela närmare föreskrifter om vilka personalkategorier vid Rättsmedicinalverket och vilka andra personkategorier enligt 6 och 7 §§ som är skyldiga att lämna prover för dna-analys till elimineringsdatabasen,
2. meddela närmare föreskrifter om tillgången till uppgifter i elimineringsdatabasen, och
3. meddela föreskrifter om förfarandet vid överensstämmelse mellan en dna-profil i elimineringsdatabasen och en annan dna-profil.
1. Denna lag träder i kraft den 1 juli 2020.
2. En dna-profil som har registrerats före den 1 juli 2020 i syfte att upptäcka och utreda kontamineringar av det som är föremål för dna-analys, får registreras i elimineringsdatabasen om den registrerade godtar det. De dna-profiler som inte registreras i elimineringsdatabasen ska gallras senast den 1 januari 2021.
3 Ärendet och dess beredning
Den EU-rättsliga dataskyddsregleringen har genomgått en genomgripande reform. Efter reformen består regelverket av i huvudsak dels Europaparlamentets och rådets förordning (EU) 2016/679 av den 27 april 2016 om skydd för fysiska personer med avseende på behandling av personuppgifter och om det fria flödet av sådana uppgifter och om upphävande av direktiv 95/46/EG (allmän dataskyddsförordning), kallad EU:s dataskyddsförordning, dels Europaparlamentets och rådets direktiv (EU) 2016/680 av den 27 april 2016 om skydd för fysiska personer med avseende på behöriga myndigheters behandling av personuppgifter för att förebygga, förhindra, utreda, avslöja eller lagföra brott eller verkställa straffrättsliga påföljder, och det fria flödet av sådana uppgifter och om upphävande av rådets rambeslut 2008/977/RIF, kallat dataskyddsdirektivet. EU:s dataskyddsförordning började tillämpas den 25 maj 2018. Dataskyddsdirektivet har i huvudsak genomförts genom brottsdatalagen (2018:1177) som trädde i kraft den 1 augusti 2018.
Regeringen beslutade den 1 september 2016 att tillkalla en särskild utredare, med uppdrag att föreslå hur regelverket för Rättsmedicinalverket ska anpassas så att verksamheten kan bedrivas med effektiva arbetsformer och stor hänsyn tagen till människors integritet (dir. 2016:75). I uppdraget ingick att se över frågor om personuppgiftsreglering, humanbiologiskt material, uppgiftsinhämtning och uppdrag från enskilda. Utredningen antog namnet Utredningen om dataskydd vid Rättsmedicinalverket (Ju 2016:18).
I oktober 2017 överlämnade utredningen betänkandet Stärkt integritet i Rättsmedicinalverkets verksamhet (SOU 2017:80). I denna proposition behandlas utredningens förslag om att införa en särskild personuppgiftsreglering för Rättsmedicinalverket och att författningsreglera Rättsmedicinalverkets elimineringsdatabas. Regeringen kommer att i ett annat sammanhang återkomma till de övriga förslagen i betänkandet. En sammanfattning av betänkandet och utredningens lagförslag i relevanta delar finns i bilagorna 1 och 2. Betänkandet har remissbehandlats. En förteckning över remissinstanserna finns i bilaga 3. Remissyttrandena finns tillgängliga i Justitiedepartementet (dnr Ju2017/08254/Å).
Lagrådet
Regeringen beslutade den 30 januari 2020 att inhämta Lagrådets yttrande över de lagförslag som finns i bilaga 4. Lagrådets yttrande finns i bilaga 5. Lagrådet har lämnat förslagen utan erinran. Vissa språkliga och redaktionella ändringar har gjorts i förhållande till lagrådsremissens förslag.
4 Rättsmedicinalverkets organisation och uppdrag
Rättsmedicinalverket bildades 1991, som central förvaltningsmyndighet för rättspsykiatrisk undersökningsverksamhet, rättsmedicin, rättskemi och rättsgenetik. Rättsmedicinalverket bedriver verksamhet på sex olika orter runt om i landet, med ett gemensamt huvudkontor. Verksamheten är indelad i tre avdelningar - avdelningen för rättsgenetik och rättskemi, avdelningen för rättsmedicin och avdelningen för rättspsykiatri - men består av fyra verksamhetsområden, nämligen rättspsykiatri, rättskemi, rättsmedicin och rättsgenetik.
En viktig uppgift för verket är att avge sakkunnigutlåtanden till rättsväsendets myndigheter. Främst rör det sig om utredningar i form av analyser och utlåtanden till polis, allmän åklagare och domstol. Utredningarna från Rättsmedicinalverket är ofta en viktig del i brottsutredningar. Det kan exempelvis vara fråga om utredningar av onaturliga dödsfall eller bedömningar av om en person har begått ett brott under påverkan av en allvarlig psykisk störning. Verksamheten innefattar också uppdrag som inte har anknytning till brottsbekämpning. Det rör sig bl.a. om uppdrag från socialnämnderna gällande fastställande av faderskap. Vid Rättsmedicinalverket bedrivs också utvecklings- och forskningsarbete.
Rättsmedicinalverkets uppgifter framgår av myndighetens instruktion. Enligt 1 § förordningen (2007:976) med instruktion för Rättsmedicinalverket ansvarar verket för rättspsykiatrisk, rättskemisk, rättsmedicinsk och rättsgenetisk verksamhet i den utsträckning sådana frågor inte ska handläggas av någon annan statlig myndighet. Av 2 § i instruktionen framgår att Rättsmedicinalverket särskilt ska ansvara för bl.a. rättspsykiatriska undersökningar i brottmål och läkarintyg som avses i 7 § lagen (1991:2041) om särskild personutredning i brottmål, m.m. (personutredningslagen), rättsmedicinska obduktioner och andra rättsmedicinska undersökningar, utfärdande av intyg enligt lagen (2005:225) om rättsintyg i anledning av brott, rättsmedicinsk medverkan på begäran av domstol, allmän åklagare, Polismyndigheten eller Säkerhetspolisen, rättskemiska och rättsgenetiska undersökningar, rättsmedicinska åldersbedömningar samt utredningar om risk för återfall i brottslighet enligt lagen (2006:45) om omvandling av fängelse på livstid. Rättsmedicinalverket får därutöver i enlighet med 3 § i instruktionen utföra uppdrag inom sitt ansvarsområde om verksamheten i övrigt medger det.
Vid Rättsmedicinalverket förekommer således en rad olika ärendetyper. Gemensamt för i princip samtliga ärenden är att de innefattar behandling av personuppgifter som i många fall medför särskilda risker för den personliga integriteten, exempelvis uppgifter om enskildas hälsa eller om misstanke om brott. Uppgifterna kommer bl.a. från Polismyndigheten, åklagarmyndigheterna och Migrationsverket, men det kommer också uppgifter från andra myndigheter liksom från enskilda. På vissa av myndighetens verksamhetsområden förekommer särskild lagstiftning. Någon särskild lag om behandling av personuppgifter vid Rättsmedicinalverket finns dock inte.
5 Dataskyddsregleringen
5.1 Dataskyddsförordningen och dataskyddslagen
Dataskyddsförordningen antogs den 27 april 2016. Syftet med förordningen är att skydda fysiska personers grundläggande rättigheter och friheter, särskilt deras rätt till skydd för personuppgifter, och att främja det fria flödet av personuppgifter inom unionen. Dataskyddsförordningen, som är direkt tillämplig i alla medlemsstater, ersatte från och med den 25 maj 2018 1995 års dataskyddsdirektiv och utgör numera den generella regleringen av personuppgiftsbehandling inom EU.
Det materiella tillämpningsområdet för dataskyddsförordningen omfattar sådan behandling av personuppgifter som helt eller delvis företas på automatisk väg samt annan behandling av personuppgifter som ingår i eller kommer att ingå i ett register (artikel 2.1). Vissa undantag från tillämpningsområdet görs dock. Exempelvis ska behandling av personuppgifter som utgör ett led i en verksamhet som inte omfattas av unionsrätten inte heller omfattas av förordningens bestämmelser (artikel 2.2 a). Genom lagen (2018:218) med kompletterande bestämmelser till EU:s dataskyddsförordning, härefter dataskyddslagen, har dock förordningens tillämpningsområde utvidgats till att även omfatta behandling av personuppgifter i verksamhet som inte omfattas av unionsrätten, med vissa specifika undantag (1 kap. 2 och 3 §§ dataskyddslagen). Dataskyddsförordningen gäller inte heller för sådan personuppgiftsbehandling som omfattas av dataskyddsdirektivets tillämpningsområde (artikel 2.2 d).
I artikel 6 i dataskyddsförordningen uttrycks det grundläggande kravet att det ska finnas en giltig rättslig grund för varje behandling av personuppgifter. Bland de rättsliga grunder som anges i artikeln kan nämnas att behandlingen är nödvändig för att fullgöra en rättslig förpliktelse som åvilar den personuppgiftsansvarige (artikel 6.1 c) eller för att utföra en uppgift av allmänt intresse eller som ett led i den personuppgiftsansvariges myndighetsutövning (artikel 6.1 e).
Därutöver omgärdas varje behandling av personuppgifter också av andra krav. I artikel 5 ställs ett antal allmänna principer för behandlingen upp. Däribland kan nämnas att uppgifterna ska behandlas på ett lagligt, korrekt och öppet sätt i förhållande till den registrerade. Uppgifterna ska vidare vara adekvata, relevanta och inte för omfattande i förhållande till de ändamål för vilka de behandlas. De ska vidare vara riktiga och, om nödvändigt, uppdaterade. Alla rimliga åtgärder måste vidtas för att säkerställa att personuppgifter som är felaktiga i förhållande till de ändamål för vilka de behandlas raderas eller rättas utan dröjsmål. Personuppgifter ska samlas in för särskilda, uttryckligt angivna och berättigade ändamål. De får inte senare behandlas på ett sätt som är oförenligt med dessa ursprungliga ändamål. Vidare får personuppgifter inte förvaras under en längre tid än vad som är nödvändigt och de måste behandlas på ett sätt som säkerställer lämplig säkerhet. Artiklarna 5 och 6 är grundläggande och kumulativa. Det innebär att någon av de rättsliga grunderna i artikel 6 måste vara tillämplig, samtidigt som samtliga principer i artikel 5 ska följas.
Även om dataskyddsförordningen är direkt tillämplig och ska tillämpas precis som om den vore svensk lag, både förutsätter och medger den nationella bestämmelser som kompletterar delar av förordningen genom specificeringar eller undantag. Detta gäller särskilt sådan behandling som sker inom den offentliga sektorn. I artikel 6.2 anges att medlemsstaterna får behålla eller införa mer specifika bestämmelser för att anpassa tillämpningen av bestämmelserna i förordningen när det gäller behandling som sker enligt artikel 6.1 c (rättslig förpliktelse) och 6.1 e (uppgift av allmänt intresse och myndighetsutövning). Detta får ske genom att medlemsstaterna närmare fastställer specifika krav för uppgiftsbehandlingen och andra åtgärder för att säkerställa en laglig och rättvis behandling. Av skäl 10 till förordningen framgår att detta även gäller för behandlingen av känsliga personuppgifter. Enligt artikel 6.3 andra stycket ska vidare syftet med behandlingen fastställas i den rättsliga grunden eller, i fråga om behandling enligt artikel 6.1 e, vara nödvändig för att utföra en uppgift av allmänt intresse eller som ett led i den personuppgiftsansvariges myndighetsutövning. Av artikel 6.3 framgår vidare att vid behandling enligt artikel 6.1 c och e, ska den rättsliga grunden fastställas i unionsrätten eller i nationell rätt. Där anges också att den rättsliga grunden kan innehålla särskilda bestämmelser för att anpassa tillämpningen av bestämmelserna i dataskyddsförordningen, bl.a. de allmänna villkor som ska gälla för den personuppgiftsansvariges behandling, vilken typ av uppgifter som ska behandlas, vilka registrerade som berörs, de enheter till vilka personuppgifterna får lämnas ut och för vilka ändamål, ändamålsbegränsningar, lagringstid samt typer av behandling och förfaranden för behandling, inbegripet åtgärder för att tillförsäkra en laglig och rättvis behandling.
Förordningen innehåller också andra artiklar som tillåter kompletterande bestämmelser i vissa avseenden, exempelvis när det gäller känsliga personuppgifter (artikel 9) och begränsningar av den registrerades rättigheter enligt artikel 23. Vissa av de rättigheter och skyldigheter som föreskrivs i förordningen får begränsas i nationell rätt. Detta förutsätter att begränsningarna sker med respekt för andemeningen i de grundläggande rättigheterna och friheterna och utgör en nödvändig och proportionell åtgärd i ett demokratiskt samhälle. Det förutsätter också att begränsningen sker i syfte att säkerställa något av de ändamål som anges i artikel 23.1, t.ex. en medlemsstats viktiga mål av generellt allmänt intresse.
Om dataskyddsförordningen föreskriver att förtydliganden eller begränsningar av dess bestämmelser kan ske genom medlemsstaternas nationella rätt, kan medlemsstaterna, i den utsträckning det är nödvändigt för samstämmigheten och för att göra de nationella bestämmelserna begripliga för de personer som de tillämpas på, införliva delar av förordningen i nationell rätt (se skäl 8).
Som framgår av den bedömning regeringen har gjort i propositionen Ny dataskyddslag innebär detta att förordningen ger medlemsstaterna möjlighet att i lagar på nationell nivå föreskriva vissa anpassade bestämmelser (prop. 2017/18:105 s. 21-23). Principen om unionsrättens företräde innebär dock att bestämmelser i sådana författningar måste vara förenliga med dataskyddsförordningen.
Den 25 maj 2018 trädde dataskyddslagen i kraft och samtidigt upphävdes personuppgiftslagen (1998:204). Dataskyddslagen innehåller bestämmelser som kompletterar dataskyddsförordningen på ett generellt plan i svensk rätt. Inom ramen för det utrymme som dataskyddsförordningen ger reglerar lagen bl.a. frågor om rättslig grund för behandling av personuppgifter, känsliga personuppgifter, tillsynsmyndighetens handläggning och beslut samt skadestånd och överklagande. Dataskyddslagen är, på samma sätt som personuppgiftslagen var, subsidiär i förhållande till annan lag eller förordning. Det gör det möjligt att även fortsättningsvis ha från dataskyddslagen avvikande bestämmelser i sektorsspecifika registerförfattningar.
5.2 Dataskyddsdirektivet och brottsdatalagen
Dataskyddsdirektivet innehåller bestämmelser om skydd för fysiska personer med avseende på behandling av personuppgifter som utförs av behöriga myndigheter i syfte att förebygga, förhindra, utreda, avslöja eller lagföra brott eller verkställa straffrättsliga påföljder, inklusive att skydda mot samt förebygga och förhindra hot mot den allmänna säkerheten (artikel 1.1). Direktivet ska tillämpas på behandling av personuppgifter som utförs av behöriga myndigheter för de ändamål som anges i artikel 1.1 (artikel 2.1). Det är tillämpligt på behandling av personuppgifter som helt eller delvis företas på automatiserad väg samt på annan behandling än automatiserad behandling av personuppgifter som ingår i eller kommer att ingå i ett register (artikel 2.2). Direktivet är däremot inte tillämpligt på behandling av personuppgifter som utgör ett led i en verksamhet som inte omfattas av unionsrätten eller som utförs av unionens institutioner, organ och byråer (artikel 2.3). Ett bakomliggande syfte med dataskyddsdirektivets bestämmelser är att uppnå effektivitet på det straffrättsliga området, samtidigt som en enhetlig och hög skyddsnivå för fysiska personers personuppgifter ska upprätthållas. I direktivet framhålls att det är av avgörande betydelse för att säkerställa ett effektivt straffrättsligt samarbete och polissamarbete att man kan upprätthålla en enhetlig och hög skyddsnivå för fysiska personers personuppgifter och underlätta utbytet av personuppgifter mellan behöriga myndigheter i medlemsstaterna (skäl 7).
Dataskyddsdirektivet hindrar inte medlemsstaterna från att föreskriva starkare skyddsåtgärder än de som fastställs i direktivet för skyddet av den registrerades rättigheter och friheter med avseende på behöriga myndigheters behandling av personuppgifter (artikel 1.3).
Dataskyddsdirektivet har genomförts i huvudsak genom införandet av en ny ramlag, brottsdatalagen (2018:1177), som trädde i kraft den 1 augusti 2018. Vidare har nya och anpassade registerförfattningar för bl.a. de brottsbekämpande myndigheterna och domstolarna tagits fram (prop. 2017/18:269). Brottsdatalagen gäller således för behandling av personuppgifter som utförs av behöriga myndigheter i syfte att förebygga, förhindra eller upptäcka brottslig verksamhet, utreda eller lagföra brott eller verkställa straffrättsliga påföljder. Den gäller också för behandling av personuppgifter som en behörig myndighet utför i syfte att upprätthålla allmän ordning och säkerhet (1 kap. 2 §). Brottsdatalagen är, liksom dataskyddslagen, subsidiär. I den mån det för en myndighet som bedriver verksamhet inom brottsdatalagens tillämpningsområde finns en författning med bestämmelser som avviker från brottsdatalagen, ska därför den författningen tillämpas (1 kap. 5 § brottsdatalagen).
5.3 Dataskyddsregleringens tillämpning i Rättsmedicinalverkets verksamhet
Rättsmedicinalverket bedriver verksamhet som kan omfattas av både dataskyddsförordningens och dataskyddsdirektivets tillämpningsområde. Enligt artikel 2.2 d i dataskyddsförordningen undantas behandling som omfattas av dataskyddsdirektivets tillämpningsområde från dataskyddsförordningens tillämpningsområde. I den utsträckning Rättsmedicinalverkets personuppgiftsbehandling inte omfattas av dataskyddsdirektivets, och därmed även brottsdatalagens, tillämpningsområde omfattas den alltså av bestämmelserna i dataskyddsförordningen och dataskyddslagen samt andra författningar med för Rättsmedicinalverket tillämplig särreglering som förordningen medger. Syftet med behandlingen är avgörande för vilket regelverk som är tillämpligt. Regeringen behandlar frågan om gränsdragning mellan tillämpliga personuppgiftsregleringar närmare i avsnitt 6.2.
6 En lag om Rättsmedicinalverkets behandling av personuppgifter
6.1 Behovet av en särskild reglering av behandlingen av personuppgifter i Rättsmedicinalverkets verksamhet
Regeringens bedömning: En särskild författning om Rättsmedicinalverkets behandling av personuppgifter bör införas.
Utredningens bedömning överensstämmer med regeringens.
Remissinstanserna: Flertalet remissinstanser, bl.a. Justitiekanslern, Kammarrätten i Stockholm och Polismyndigheten, är positiva till eller lämnar inga synpunkter på bedömningen. Riksförbundet för social och mental hälsa (RSMH) delar inte bedömningen och anför att det i stället för en ny registerförfattning vore bättre att förtydliga de lagar som redan är tillämpliga på Rättsmedicinalverkets verksamhet. Dataskydd.net anser att förslaget leder till en onödig dubbelreglering.
Skälen för regeringens bedömning: Vid Rättsmedicinalverket behandlas i stor utsträckning personuppgifter som är särskilt integritetskänsliga, bl.a. genetiska uppgifter och uppgifter om hälsa. De personuppgifter som behandlas vid Rättsmedicinalverket är till stor del samma uppgifter som behandlas vid de uppdragsgivande myndigheterna. Antingen får Rättsmedicinalverket del av uppgifterna i samband med att uppdraget lämnas till verket, eller så genereras personuppgifterna vid Rättsmedicinalverket och lämnas ut till uppdragsgivaren i samband med att Rättsmedicinalverkets utredningsarbete är färdigt och uppdraget redovisas. Det kan konstateras att samtliga de myndigheter som lämnar uppdrag till Rättsmedicinalverket har registerförfattningar som reglerar behandlingen av personuppgifter. Skyddet för personuppgifter bör som utgångspunkt inte vara mindre omfattande vid Rättsmedicinalverket än vid de uppdragsgivande myndigheterna. Det kan bäst säkerställas genom en särskild reglering för personuppgiftsbehandlingen vid Rättsmedicinalverket. Genom en sådan reglering är det även möjligt att ta hänsyn till de särskilda behov som föreligger i Rättsmedicinalverkets verksamhet samtidigt som ett starkt skydd för enskildas personliga integritet upprätthålls.
För delar av Rättsmedicinalverkets personuppgiftsbehandling gäller dataskyddsförordningen, som på generell nivå kompletteras av dataskyddslagen. När Rättsmedicinalverket behandlar personuppgifter för sådana syften som anges i brottsdatalagen är den lagen i stället tillämplig. På vissa områden finns dessutom särlagstiftning med bestämmelser om personuppgiftsbehandling som ska tillämpas i vissa fall, exempelvis patientdatalagen (2008:355) som gäller då Rättsmedicinalverket är att betrakta som vårdgivare. För enskilda registrerade som vill göra gällande sina rättigheter enligt det dataskyddsrättsliga regelverket är det viktigt att förhållandet mellan de olika regleringarna framgår på ett så begripligt och överblickbart sätt som möjligt. Även för Rättsmedicinalverket och de enskilda tjänstemän som ska tillämpa bestämmelserna är detta naturligtvis av stort värde, särskilt eftersom det minskar risken för att personuppgifter behandlas på ett felaktigt sätt. Detta uppnås, enligt regeringens mening, bäst genom att behandlingen av personuppgifter vid Rättsmedicinalverket regleras av särskilda bestämmelser. Till skillnad från RSMH och Dataskydd.net anser regeringen sammanfattningsvis därför att övervägande skäl talar för att en särskild författning som reglerar behandlingen av personuppgifter i Rättsmedicinalverkets verksamhet bör införas.
6.2 Gränsdragningsfrågor
Regeringens bedömning: EU:s dataskyddsförordning och den kompletterande dataskyddslagen är som utgångspunkt tillämpliga på behandlingen av personuppgifter vid Rättsmedicinalverket. När Rättsmedicinalverket fullgör ett uppdrag i syfte att stödja sådan brottsutredande och liknande verksamhet som avses i dataskyddsdirektivet är i stället brottsdatalagen tillämplig för verkets behandling av personuppgifter.
Utredningens bedömning överensstämmer i huvudsak med regeringens. Utredningen anser att drogfrihetsanalyser på begäran av Kriminalvården som avser en person som får en straffrättslig påföljd verkställd bör anses falla inom dataskyddsdirektivets tillämpningsområde.
Remissinstanserna: Rättsmedicinalverket anför att samtliga drogfrihetsanalyser som inbegriper verkställighet av straffrättslig påföljd bör falla inom dataskyddsdirektivets tillämpningsområde. Övriga remissinstanser yttrar sig inte särskilt i denna del.
Skälen för regeringens bedömning
Två parallella regelverk - syftet med behandlingen avgör vilket som ska tillämpas
För regeringens överväganden och förslag om hur en författning som reglerar Rättsmedicinalverkets behandling av personuppgifter bör utformas är det av avgörande betydelse hur de EU-rättsliga dataskyddsbestämmelserna ska tillämpas på personuppgiftsbehandlingen vid Rättsmedicinalverket. Behandling av personuppgifter i verksamhet som omfattas av unionsrätten faller antingen inom tillämpningsområdet för dataskyddsdirektivet, vilket huvudsakligen genomförs genom brottsdatalagen, eller inom tillämpningsområdet för dataskyddsförordningen. Brottsdatalagen och dataskyddsförordningen kan inte vara tillämpliga på samma behandling för samma syfte. Har samma behandling däremot flera olika syften kan regelverken vara tillämpliga parallellt. Det bör då betraktas som två olika behandlingar av personuppgifter som var och en måste ha stöd i och följa gällande regelverk (prop. 2017/18:232 s. 101). En konsekvens av att det är syftet med behandlingen som avgör vilket regelverk som är tillämpligt för en viss personuppgiftsbehandling, är att om detta syfte ändras, kan också andra bestämmelser bli tillämpliga. Det är således nödvändigt för den som behandlar personuppgifter att ha syftet med behandlingen klart för sig för att kunna veta vilket regelverk som är tillämpligt.
I förarbetena till brottsdatalagen redogör regeringen för ett antal allmänna principer som bör gälla för gränsdragningsfrågor som kan uppkomma (prop. 2017/18:232 s. 109-113).
En tudelad verksamhet
Rättsmedicinalverket kommer, liksom andra myndigheter som bedriver verksamhet som kan omfattas av både dataskyddsförordningens och dataskyddsdirektivets regelverk, att ställas inför vissa gränsdragningsproblem. Rättsmedicinalverket utför vissa uppgifter som i normalfallet inte har något samband med att förebygga, förhindra eller upptäcka brottslig verksamhet, utreda eller lagföra brott eller verkställa straffrättsliga påföljder. Det gäller exempelvis arbetet med släktskaps- eller faderskapsanalyser på det rättsgenetiska verksamhetsområdet, tillvaratagandet av vävnader för transplantationsändamål inom det rättsmedicinska verksamhetsområdet och de toxikologiska analyser som på det rättskemiska verksamhetsområdet genomförs på uppdrag av hälso- och sjukvården. För sådan behandling, som inte faller inom dataskyddsdirektivets tillämpningsområde, ska dataskyddsförordningen tillämpas.
Vid Rättsmedicinalverket bedrivs emellertid även verksamhet som omfattas av dataskyddsdirektivets, och därigenom brottsdatalagens, tillämpningsområde. Det måste i myndighetens verksamhet klargöras vilka regler som ska tillämpas vid olika typer av personuppgiftsbehandling.
Eftersom dataskyddsförordningen, med några undantag som inte är relevanta i detta sammanhang, är tillämplig på all behandling av personuppgifter som inte omfattas av dataskyddsdirektivets bestämmelser, är det nödvändigt att beskriva Rättsmedicinalverkets verksamhet utifrån detta tudelade regelverk. Brottsdatalagen är, som nämns ovan, tillämplig på behandling av personuppgifter för olika brottsbekämpande syften. Den gäller också när en behörig myndighet behandlar personuppgifter i syfte att upprätthålla allmän ordning och säkerhet. Av central betydelse är således om den myndighet som behandlar personuppgifterna är att betrakta som behörig myndighet och om behandlingen utförs i något eller några av de syften som anges i dataskyddsdirektivet och brottsdatalagen.
I brottsdatalagen definieras en behörig myndighet som en myndighet som har till uppgift att förebygga, förhindra eller upptäcka brottslig verksamhet, utreda eller lagföra brott, verkställa straffrättsliga påföljder, eller upprätthålla allmän ordning och säkerhet. Som behörig myndighet ska också förstås en annan aktör som anförtrotts att utöva myndighet för något av dessa syften (1 kap. 6 §).
Myndigheter som arbetar med bl.a. brottsbekämpande verksamhet, som exempelvis Polismyndigheten eller Åklagarmyndigheten, behöver ibland stöd från myndigheter med annan kompetens än den som finns inom den egna verksamheten. Det kan röra sig om medicinsk, psykiatrisk eller viss forensisk kompetens. De myndigheter som har en författningsreglerad skyldighet att biträda behöriga myndigheter med särskild kompetens eller särskilda resurser bör anses som behöriga myndigheter när de utför dessa uppgifter. För behandling av personuppgifter ska i dessa fall brottsdatalagen tillämpas (se prop. 2017/18:232 s. 112).
Rättsmedicinalverket ansvarar för rättspsykiatrisk, rättskemisk, rättsmedicinsk och rättsgenetisk verksamhet i den utsträckning sådana frågor inte ska handläggas av någon annan statlig myndighet (1 § förordningen [2007:976] med instruktion för Rättsmedicinalverket). Verket ska bl.a. ansvara för rättspsykiatriska undersökningar i brottmål och läkarintyg som avses i 7 § personutredningslagen, rättsmedicinska obduktioner och andra rättsmedicinska undersökningar, utfärdande av intyg enligt lagen (2005:225) om rättsintyg i anledning av brott, rättsmedicinsk medverkan på begäran av domstol, allmän åklagare, Polismyndigheten eller Säkerhetspolisen, rättskemiska och rättsgenetiska undersökningar, rättsmedicinska åldersbedömningar samt utredningar om risk för återfall i brottslighet enligt lagen (2006:45) om omvandling av fängelse på livstid (2 § i instruktionen).
Rättsmedicinalverkets arbete är av central betydelse för den brottsutredande verksamhet som bedrivs vid Polismyndigheten och av åklagare, men också för t.ex. domstolarnas påföljdsbestämning i mål där fråga är om den tilltalade kan dömas till fängelse eller om påföljden i stället bör vara rättspsykiatrisk vård. Många av de uppgifter som Rättsmedicinalverket svarar för kan inte utföras av någon annan aktör och samarbetet med de myndigheter som lämnar uppdrag till verket är nära. Rättsmedicinalverket har således en viktig funktion att fylla på det straffrättsliga området, men myndigheten är en självständig aktör och kan inte alltid med självklarhet betraktas som ett led i exempelvis en brottsförebyggande eller brottsutredande verksamhet.
I Rättsmedicinalverkets instruktion finns inget uppdrag att förebygga, förhindra eller upptäcka brottslig verksamhet, utreda eller lagföra brott eller verkställa straffrättsliga påföljder. Vid utförandet av de uppgifter som nyss nämnts kan Rättsmedicinalverket dock sägas fylla en stödfunktion för den brottsbekämpande verksamhet som bedrivs vid främst Polismyndigheten och Åklagarmyndigheten. Även när det gäller domstolarnas påföljdsbestämning kan Rättsmedicinalverkets verksamhet med att genomföra rättspsykiatriska undersökningar sägas utgöra en stödfunktion i syfte att lagföra brott. I ärenden vid Rättsmedicinalverket där det bakomliggande syftet med behandlingen är de ändamål som anges i 1 kap. 2 § brottsdatalagen, dvs. att förebygga, förhindra eller upptäcka brottslig verksamhet, utreda eller lagföra brott eller verkställa straffrättsliga påföljder, är därför dataskyddsdirektivet och brottsdatalagen tillämpliga. Att Rättsmedicinalverket, när verket behandlar personuppgifter för något av de syften som omfattas av dataskyddsdirektivet, som utgångspunkt ska tillämpa brottsdatalagen, stämmer väl överens med det bakomliggande syftet med dataskyddsdirektivet. Genom en sådan tillämpning kan behandlingen av personuppgifter genom hela brottmålsprocessen omfattas av samma regler och samma skyddsnivå kan säkerställas mellan de olika myndigheter som är involverade.
Regeringen anser i likhet med Rättsmedicinalverket att samtliga drogfrihetsanalyser som görs inom ramen för verkställighet av en straffrättslig påföljd faller inom dataskyddsdirektivet tillämpningsområde. Exempel på sådana prov är de som analyseras på begäran av Kriminalvården om provet avser en person som är intagen på kriminalvårdsanstalt eller som på något annat sätt verkställer en straffrättslig påföljd. Sådana analyser kan även utföras på uppdrag av socialtjänsten. Provtagningen, som normalt sett inte genomförs av Rättsmedicinalverket, är ett led i straffverkställigheten och verket fyller vid analysen av provet en sådan stödfunktion som behandlas ovan. Rättsmedicinalverkets behandling av personuppgifter i sådana ärenden om drogfrihetsanalyser bör därför anses falla inom dataskyddsdirektivets tillämpningsområde. Fler exempel på gränsdragningen mellan vilket regelverk - dataskyddsförordningen eller brottsdatalagen - som typiskt sett bör tillämpas återfinns i författningskommentaren till 1 kap. 4 § i den nu föreslagna lagen.
6.3 En lag om behandling av personuppgifter i Rättsmedicinalverkets verksamhet
6.3.1 Normgivningsnivå och författningens namn
Regeringens förslag: De huvudsakliga bestämmelserna om behandling av personuppgifter i Rättsmedicinalverkets verksamhet ska tas in i en ny lag om Rättsmedicinalverkets behandling av personuppgifter.
Utredningens förslag överensstämmer i huvudsak med regeringens. Utredningen föreslår att lagen ska benämnas Rättsmedicinalverkets datalag.
Remissinstanserna: Ingen remissinstans yttrar sig särskilt i denna del.
Skälen för regeringens förslag
Allmänt om bestämmelserna i regeringsformen
I målsättningsstadgandet i 1 kap. 2 § första stycket regeringsformen slås det fast att den offentliga makten ska utövas med respekt bl.a. för den enskilda människans frihet och i fjärde stycket anges bl.a. att det allmänna ska värna den enskildes privatliv och familjeliv.
Grundlagens regler om hur normgivningsmakten är fördelad mellan riksdagen och regeringen finns i huvudsak i 8 kap. regeringsformen. Föreskrifter meddelas av riksdagen genom lag och av regeringen genom förordning. Föreskrifter ska meddelas genom lag bl.a. om de avser skyldigheter för enskilda eller ingrepp i enskildas personliga eller ekonomiska förhållanden (8 kap. 2 § första stycket 2). Kravet på att sådana föreskrifter ska ha lagform är dock inte obligatoriskt. Riksdagen kan med vissa undantag som inte är aktuella här bemyndiga regeringen att meddela föreskrifterna (8 kap. 3 §). Regeringen får i övrigt meddela bl.a. sådana föreskrifter som inte enligt grundlag ska meddelas av riksdagen (8 kap. 7 §). Denna föreskriftsrätt brukar kallas för regeringens restkompetens.
Att det allmänna behandlar personuppgifter om enskilda anses inte innebära någon skyldighet för den enskilde eller något ingrepp i enskildas personliga förhållanden i den mening som avses i 8 kap. 2 § första stycket 2. Bestämmelser om personuppgiftsbehandling som utförs av statliga myndigheter under regeringen har därmed i princip ansetts kunna beslutas av regeringen med stöd av dess restkompetens enligt 8 kap. 7 § första stycket 2 regeringsformen (se prop. 2017/18:105 s. 26).
Både riksdagen och regeringen har tidigare uttalat att myndighetsregister som innehåller ett stort antal registrerade och har ett särskilt känsligt innehåll bör regleras i lag, även om lagform inte krävs enligt regeringsformen (bet. 1990/91:KU11 s. 11 och 1997/98:KU18 s. 48 och prop. 1990/91:60 s. 58 och prop. 1997/98:44 s. 41).
Sedan 2011 gäller ett utökat grundlagsskydd för den personliga integriteten enligt 2 kap. 6 § andra stycket regeringsformen. Där anges att var och en gentemot det allmänna är skyddad mot betydande intrång i den personliga integriteten, om det sker utan samtycke och innebär övervakning eller kartläggning av den enskildes personliga förhållanden. Enligt 2 kap. 20 § regeringsformen får skyddet begränsas genom lag under de förutsättningar som anges i 2 kap. 21 § regeringsformen. Skyddet får således inte begränsas genom förordning.
Omfattas behandlingen av personuppgifter i Rättsmedicinalverkets verksamhet av 2 kap. 6 § andra stycket regeringsformen?
Inledningsvis kan det konstateras att de uppgifter som behandlas i Rättsmedicinalverkets verksamhet rör enskildas personliga förhållanden i den mening som avses i 2 kap. 6 § andra stycket regeringsformen. Begreppet har samma innebörd som i sekretesslagstiftningen och omfattar bl.a. namn och andra identifikationsuppgifter, adress, familjeförhållanden, hälsa och vandel. Även fotografisk bild omfattas av uttrycket (prop. 2009/10:80 s. 177).
Av förarbetena till grundlagsbestämmelsen framgår också att begreppet samtycke bör bedömas på samma sätt som motsvarande krav enligt bestämmelsen om förbud mot åsiktsregistrering i 2 kap. 3 § första stycket regeringsformen. Vidare uttalas att de krav på ett samtycke som följde av personuppgiftslagstiftningen kunde tjäna som vägledning (prop. 2009/10:80 s. 179). Som regeringen konstaterar i avsnitt 6.3.9 är möjligheten för en myndighet att på dataskyddsförordningens område använda sig av samtycke som grund för behandling av personuppgifter begränsad. Enligt dataskyddsdirektivet är inte samtycke en laglig grund för behandling (se artikel 8). Merparten av Rättsmedicinalverkets personuppgiftsbehandling måste anses ske utan ett sådant samtycke från den enskilde som avses i 2 kap. 6 § andra stycket regeringsformen.
Avgörande för bedömningen av om en åtgärd ska anses innebära övervakning eller kartläggning i den mening som avses i 2 kap. 6 § andra stycket regeringsformen är inte det huvudsakliga syftet utan åtgärdens effekt. Vad som avses med övervakning respektive kartläggning får bedömas utifrån vad som enligt normalt språkbruk läggs i dessa begrepp. Enligt förarbetena till 2 kap. 6 § andra stycket regeringsformen är uppgifter i myndighetsspecifika verksamhetsregister och databaser med information som är knuten till en myndighets ärendehantering i många fall tillgängliga för myndigheten på ett sådant sätt att lagringen och behandlingen av uppgifterna kan sägas innebära att enskilda kartläggs, även om det huvudsakliga ändamålet med behandlingen är ett helt annat (prop. 2009/10:80 s. 180 och 250).
Vid Rättsmedicinalverket förekommer en rad olika ärendetyper och verket behandlar många olika slag av uppgifter. I samtliga ärendetyper förekommer regelmässigt uppgifter för att identifiera den person som ärendet gäller. I stor utsträckning behandlar verket även mycket integritetskänsliga uppgifter, exempelvis uppgifter om enskildas hälsa eller misstankar om brott. Dessa kommer till stor del från olika myndigheter inom rättsväsendet som Rättsmedicinalverket arbetar på uppdrag av, t.ex. Polismyndigheten och Åklagarmyndigheten. Även bl.a. Migrationsverket, socialnämnder och Statens institutionsstyrelse lämnar integritetskänsliga uppgifter om bl.a. narkotikaanvändning och sjukdomar till Rättsmedicinalverket. Inte endast uppgifter om de personer som är föremål för Rättsmedicinalverkets undersökningar eller analyser förekommer, utan även uppgifter om anhöriga till dessa personer. Rättsmedicinalverket använder sig av ett flertal olika informationsstöd i sin ärendehandläggning, bl.a. olika register och databaser. Regeringens bedömning är att den personuppgiftsbehandling som sker inom ramen för Rättsmedicinalverkets verksamhet får anses innefatta en sådan kartläggning av enskildas personliga förhållanden som avses i 2 kap. 6 § andra stycket regeringsformen, även om syftet med behandlingen är ett annat.
Den avgörande frågan är då om det intrång i den personliga integriteten som behandlingen kan innebära är betydande. Det är bara vissa kvalificerade intrång som omfattas av grundlagsskyddet. Enligt förarbetena till grundlagsbestämmelsen bör flera omständigheter vägas in vid denna bedömning. Stor vikt ska läggas vid uppgifternas karaktär. Ju känsligare uppgifterna är, desto mer ingripande måste hanteringen normalt sett anses vara. Vid bedömningen av intrångets karaktär är det också naturligt att stor vikt läggs vid ändamålet med behandlingen. En hantering som syftar till att utreda brott kan normalt anses vara mer känslig än t.ex. en hantering som uteslutande sker för att ge en myndighet underlag för förbättringar av kvaliteten i handläggningen. Därutöver kan mängden uppgifter vara en betydelsefull faktor, liksom omfattningen av utlämnande av personuppgifter till andra, som sker utan omedelbart stöd av offentlighetsprincipen (prop. 2009/10:80 s. 183 och 184).
Som framhålls ovan behandlar Rättsmedicinalverket i stor utsträckning integritetskänsliga uppgifter. När Rättsmedicinalverket har fullgjort ett uppdrag redovisas detta till uppdragsgivaren, t.ex. när en rättspsykiatrisk undersökning redovisas till en domstol, varvid personuppgifter lämnas ut till uppdragsgivaren. Rättsmedicinalverket agerar då ofta i sin roll som stödfunktion för den brottsbekämpande och lagförande verksamhet som sker inom rättsväsendet. Med beaktande av främst dessa förhållanden, dvs. uppgifternas karaktär, ändamålet med behandlingen och det omfattande utlämnandet av känsliga uppgifter, gör regeringen bedömningen att i vart fall en stor del av Rättsmedicinalverkets personuppgiftsbehandling innebär ett sådant betydande intrång som avses i 2 kap. 6 § andra stycket regeringsformen.
Av 2 kap. 20-21 §§ regeringsformen följer bl.a. att enskildas skydd mot sådana intrång får begränsas genom lag endast för att tillgodose ändamål som är godtagbara i ett demokratiskt samhälle. Begränsningen får aldrig gå utöver vad som är nödvändigt med hänsyn till det ändamål som har föranlett den och inte heller sträcka sig så långt att den utgör ett hot mot den fria åsiktsbildningen såsom en av folkstyrelsens grundvalar.
Den nya reglering om Rättsmedicinalverkets personuppgiftsbehandling som nu föreslås syftar till att balansera verkets behov av effektiva arbetsformer och ett starkt skydd för enskildas personliga integritet. Rättsmedicinalverket fullgör viktiga samhällsuppgifter, bl.a. som en betydelsefull aktör i samhällets strävan att utreda och lagföra brott, och för att kunna utföra dessa uppgifter behöver verket behandla personuppgifter. En begränsning av skyddet i 2 kap. 6 § andra stycket regeringsformen för ändamålet att Rättsmedicinalverket ska kunna fullgöra sina åligganden är godtagbart i ett demokratiskt samhälle. Genom den aktuella lagen säkerställs att den tillåtliga behandlingen av personuppgifter inte går längre än vad som är nödvändigt för att uppnå detta ändamål. Sammanfattningsvis innebär det att den föreslagna regleringen är förenlig med regeringsformens krav.
Ramarna för Rättsmedicinalverkets personuppgiftsbehandling måste slås fast i lag. Även de bestämmelser som är av central betydelse för integritetsskyddet bör ges lagform. Det finns dock alltjämt utrymme att reglera viss annan personuppgiftsbehandling på lägre normgivningsnivå.
Den lag med bestämmelser om Rättsmedicinalverkets personuppgiftsbehandling som nu föreslås bör ha ett enkelt och tydligt namn. Som framhålls i avsnitt 6.3.2 är det viktigt att så långt som möjligt eftersträva en likartad systematik i alla de lagar och förordningar som relegerar personuppgiftsbehandling. Mot bakgrund av de namn som registerförfattningarna på närliggande områden givits anser regeringen att lagen bör benämnas lag om Rättsmedicinalverkets behandling av personuppgifter (se prop. 2017/18:269).
6.3.2 Förhållandet till den allmänna dataskyddsregleringen och till brottsdatalagen
Regeringens förslag: I lagen införs en bestämmelse som klargör att den kompletterar EU:s dataskyddsförordning.
Det införs också en bestämmelse som anger att dataskyddslagen och föreskrifter som har meddelats i anslutning till den lagen gäller, om inte annat följer av den nu föreslagna lagen eller föreskrifter som har meddelats i anslutning till den.
Det införs vidare en bestämmelse som klargör att när Rättsmedicinalverket i egenskap av behörig myndighet enligt brottsdatalagen behandlar personuppgifter i syfte att förebygga, förhindra eller upptäcka brottslig verksamhet, utreda eller lagföra brott eller verkställa straffrättsliga påföljder, gäller brottsdatalagen och föreskrifter som har meddelats i anslutning till den, om inte annat följer av den nu föreslagna lagen eller föreskrifter som har meddelats i anslutning till lagen.
Regeringens bedömning: Behandling av personuppgifter i syfte att upprätthålla allmän ordning och säkerhet förekommer inte i Rättsmedicinalverkets verksamhet. Lagen bör därför inte innehålla några bestämmelser om personuppgiftsbehandling som sker i sådant syfte.
Utredningens förslag och bedömning överensstämmer i huvudsak med regeringens. Utredningen föreslår att lagen ska gälla i stället för dataskyddslagen och att det i lagen särskilt ska anges vilka bestämmelser i dataskyddslagen som ska gälla.
Remissinstanserna: Justitiekanslern påpekar att det är av vikt att så långt det är möjligt eftersträva en likartad systematik i alla de lagar och förordningar som reglerar personuppgiftsbehandling. I övrigt yttrar sig ingen remissinstans i sak över förslaget eller bedömningen.
Skälen för regeringens förslag
Lagens förhållande till dataskyddsförordningen
Den nu föreslagna lagen kommer att innehålla bestämmelser som kompletterar dataskyddsförordningen. Det bör införas en bestämmelse i lagen som upplyser om detta.
De hänvisningar till dataskyddsförordningen som föreslås i denna proposition bör vara dynamiska, dvs. avse förordningen i den vid varje tidpunkt gällande lydelsen. På så sätt säkerställs att eventuella ändringar i dataskyddsförordningen får omedelbart genomslag. Det kan emellertid inte uteslutas att lagen ändå kan behöva ändras i samband med framtida ändringar i förordningen.
Lagens förhållande till dataskyddslagen och brottsdatalagen
Dataskyddslagen innehåller de bestämmelser som på ett generellt plan kompletterar de direkt tillämpliga bestämmelserna i dataskyddsförordningen. Brottsdatalagen innehåller de bestämmelser som genomför dataskyddsdirektivet. Dataskyddslagen och brottsdatalagen är båda subsidiära i förhållande till bestämmelser i annan lag eller förordning.
Utredningen föreslår att lagen ska gälla i stället för dataskyddslagen och att det i lagen särskilt ska anges vilka bestämmelser i dataskyddslagen som ska tillämpas vid personuppgiftsbehandlingen hos Rättsmedicinalverket. En annan lagteknisk lösning är att dataskyddslagen gäller för personuppgiftsbehandling vid Rättsmedicinalverket, om inte annat följer av lagen eller föreskrifter som har meddelats i anslutning till den. Denna systematik har vanligtvis valts i de registerförfattningar som gäller på dataskyddsförordningens område (se t.ex. 4 § domstolsdatalagen [2015:728] och 4 b § utlänningsdatalagen [2016:27]). Som Justitiekanslern påpekar är det viktigt att eftersträva en så likartad lagstiftningsteknik som möjligt i de lagar som reglerar personuppgiftsbehandling. Vidare anser regeringen att det finns ett värde i att Rättsmedicinalverkets personuppgiftsreglering så långt det är möjligt utformas på ett enhetligt sätt oavsett om personuppgiftsbehandlingen sker inom dataskyddsdirektivets eller dataskyddsförordningens tillämpningsområde. Regeringen bedömer dessutom att dataskyddslagens bestämmelser i stora delar är relevanta och att det i förhållandevis begränsad utsträckning krävs undantag från dataskyddslagens reglering. Sammantaget talar alltså övervägande skäl för att dataskyddslagen bör gälla vid behandling av personuppgifter enligt lagen, om inte annat följer av den eller anslutande föreskrifter. Regeringen föreslår således en annan lagteknisk lösning än utredningen.
Den lagtekniska lösning som regeringen föreslår innebär att det inte behövs några sådana hänvisningar till bestämmelser i dataskyddslagen som utredningen föreslår. Utredningens förslag till hänvisningar i fråga om känsliga personuppgifter behandlas i avsnitt 6.3.12. När det gäller övriga hänvisningar, exempelvis till bestämmelserna om administrativa sanktionsavgifter och skadestånd, instämmer regeringen i utredningens bedömning att aktuella bestämmelser i dataskyddslagen bör gälla i Rättsmedicinalverkets verksamhet. Att bestämmelserna i dataskyddslagen blir tillämpliga följer av att regeringens förslag innebär att dataskyddslagen ska gälla vid behandling av personuppgifter enligt lagen om inte annat följer av den eller anslutande föreskrifter.
Även i de fall det inte finns avvikande bestämmelser i den nu föreslagna lagen, kan vissa bestämmelser i dataskyddslagen sakna betydelse för myndigheternas behandling av personuppgifter. Den av utredningen utpekade bestämmelsen om behandling för arkivändamål av personuppgifter som rör lagöverträdelser, 3 kap. 8 § andra stycket, är exempelvis inte relevant för Rättsmedicinalverket eftersom den tar sikte på behandling som utförs av andra än myndigheter, se prop. 2017/18:105 s. 117. Sådana bestämmelser blir därmed inte aktuella för Rättsmedicinalverket att tillämpa, även om detta inte uttryckligen regleras i lagen.
Registerförfattningarna för bl.a. domstolarna, Kriminalvården, Polismyndigheten, Kustbevakningen, åklagarväsendet, Tullverket och Skatteverket har utformats på så sätt att de gäller utöver brottsdatalagen. Regeringen instämmer i utredningens förslag att även den nu föreslagna lagen enbart bör innehålla bestämmelser som innebär preciseringar, undantag eller avvikelser från brottsdatalagen. För att uppnå större enhetlighet i förhållande till den bestämmelse som anger hur lagen förhåller sig till dataskyddslagen anser regeringen dock att en delvis annan lagteknisk lösning bör väljas. Denna har i stort utformats på samma sätt som motsvarande bestämmelse i lagen (2006:444) om passagerarregister.
Brottsdatalagen omfattar, som nämns ovan, bl.a. personuppgifts-behandling som en behörig myndighet utför i syfte att upprätthålla allmän ordning och säkerhet (1 kap. 2 § brottsdatalagen). Det är framför allt Polismyndigheten som har i uppdrag att skydda allmänheten mot hot mot den allmänna säkerheten. Rättsmedicinalverket utför inga uppdrag i syfte att upprätthålla allmän ordning och säkerhet. Tillämpningsområdet för lagen bör inte vara mer vidsträckt än nödvändigt och inte omfatta fler situationer än som i praktiken kan uppstå. Lagen bör därför inte innehålla några bestämmelser om behandling av personuppgifter i syfte att upprätthålla allmän ordning och säkerhet.
6.3.3 Förhållandet till andra författningar
Regeringens förslag: Lagen ska inte tillämpas när personuppgifter behandlas med stöd av lagen om rättspsykiatriskt forskningsregister, lagen om etikprövning av forskning som avser människor eller patientdatalagen. Lagen ska innehålla en bestämmelse som upplyser om att det finns bestämmelser om Rättsmedicinalverkets behandling av personuppgifter i elimineringsdatabasen i den föreslagna lagen om Rättsmedicinalverkets elimineringsdatabas.
Regeringens bedömning: Den föreslagna lagen ska gälla även för den behandling av personuppgifter i Rättsmedicinalverkets verksamhet som sker genom kamerabevakning.
Utredningens förslag överensstämmer delvis med regeringens förslag. Utredningen föreslår att den föreslagna lagen inte ska tillämpas när personuppgifter behandlas med stöd av kameraövervakningslagen (2013:460). Vidare föreslår utredningen inte någon upplysningsbestämmelse angående lagen om Rättsmedicinalverkets elimineringsdatabas.
Remissinstanserna: Ingen remissinstans yttrar sig särskilt i denna del.
Skälen för regeringens förslag och bedömning: Bestämmelser om behandling av personuppgifter finns i lagen (1999:353) om rättspsykiatriskt forskningsregister, lagen (2003:460) om etikprövning av forskning som avser människor och patientdatalagen (2008:355). Rättsmedicinalverket kan inom ramen för sitt uppdrag utföra åtgärder som omfattas av nämnda lagars tillämpningsområde. När så är fallet bör dessa lagar, som är utformade för sitt specifika område, tillämpas i stället för den nu föreslagna lagen, som är av mer generell karaktär.
Den kamerabevakning som förekommer vid Rättsmedicinalverket, t.ex. vid verkets utredningsenheter på det rättspsykiatriska verksamhetsområdet, får anses utgöra en integrerad del av myndighetens verksamhet. Kameraövervakningslagen har ersatts av kamerabevakningslagen (2018:1200) som trädde i kraft den 1 augusti 2018. Kameraövervakningslagen gällde i stället för den tidigare generella dataskyddsregleringen i personuppgiftslagen och innehöll en mer omfattande reglering än den nuvarande kamerabevakningslagen. Den sistnämnda lagen kompletterar i stället övrig dataskyddsreglering. Mot den bakgrunden anser regeringen att den föreslagna lagen bör tillämpas även för den behandling av personuppgifter som sker vid kamerabevakning i Rättsmedicinalverkets verksamhet.
Av tydlighetsskäl bör lagen vidare innehålla en bestämmelse som upplyser om att det i lagen om Rättsmedicinalverkets elimineringsdatabas finns bestämmelser om den behandling av personuppgifter som sker i databasen.
6.3.4 Utgångspunkter för den nya lagen
Regeringens bedömning: Bestämmelserna om behandling av personuppgifter i Rättsmedicinalverkets verksamhet bör samlas i en lag, som omfattar både den personuppgiftsbehandling som faller inom dataskyddsförordningens tillämpningsområde och den behandling som faller inom brottsdatalagens tillämpningsområde.
Den terminologi som används i lagen bör så långt det är möjligt stämma överens med de uttryck och begrepp som används i dataskyddsförordningen, dataskyddslagen, dataskyddsdirektivet och brottsdatalagen.
Utredningens bedömning överensstämmer med regeringens.
Remissinstanserna: Polismyndigheten anför att den omständigheten att lagen tar ett helhetsgrepp och förhåller sig till såväl dataskyddsförordningen som dataskyddsdirektivet förhoppningsvis kommer att underlätta i rättstillämpningen. Justitiekanslern framhåller att det är viktigt att så långt som möjligt eftersträva en likartad systematik i alla de lagar och förordningar som reglerar personuppgiftsbehandling. I övrigt yttrar sig ingen remissinstans särskilt över bedömningen.
Skälen för regeringens bedömning
En sammanhållen lag
Den EU-rättsliga dataskyddsreformen ger upphov till ett regelkomplex som till sin struktur kan uppfattas som relativt komplicerat. Så är särskilt fallet för myndigheter som Rättsmedicinalverket, där både dataskyddsförordningens och dataskyddsdirektivets bestämmelser är tillämpliga. För en del av de myndigheter vars verksamhet till stor del faller under direktivets tillämpningsområde har det införts två separata registerförfattningar (prop. 2017/18:269). En lag reglerar då personuppgiftsbehandlingen på förordningens område och en annan innehåller motsvarande bestämmelser på direktivets område.
Frågan är om de bestämmelser som nu föreslås bör vara intagna i en och samma lag eller om de i stället bör delas upp i en brottsdatalag för Rättsmedicinalverket och en lag om övrig behandling av personuppgifter för Rättsmedicinalverket. Av betydelse vid den bedömningen är att de särbestämmelser som behövs i Rättsmedicinalverkets verksamhet till viss del är desamma, oavsett om det är fråga om behandling av personuppgifter på dataskyddsförordningens eller dataskyddsdirektivets tillämpningsområde. Av det skälet kan det vara en fördel med en lag, i stället för två som i så fall delvis skulle behöva vara likalydande. De båda EU-rättsliga dataskyddsregleringarna kommer dock också att kräva överväganden som i vissa avseenden skiljer sig åt beroende på i vilket syfte personuppgiftsbehandlingen sker. Sådana särregleringar kan emellertid, som utredningen föreslår, lämpligen placeras i ett kapitel för bestämmelser som gäller på dataskyddsförordningens område och ett annat för bestämmelser på brottsdatalagens. Regeringen bedömer att en sammanhållen registerförfattning med en sådan struktur är det lämpligaste alternativet.
Terminologi
Som Justitiekanslern framhåller är en likartad systematik i författningarna på dataskyddsområdet önskvärd. Detta underlättar tillämpningen av regleringen. Av den anledningen bör uttryck och begrepp i den lag för personuppgiftsbehandling vid Rättsmedicinalverket som nu föreslås så långt det är möjligt anpassas till den terminologi som används i dataskyddsförordningen, dataskyddslagen, dataskyddsdirektivet och brottsdatalagen.
6.3.5 Lagens syfte
Regeringens bedömning: Det saknas behov av att införa en särskild bestämmelse om lagens syfte.
Utredningens förslag överensstämmer inte med regeringens bedömning. Utredningen föreslår att lagen ska innehålla en särskild syftesbestämmelse.
Remissinstanserna: Datainspektionen påpekar att formuleringen av syftet avviker något från dataskyddsdirektivets formulering och menar att det bör övervägas att i lagen tydliggöra att ett syfte med lagen särskilt ska vara att skydda fysiska personers personliga integritet vid behandling av personuppgifter. Polismyndigheten påpekar att det av både bestämmelsen som reglerar lagens syfte och lagens tillämpningsområde framgår att lagen gäller behandling av personuppgifter i Rättsmedicinalverkets verksamhet och att det bör vara tillräckligt att ange detta i en av dessa bestämmelser.
Skälen för regeringens förslag: Dataskyddsförordningens syfte återfinns i artikel 1. Där slås fast att förordningen fastställer bestämmelser om skydd för fysiska personer med avseende på behandling av personuppgifter och om det fria flödet av personuppgifter. Där anges vidare att förordningen skyddar fysiska personers grundläggande rättigheter och friheter, särskilt deras rätt till skydd av personuppgifter. Det fria flödet av personuppgifter inom unionen får varken begränsas eller förbjudas av skäl som rör skyddet för fysiska personer med avseende på behandlingen av personuppgifter. Förordningens syftesbestämmelse är direkt tillämplig för Rättsmedicinalverket vid behandling av personuppgifter på förordningsområdet.
Syftesbestämmelsen i dataskyddsdirektivet är snarlik. Av artikel 1.2 i direktivet framgår att direktivets syfte är att skydda fysiska personers grundläggande rättigheter och friheter, särskilt deras rätt till skydd av personuppgifter. Dessutom ska direktivet säkerställa att behöriga myndigheters utbyte av personuppgifter inom unionen, när sådant utbyte krävs enligt unionsrätten eller nationell rätt, varken begränsas eller förbjuds av skäl som rör skyddet för fysiska personer med avseende på behandlingen av personuppgifter. Mot bakgrund av dataskyddsdirektivets syftesbestämmelse, anges i brottsdatalagen att syftet med lagen är att skydda fysiska personers grundläggande fri- och rättigheter i samband med behandling av personuppgifter och att säkerställa att behöriga myndigheter kan behandla och utbyta personuppgifter med varandra på ett ändamålsenligt sätt (1 kap. 1 § andra stycket).
När den kompletterande lagstiftningen till brottsdatalagen infördes gjorde regeringen bedömningen att det inte behövdes några syftesbestämmelser (prop. 2017/18:269 s. 104-105), eftersom registerförfattningarna ska läsas tillsammans med brottsdatalagen. Regeringen konstaterade att det därför inte fanns skäl att i registerförfattningarna införa bestämmelser som anger att syftet med lagen i stort sett är detsamma som det övergripande syftet med brottsdatalagen.
Regeringen anser mot denna bakgrund att det saknas skäl att införa en särskild bestämmelse om lagens syfte.
6.3.6 Lagens tillämpningsområde
Regeringens förslag: Lagen ska gälla vid behandling av personuppgifter i Rättsmedicinalverkets verksamhet. Lagen ska gälla endast om behandlingen är helt eller delvis automatiserad eller om personuppgifterna ingår i eller kommer att ingå i ett register.
Utredningens förslag överensstämmer i sak med regeringens.
Remissinstanserna: Ingen remissinstans yttrar sig särskilt i denna del.
Skälen för regeringens förslag: Lagen bör, som utgångspunkt och med de undantag som uttryckligen anges (se avsnitt 6.3.3), vara tillämplig för all behandling av personuppgifter i Rättsmedicinalverkets verksamhet. Om inte annat anges ska lagen således tillämpas på personuppgiftsbehandling inom verkets samtliga verksamhetsområden och ärendeslag. Även behandling av en utomstående aktör som Rättsmedicinalverket gett i uppdrag att utföra en uppgift som åvilar verket anses ske i verkets verksamhet och faller således inom lagens tillämpningsområde. I dessa situationer agerar uppdragstagaren som personuppgiftsbiträde i förhållande till Rättsmedicinalverket (se vidare avsnitt 6.3.8).
Den föreslagna lagen bör i likhet med den EU-rättsliga dataskyddsregleringen endast vara tillämplig vid helt eller delvis automatiserad behandling av personuppgifter samt icke-automatiserad behandling som avser vissa strukturerade uppgiftssamlingar. Utredningen föreslår att uttrycket "en strukturerad samling av personuppgifter som är tillgängliga för sökning eller sammanställning enligt särskilda kriterier" ska användas för att beteckna dessa uppgiftssamlingar. Detta uttryck används bl.a. i 1 kap. 3 § brottsdatalagen. I dataskyddsförordningen (artiklarna 2.1 och 4.6) och i dataskyddsdirektivet (artiklarna 2.2 och 3.6) används emellertid begreppet "register" för uppgiftssamlingar av detta slag. Registerbegreppet återfinns också i flera registerförfattningar främst på dataskyddsförordningens område, t.ex. vägtrafikdatalagen (2019:369). Eftersom den föreslagna lagen ska gälla både inom dataskyddsförordningens och brottsdatalagens område talar övervägande skäl för att detta begrepp bör användas. Lagen bör alltså gälla för sådan behandling av personuppgifter som är helt eller delvis automatiserad och för annan behandling av personuppgifter som ingår i eller kommer att ingå i ett register. Detta innebär inte någon skillnad i sak i förhållande till utredningens förslag.
6.3.7 Dataskyddsregleringen ska i tillämpliga delar även gälla vid behandling av uppgifter om avlidna
Regeringens förslag: I tillämpliga delar ska lagen om Rättsmedicinalverkets behandling av personuppgifter, EU:s dataskyddsförordning, dataskyddslagen, brottsdatalagen och föreskrifter som meddelats i anslutning till dessa lagar gälla även vid behandling av uppgifter om avlidna i Rättsmedicinalverkets verksamhet.
Utredningens förslag överensstämmer i huvudsak med regeringens.
Remissinstanserna: Endast ett fåtal remissinstanser yttrar sig i denna del. Datainspektionen tillstyrker förslaget, men efterfrågar att det tydligare i lagtexten anges vilka delar av lagen som ska gälla för avlidna. Kammarrätten i Stockholm påpekar att förslaget kan komma att innebära att uppgifter om avlidna omfattas av det integritetsskyddande regelverket vid Rättsmedicinalverket men sedan inte skyddas på motsvarande sätt när de efter att ha förts över av verket behandlas av andra myndigheter och väcker frågan om det är en lämplig ordning. Polismyndigheten efterfrågar ett förtydligande avseende huruvida förslaget innebär någon förändring av hur länge Rättsmedicinalverket kan behandla uppgifter om avlidna.
Skälen för regeringens förslag: Varken dataskyddsförordningen eller dataskyddsdirektivet gäller avlidna personer (skäl 27 i förordningen och 1 kap. 6 § brottsdatalagen). Medlemsstaterna får dock enligt förordningen fastställa bestämmelser för behandling av uppgifter även rörande avlidna. Samma rätt torde vara förbehållen medlemsstaterna även inom direktivets tillämpningsområde. Något hinder mot att lagen i tillämpliga delar även ska omfatta uppgifter om avlidna personer finns, som utredningen konstaterar, således inte. Vid Rättsmedicinalverket förekommer uppgifter om avlidna personer i relativt stor utsträckning. Det rör sig ofta om uppgifter som är särskilt känsliga, t.ex. uppgifter om personer som utsatts för grov brottslighet. Det förekommer också uppgifter om enskildas psykiska eller fysiska hälsa, vilket kan innefatta information om exempelvis allvarlig sjukdom. För efterlevande kan det vara betydelsefullt att sådana uppgifter skyddas. De uppgifter om avlidna som kan förekomma vid Rättsmedicinalverket är regelmässigt så känsliga att det framstår som angeläget att sådana uppgifter kan omfattas av skyddsreglerna i den förslagna lagen. Det kan också konstateras att en sådan reglering skulle ligga väl i linje med de bestämmelser i lagen (1995:832) om obduktion m.m., som tillämpas i Rättsmedicinalverkets rättsmedicinska verksamhet, och som anger att åtgärder enligt lagen ska fullgöras med respekt för den avlidne (1 § andra stycket). Att uppgifterna, såsom Kammarrätten i Stockholm påpekar, inte skyddas på motsvarande sätt sedan de lämnats ut till andra myndigheter utgör enligt regeringen inte skäl att avstå från att införa en sådan ordning. Att lagen, i tillämpliga delar, gäller även uppgifter om avlidna personer bidrar också till att upprätthålla den frid som bör tillkomma en avliden person (jfr 5 kap. 4 § brottsbalken).
Eftersom dataskyddsförordningen, dataskyddslagen och brottsdatalagen inte omfattar behandling av uppgifter om avlidna personer, bör den lag som regeringen nu föreslår utsträcka tillämpningsområdet för dessa regelverk när det gäller uppgiftsbehandling vid Rättsmedicinalverket. Något hinder mot det finns inte och det är nödvändigt för att bestämmelser om bl.a. tillåtna rättsliga grunder, grundläggande krav på behandlingen och tillsyn ska bli tillämpliga även när det gäller behandling av uppgifter om avlidna personer. Även brottsdataförordningen (2018:1202) och förordningen (2018:219) med kompletterande bestämmelser till EU:s dataskyddsförordning innehåller bestämmelser som kan vara relevanta när Rättsmedicinalverket behandlar uppgifter om avlidna. Brottsdataförordningen innehåller t.ex. föreskrifter om tillgången till personuppgifter och anmälan av personuppgiftsincidenter. Vidare är det en fördel om uppgifter om avlidna i så stor utsträckning som möjligt behandlas på samma sätt som personuppgifter i Rättsmedicinalverkets verksamhet. Enligt regeringen bör därför även föreskrifter som meddelats i anslutning till dataskyddslagen, brottsdatalagen och lagen om Rättsmedicinalverkets behandling av personuppgifter tillämpas på uppgifter om avlidna.
Bestämmelser som på något sätt kräver den registrerades agerande eller medverkan i övrigt är givetvis inte tillämpliga på avlidna personer. Någon möjlighet för efterlevande eller andra att överta rättigheter som tillkom den avlidne när denne var i livet finns inte heller. Det innebär exempelvis att bestämmelser om rätten till information, rätten till skadestånd och möjligheten att begära rättelse av registrerade personuppgifter inte är tillämpliga i förhållande till avlidna. Däremot gäller bl.a. kravet på att det ska finnas en rättslig grund för varje behandling av uppgifter och de principer som följer av artikel 4 i dataskyddsdirektivet (jfr 2 kap. 3-8 §§ brottsdatalagen) och artikel 5 i dataskyddsförordningen även vid behandling av uppgifter om avlidna. På samma sätt förhåller det sig med bestämmelser om tillsyn och sanktionsavgifter. Regeringen anser inte, till skillnad från Datainspektionen, att det krävs något ytterligare förtydligande om vilka delar av lagen som ska gälla för avlidna. Den lagtekniska lösningen är också i linje med t.ex. patientdatalagen (2008:355) där tillämpningsområdet utsträckts till att även omfatta personer som inte längre är i livet.
Polismyndigheten efterfrågar ett förtydligande avseende huruvida förslaget innebär någon förändring av hur länge Rättsmedicinalverket kan behandla uppgifter om avlidna. Vidare framhåller myndigheten att uppgifter om exempelvis dna från en avliden person som behandlas hos Rättsmedicinalverket många gånger kan vara av stor betydelse i polisiära utredningar för att kunna knyta den avlidne till brott och samtidigt avskriva misstankar mot personer som är i livet. Genom den föreslagna bestämmelsen kommer uppgifter om avlidna att, till skillnad från tidigare ordning, omfattas av det skydd för personuppgifter som gäller vid Rättsmedicinalverket och skyddet för uppgifter om avlidna utvidgas alltså jämfört med vad som gäller i dag. Brottsdatalagen gäller när Rättsmedicinalverket behandlar uppgifter för brottsbekämpande syften om inte annat följer av den föreslagna lagen. Enligt brottsdatalagen får uppgifter inte behandlas under en längre tid än vad som är nödvändigt med hänsyn till ändamålet med behandlingen (2 kap. 17 § första stycket). En bestämmelse av motsvarande innebörd finns i artikel 5.1 e i dataskyddsförordningen. Innebörden av dessa bestämmelser torde vara att Rättsmedicinalverket även fortsättningsvis kommer att kunna behandla nödvändiga uppgifter om avlidna som har betydelse för exempelvis olösta mordfall eller resningsförfaranden.
6.3.8 Rättsmedicinalverket ska vara personuppgiftsansvarigt
Regeringens förslag: Rättsmedicinalverket ska vara personuppgiftsansvarigt för behandling av personuppgifter i myndighetens verksamhet.
Regeringens bedömning: Det behövs inga bestämmelser om personuppgiftsbiträden. Bestämmelserna i dataskyddsförordningen och brottsdatalagen är tillräckliga.
Utredningens förslag och bedömning överensstämmer med regeringens.
Remissinstanserna: Ingen remissinstans yttrar sig särskilt i denna del.
Skälen för regeringens förslag
Rättsmedicinalverket bör ha ett helhetsansvar för personuppgiftsbehandlingen
Begreppet personuppgiftsansvarig är centralt inom all dataskyddsreglering. Skyldigheten att se till att behandling av personuppgifter sker i enlighet med tillämpliga bestämmelser åvilar den som är personuppgiftsansvarig och enskilda ska alltid kunna vända sig till den personuppgiftsansvarige för att göra sina rättigheter gällande.
Dataskyddsförordningen slår fast att med personuppgiftsansvarig avses en fysisk eller juridisk person, offentlig myndighet, institution eller annat organ som ensamt eller tillsammans med andra bestämmer ändamålen och medlen för behandlingen av personuppgifter (artikel 4.7). Den personuppgiftsansvarige har en rad skyldigheter enligt förordningen. Däribland kan nämnas att den personuppgiftsansvarige ska se till och kunna visa att principerna om behandlingen av personuppgifter i artikel 5 följs. Ett annat exempel är den personuppgiftsansvariges skyldighet att genomföra lämpliga tekniska och organisatoriska åtgärder för att säkerställa och kunna visa att behandlingen av personuppgifter utförs i enlighet med förordningen (artikel 24).
Även dataskyddsdirektivet innehåller en definition av begreppet personuppgiftsansvarig. Direktivet anger att med personuppgiftsansvarig avses en behörig myndighet, som ensam eller tillsammans med andra, bestämmer ändamålen och medlen för behandlingen av personuppgifter (artikel 3.8). Motsvarande bestämmelse finns i 1 kap. 6 § brottsdatalagen.
Registerförfattningar innehåller regelmässigt en reglering av vem som är personuppgiftsansvarig. En sådan bestämmelse är, såvitt gäller myndigheter, av störst vikt när det är fråga om en myndighet som är del av en större myndighetsstruktur, om det finns utrymme för tvekan kring vilken myndighet som har ansvaret för behandlingen av personuppgifter. Regleringen kan dock ha ett berättigande även i andra fall, för att förenkla för rättstillämparen och undvika otydligheter. Eftersom båda de EU-rättsliga regelverken gör det möjligt att i nationell författning ange vem som är personuppgiftsansvarig (artikel 4.7 i dataskyddsförordningen och artikel 3.8 i dataskyddsdirektivet), och det enligt regeringens mening är viktigt att detta tydligt framgår, bör en bestämmelse införas som anger att Rättsmedicinalverket är personuppgiftsansvarigt för behandling av personuppgifter i myndighetens verksamhet. I detta ligger även att Rättsmedicinalverket är personuppgiftsansvarigt för behandling inom myndighetens verksamhet som utförs av andra aktörer på uppdrag av Rättsmedicinalverket (se vidare nedan).
Inget behov av ytterligare bestämmelser om personuppgiftsbiträden
Den som är personuppgiftsansvarig är, enligt såväl dataskydds-förordningen som dataskyddsdirektivet och brottsdatalagen, ansvarig för all behandling av personuppgifter som utförs under den personuppgiftsansvariges ledning eller på dennes vägnar. Detta helhetsansvar innebär således att ansvaret för behandlingen sträcker sig till att även omfatta den personuppgiftsbehandling som utförs av ett personuppgiftsbiträde (skäl 74 i dataskyddsförordningen och skäl 50 i dataskyddsdirektivet). I 3 kap. 1 § brottsdatalagen anges att den personuppgiftsansvarige är ansvarig för all behandling av personuppgifter som utförs under dennes ledning eller på dennes vägnar.
Vid Rättsmedicinalverket förekommer i ett antal olika delar av verksamheten att personuppgiftsbiträden anlitas. Så är exempelvis fallet när det gäller rättsmedicinska åldersbedömningar. Fristående leverantörer genomför, efter Rättsmedicinalverkets upphandling, de undersökningar som ligger till grund för verkets utlåtande i åldersfrågan. Utöver avtal som reglerar själva uppdraget ingår Rättsmedicinalverket också s.k. personuppgiftsbiträdesavtal med dessa leverantörer.
Att personuppgiftsbiträden och personer som utför arbete under den personuppgiftsansvariges eller personuppgiftsbiträdets överinseende, och som får tillgång till personuppgifter, endast får behandla dessa uppgifter på instruktion från den personuppgiftsansvarige, såvida han eller hon inte är skyldig att göra det enligt unionsrätten eller medlemsstaternas nationella rätt, framgår av artikel 29 i dataskyddsförordningen. Om en behandling ska genomföras på en personuppgiftsansvarigs vägnar, ska den personuppgiftsansvarige endast anlita personuppgiftsbiträden som ger tillräckliga garantier om att genomföra lämpliga tekniska och organisatoriska åtgärder på ett sådant sätt att behandlingen uppfyller kraven i förordningen och säkerställer att den registrerades rättigheter skyddas (artikel 28.1). Personuppgiftsbiträdets hantering av personuppgifter för den personuppgiftsansvariges räkning, ska regleras genom ett avtal eller annan rättsakt som är bindande för biträdet (artikel 28.3, som också innehåller närmare föreskrifter om vad ett sådant avtal eller en sådan bindande rättsakt ska reglera).
Motsvarande bestämmelser på dataskyddsdirektivets område finns i bl.a. artikel 23, som anger att medlemsstaterna ska föreskriva att ett personuppgiftsbiträde och personer som utför arbete under den personuppgiftsansvariges eller personuppgiftsbiträdets överinseende, och som får tillgång till personuppgifter, endast får behandla dessa uppgifter enligt instruktion från den personuppgiftsansvarige, såvida han eller hon inte är skyldig att göra det enligt unionsrätten eller medlemsstaternas nationella rätt. Likaså finns i direktivet bestämmelser om anlitande av personuppgiftsbiträden och vad som ska gälla för avtal mellan den personuppgiftsansvarige och ett sådant biträde (artikel 22). Direktivets bestämmelser om personuppgiftsbiträden har genomförts genom 3 kap. 16-19 §§ brottsdatalagen.
De bestämmelser i dataskyddsförordningen och brottsdatalagen som reglerar vad som gäller när en personuppgiftsansvarig anlitar ett personuppgiftsbiträde är enligt regeringens mening tillräckliga. Något behov av att i den nu föreslagna lagen införa bestämmelser om personuppgiftsbiträden finns därför inte.
6.3.9 Rättslig grund och ändamål för behandling av personuppgifter på dataskyddsförordningens tillämpningsområde
Regeringens förslag: Rättsmedicinalverket ska få behandla personuppgifter om det är nödvändigt för att utföra myndighetens uppgifter i den rättspsykiatriska, rättskemiska, rättsmedicinska och rättsgenetiska verksamheten.
Personuppgifter som behandlas för dessa ändamål ska också få behandlas för att fullgöra uppgiftslämnande som sker i överensstämmelse med lag eller förordning.
Personuppgifterna ska även få behandlas för andra ändamål, under förutsättning att uppgifterna inte behandlas på ett sätt som är oförenligt med det ändamål för vilket uppgifterna samlades in.
Regeringens bedömning: Den behandling av personuppgifter inom dataskyddsförordningens tillämpningsområde som regleras i den förslagna lagen är nödvändig för att utföra en uppgift av allmänt intresse.
Det behövs ingen upplysning om att EU:s dataskyddsförordning anger att personuppgifter får behandlas om minst ett av de villkor som anges i artikel 6.1 i förordningen är uppfyllt eller om att personuppgifter även får behandlas om det behövs för arkivändamål av allmänt intresse, vetenskapliga eller historiska forskningsändamål eller statistiska ändamål i enligt med artikel 89.1 i dataskyddsförordningen.
Det behövs ingen bestämmelse om ytterligare behandling av personuppgifter som behandlas eller har behandlats med stöd av de bestämmelser i lagen som gäller på brottsdatalagens område.
Utredningens förslag överensstämmer i sak med regeringens. Utredningen föreslår en annan lagteknisk utformning. Utredningen föreslår bl.a. att den inledande ändamålsbestämmelsen ska innehålla en upplysning om vad som anges i artikel 6.1 i dataskyddsförordningen.
Remissinstanserna: Datainspektionen avstyrker utredningens förslag att Rättsmedicinalverket ska kunna använda samtycke enligt artikel 6.1 a och intresseavvägning enligt artikel 6.1 f som stöd för behandling av personuppgifter i sin rättspsykiatriska, rättskemiska, rättsmedicinska och rättsgenetiska verksamhet. Ingen annan remissinstans yttrar sig särskilt i denna del.
Skälen för regeringens förslag och bedömning
Rättslig grund
Av artikel 6.1 i dataskyddsförordningen framgår att behandling av personuppgifter endast är laglig om och i den mån som åtminstone ett av följande villkor är uppfyllt: a) den registrerade har lämnat sitt samtycke till att dennes personuppgifter behandlas för ett eller flera specifika ändamål, b) behandlingen är nödvändig för att fullgöra ett avtal i vilket den registrerade är part eller för att vidta åtgärder på begäran av den registrerade innan ett sådant avtal ingås, c) behandlingen är nödvändig för att fullgöra en rättslig förpliktelse som åvilar den personuppgiftsansvarige, d) behandlingen är nödvändig för att skydda intressen som är av grundläggande betydelse för den registrerade eller för en annan fysisk person, e) behandlingen är nödvändig för att utföra en uppgift av allmänt intresse eller som ett led i den personuppgiftsansvariges myndighetsutövning eller f) behandlingen är nödvändig för ändamål som rör den personuppgiftsansvariges eller en tredje parts berättigade intressen, om inte den registrerades intressen eller grundläggande rättigheter och friheter väger tyngre och kräver skydd av personuppgifter, särskilt när den registrerade är ett barn. Sistnämnda rättsliga grund får dock inte åberopas av offentliga myndigheter när de fullgör sina uppgifter.
Uppräkningen av rättsliga grunder i artikel 6.1 är uttömmande. Om ingen av de grunder som anges där är tillämplig är behandlingen inte laglig och får därmed inte genomföras. De rättsliga grunderna är i viss mån överlappande. Flera rättsliga grunder kan därför vara tillämpliga avseende en och samma behandling. För att en behandling av personuppgifter ska vara tillåten enligt artikel 6.1 b-f måste den vara nödvändig. Begreppet nödvändig är ett EU-rättsligt begrepp. Det innebär inte att någonting absolut fordras eller inte kan underlåtas utan att det är fråga om något som behövs för att på ett effektivt sätt kunna utföra arbetsuppgiften eller med andra ord att behandlingen leder till effektivitetsvinster (prop. 2017/18:105 s. 189 och prop. 2017/18:232 s. 117). I dagsläget får det mer eller mindre regelmässigt anses vara nödvändigt att använda tekniska hjälpmedel och därmed behandla personuppgifter på automatiserad väg, eftersom en manuell informationshantering inte utgör ett realistiskt alternativ för vare sig myndigheter eller företag (prop. 2017/18:105 s. 46-47 och 189).
I normalfallet utgör en myndighets uppdrag enligt författning, instruktion eller regleringsbrev en rättslig grund för behandling av personuppgifter enligt artikel 6.1 e (prop. 2017/18:105 s. 53-54). All verksamhet som myndigheter bedriver, inom ramen för sin befogenhet, anses vara av allmänt intresse. Vissa myndigheter har av riksdagen eller regeringen getts befogenhet att bedriva viss uppdragsverksamhet. Även denna typ av verksamhet är motiverad av ett allmänt intresse (prop. 2017/18:105 s. 56-59). Av 2 kap. 2 § 1 dataskyddslagen följer att en uppgift av allmänt intresse som följer av lag eller annan författning, av kollektivavtal eller av beslut som har meddelats med stöd av lag eller annan författning utgör en rättslig grund för behandling av personuppgifter.
Tydliga uppdrag att behandla personuppgifter i författning, exempelvis en myndighets instruktion, kan dock också utgöra en rättslig förpliktelse. Enligt artikel 6.1 c är personuppgiftsbehandling laglig om den är nödvändig för att fullgöra en rättslig förpliktelse som åvilar den personuppgiftsansvarige. Begreppet omfattar i första hand offentligrättsliga förpliktelser och av 2 kap. 1 § dataskyddslagen följer att en förpliktelse utgör en rättslig grund för behandling av personuppgifter om förpliktelsen följer av lag eller annan författning, av kollektivavtal eller av beslut som har meddelats med stöd av lag eller annan författning.
Enligt artikel 6.3 första stycket i dataskyddsförordningen ska de grunder för behandlingen som avses i artikel 6.1 c och e fastställas i enlighet med unionsrätten eller en medlemsstats nationella rätt som den personuppgiftsansvarige omfattas av. Med detta avses, enligt skäl 41, inte att den rättsliga grunden nödvändigtvis måste fastställas i enlighet med en av riksdagen beslutad lag. Däremot måste grunden vara fastställd i laga ordning på ett konstitutionellt korrekt sätt (prop. 2017/18:105 s. 51). Av skäl 41 följer vidare att den rättsliga grunden bör vara tydlig, precis och förutsägbar.
De uppdrag som Rättsmedicinalverket har att utföra och dess befogenheter framgår av myndighetens instruktion. Instruktionen utgör en tydlig, precis och förutsägbar rättslig grund som uppfyller kraven i artikel 6 i dataskyddsförordningen. Detta får anses gälla även 3 § i instruktionen, som anger att Rättsmedicinalverket får utföra uppdrag inom sitt ansvarsområde om verksamheten i övrigt medger det. Relevant för att avgöra vilka ärendetyper och uppdrag som kan hänföras till 3 § är 1 § i instruktionen, som anger att Rättsmedicinalverket ansvarar för rättspsykiatrisk, rättskemisk, rättsmedicinsk och rättsgenetisk verksamhet i den utsträckning sådana frågor inte ska handläggas av någon annan statlig myndighet. De båda bestämmelserna sätter alltså ramarna för vilka uppdrag Rättsmedicinalverket med stöd av 3 § i instruktionen kan åta sig
När Rättsmedicinalverket behandlar personuppgifter enligt sitt uppdrag sker detta för att utföra uppgifter av allmänt intresse eller som ett led i myndighetsutövning (artikel 6.1 e) som följer av lag eller annan författning. Även artikel 6.1 c om behandling för att fullgöra en rättslig förpliktelse kan vara tillämplig. Eftersom artikel 6.1 i dataskyddsförordningen är direkt tillämplig anser regeringen, till skillnad från utredningen, inte att det behövs någon upplysning om att personuppgifter får behandlas i Rättsmedicinalverkets verksamhet under förutsättning att minst ett av de villkor som anges i artikel 6.1 i förordningen är uppfyllt.
Datainspektionen instämmer, med åberopande av beaktandesatserna 43 och 47 i dataskyddsförordningen, inte i utredningens uppfattning att Rättsmedicinalverket ska kunna använda samtycke enligt artikel 6.1 a och intresseavvägning enligt artikel 6.1 f som stöd för behandling av personuppgifter i sin verksamhet. Regeringen konstaterar att det enligt förordningen inte är tillåtet för myndigheter att, när de fullgör sina uppgifter, behandla personuppgifter med stöd av den rättsliga grund som utgår från en avvägning mellan den ansvariges berättigade intressen och den registrerades rättigheter och intressen (artikel 6.1 andra stycket). När det gäller samtycke framhåller utredningen att den grunden för behandling kan vara tillämplig i de fall då Rättsmedicinalverket genomför utredningar på uppdrag av enskilda personer, exempelvis i faderskapsärenden som initierats av de inblandade parterna själva. I skäl 43 i dataskyddsförordningen uttrycks att samtycke inte bör anses ha lämnats frivilligt och därmed kunna utgöra en giltig rättslig grund i fall där det råder betydande ojämlikhet mellan den registrerade och den personuppgiftsansvarige, särskilt om den personuppgiftsansvarige är en offentlig myndighet och det därför är osannolikt att samtycket har lämnats frivilligt när det gäller alla förhållanden som denna särskilda situation omfattar. Utrymmet för offentliga myndigheter att använda sig av samtycke som rättslig grund för behandling av personuppgifter (artikel 6.1 a) får därför anses vara begränsat. I Rättsmedicinalverkets instruktion, där myndighetens uppdrag och befogenheter fastslås, uttrycks bl.a. särskilt uppgiften att utföra rättsgenetiska undersökningar. Även Rättsmedicinalverkets uppdragsverksamhet i form av utredningar på uppdrag av enskilda personer utgör därför, som konstateras ovan, en verksamhet av allmänt intresse.
Ändamålsbestämmelser och finalitetsprincipen
Att personuppgifter bara får samlas in för särskilda, uttryckligt angivna och berättigade ändamål är en allmän dataskyddsprincip. Enligt den s.k. finalitetsprincipen får personuppgifter inte vidarebehandlas för något annat ändamål som är oförenligt med insamlingsändamålen. Dessa principer kommer till uttryck i artiklarna 5.1 b och 6.4 i dataskyddsförordningen. Ytterligare behandling för arkivändamål av allmänt intresse, vetenskapliga eller historiska forskningsändamål eller statistiska ändamål i enlighet med artikel 89.1 ska inte anses vara oförenlig med de ursprungliga ändamålen (artikel 5.1 b).
Ändamålsbestämmelser anger den yttersta ram inom vilken uppgifter får behandlas (se t.ex. 6-7 §§ domstolsdatalagen [2015:728]). I vissa författningar delas ändamålen in i sekundära och primära ändamål. Bestämmelser om primära ändamål reglerar behandling som behövs i den berörda myndighetens egen verksamhet medan sekundära ändamål bl.a. reglerar i vilken utsträckning uppgifter som behandlas för något av de primära ändamålen får vidarebehandlas för att lämnas ut till enskilda eller till andra myndigheter. Syftet med uppdelningen i primära och sekundära ändamål är att göra det tydligt hur personuppgifter dels får användas i myndighetens egen verksamhet, dels får behandlas för att lämnas ut till andra.
Ändamålsbestämmelser är sådana specifika bestämmelser som anpassar tillämpningen av dataskyddsförordningen och säkerställer en laglig och rättvis behandling och är således tillåtna i nationell rätt enligt artikel 6.2 och 6.3 i dataskyddsförordningen. Enligt artikel 23.2 a ska dessutom lagstiftning som begränsar tillämpningsområdet för förordningens rättigheter och skyldigheter innehålla specifika ändamålsbestämmelser, när så är relevant. Genom väl avvägda ändamålsbestämmelser kan Rättsmedicinalverket ges ändamålsenliga möjligheter att behandla personuppgifter i sin verksamhet samtidigt som risken för obefogade intrång i den personliga integriteten minskar.
Regeringen bedömer mot denna bakgrund att ändamålsbestämmelser bör införas i den föreslagna lagen och att dessa ska delas upp i primära och sekundära ändamålsbestämmelser. Av den primära ändamålsbestämmelsen ska framgå att Rättsmedicinalverket får behandla personuppgifter om det är nödvändigt för att utföra myndighetens uppgifter i sin rättspsykiatriska, rättskemiska, rättsmedicinska och rättsgenetiska verksamhet. Det utgör en lämplig avgränsning som beaktar både verksamhetens behov av att behandla personuppgifter och skyddet för enskildas personliga integritet. För att leva upp till dataskyddsförordningens krav på särskilda, uttryckligt angivna och berättigade ändamål kommer Rättsmedicinalverket dock normalt också att behöva formulera mer preciserade ändamål för de specifika behandlingar av personuppgifter som sker i myndighetens verksamhet. När det gäller de sekundära ändamålen bör en allmän förutsättning vara att utlämnande till andra får ske om uppgiftslämnandet sker i överenstämmelse med lag eller förordning, dvs. med stöd av bestämmelser som påbjuder eller tillåter utlämnande. När bestämmelser som påbjuder eller tillåter utlämnande har införts får det förutsättas att det har gjorts en avvägning mellan intresset av att uppgiften lämnas ut och intresset av att skydda enskilda personers integritet, och att man vid denna avvägning funnit att uppgiften ska eller får lämnas ut.
Utredningen föreslår att det ska införas bestämmelser som uttryckligen anger att personuppgifter även får behandlas om det behövs för arkivändamål av allmänt intresse, vetenskapliga eller historiska forskningsändamål eller statistiska ändamål i enligt med artikel 89.1 i dataskyddsförordningen. Det föreslås också en uttrycklig hänvisning till dataskyddsförordningens bestämmelser om finalitetsprincipen (artiklarna 5.1 b och 6.4). Regeringens instämmer i att finalitetsprincipen bör utgöra den yttersta ramen inom vilken personuppgifter får behandlas på dataskyddsförordningens område enligt den föreslagna lagen. Regeringen anser dock inte att en hänvisning till artikel 5.1 b och 6.4 i dataskyddsförordningen eller en uttrycklig bestämmelse om behandling för arkivändamål av allmänt intresse, vetenskapliga eller historiska forskningsändamål eller statistiska ändamål bör införas i lagen. I stället bör det anges att det är tillåtet att behandla personuppgifter för andra ändamål än de som uttryckligen anges i lagen, så länge behandlingen inte är oförenlig med insamlingsändamålen. En sådan tydliggörande bestämmelse finns i många andra registerförfattningar på dataskyddsförordningens område (se t.ex. 4 § kriminalvårdsdatalagen [2018:1235]) och utgör tillsammans med uppräkningen av tillåtna ändamål i 2 kap. 1 § en lämplig ändamålsbegränsning som kan införas i nationell rätt enligt artikel 6.3 i dataskyddsförordningen (prop. 2017/18:115 s. 17).
Behandling för nya ändamål utanför brottsdatalagens område
Utredningen föreslår en bestämmelse som slår fast att personuppgifter som behandlas eller har behandlats med stöd av brottsdatalagen eller 3 kap. i den nu föreslagna lagen får behandlas med stöd av dataskyddsförordningen och de bestämmelser i lagen som rör personuppgiftsbehandling på förordningens område, i de fall sådan behandling behövs för att fullgöra uppgiftslämnande enligt lag eller förordning, eller för vissa arkivändamål. Den lagtekniska lösning som regeringen väljer innebär dock att den sekundära ändamålsbestämmelsen inte är uttömmande, vilket innebär att bestämmelsen inte ska tolkas som ett hinder mot utlämnande av personuppgifter som behandlas eller har behandlats med stöd av brottsdatalagen eller 3 kap. i lagen. Eftersom frågan om behandling för nya ändamål utanför brottsdatalagens tillämpningsområde regleras i 3 kap. i lagen genom en hänvisning till brottsdatalagen, skulle bestämmelsen som föreslås av utredningen utgöra en form av dubbelreglering. En sådan bestämmelse om utlämnande av personuppgifter som behandlas eller har behandlats med stöd av brottsdatalagen eller 3 kap. i lagen som utredningen föreslår bör därför inte införas i lagen. Att den sekundära ändamålsbestämmelsen inte är uttömmande innebär vidare att den inte utgör något hinder mot att personuppgifter som behandlas eller har behandlats med stöd av brottsdatalagen eller 3 kap. i lagen får behandlas för arkivering. Regeringen bedömer därför att inte heller sådan behandling av personuppgifter uttryckligen behöver regleras i lagens 3 kap. Motsvarande bedömning har gjorts i förarbetena till lagen (2018:1698) om domstolarnas behandling av personuppgifter inom brottsdatalagens område (prop. 2017/18:269 s. 231-232).
6.3.10 Rättslig grund och ändamål för behandling av personuppgifter på brottsdatalagens tillämpningsområde
Regeringens förslag: Rättsmedicinalverket ska få behandla personuppgifter om det är nödvändigt för att myndigheten ska kunna utföra följande uppgifter:
1. förebygga, förhindra eller upptäcka brottslig verksamhet,
2. utreda eller lagföra brott,
3. verkställa straffrättsliga påföljder, eller
4. fullgöra förpliktelser som följer av internationella åtaganden.
Det ska framgå genom en hänvisning till brottsdatalagen att personuppgifter som behandlas med stöd av lagen ska få behandlas för nya ändamål enligt de förutsättningar som anges i brottsdatalagen.
Regeringens bedömning: Det behövs ingen upplysning om att arbetsuppgiften ska framgå av lag, förordning eller ett särskilt beslut i vilket regeringen uppdragit åt Rättsmedicinalverket att ansvara för en sådan uppgift.
Utredningens förslag överensstämmer delvis med regeringens. Utredningen föreslår att regleringen i brottsdatalagen om att en arbetsuppgift ska framgå av lag, förordning eller ett särskilt beslut i vilket regeringen uppdragit åt myndigheten att utföra uppgiften ska upprepas i den nu föreslagna lagen.
Remissinstanserna: Dataskydd.net framför lagtekniska synpunkter. I övrigt yttrar sig ingen remissinstans särskilt i denna del.
Skälen för regeringens förslag och bedömning
Rättslig grund och ändamål
I artikel 8.1 i dataskyddsdirektivet anges att en behandling av personuppgifter är laglig endast om den är nödvändig för att en behörig myndighet ska kunna utföra en uppgift i syfte att förebygga, förhindra, utreda, avslöja eller lagföra brott eller verkställa straffrättsliga påföljder eller skydda mot eller förebygga och förhindra hot mot den allmänna säkerheten. Behandlingen ska ske på grundval av unionsrätt eller medlemsstaternas nationella rätt. För att uppfylla detta krav är det nödvändigt att, i den mån det inte finns tillämpliga unionsrättsliga bestämmelser, i svensk rätt ange ramarna för när behandling av personuppgifter är tillåten.
Av 2 kap. 1 § brottsdatalagen, som genomför artikel 8.1 i direktivet, framgår att personuppgifter får behandlas om det är nödvändigt för att en behörig myndighet ska kunna utföra sin uppgift att förebygga, förhindra eller upptäcka brottslig verksamhet, utreda eller lagföra brott, verkställa en straffrättslig påföljd eller upprätthålla allmän ordning och säkerhet. Arbetsuppgiften ska framgå av en lag, en förordning eller ett särskilt beslut i vilket regeringen uppdragit åt den behöriga myndigheten att ansvara för en sådan uppgift. Personuppgifter får dessutom behandlas om det är nödvändigt för diarieföring, eller om uppgifterna har lämnats till en behörig myndighet i en anmälan, ansökan eller liknande och behandlingen är nödvändig för myndighetens handläggning (2 kap. 2 § brottsdatalagen). Begreppet nödvändig är ett EU-rättsligt begrepp. Det innebär inte att någonting absolut fordras eller inte kan underlåtas utan att det är fråga om något som behövs för att på ett effektivt sätt kunna utföra arbetsuppgiften eller med andra ord att behandlingen leder till effektivitetsvinster (prop. 2017/18:105 s. 189 och prop. 2017/18:232 s. 117).
Regeringen har tidigare gjort bedömningen att registerförfattningar på brottsdatalagens område bör innehålla bestämmelser om tillåtna rättsliga grunder (prop. 2017/18:269 s. 151). En sådan bestämmelse bör införas även i Rättsmedicinalverkets registerförfattning. Den bör utformas med hänsyn tagen till de syften för vilka Rättsmedicinalverket behöver kunna behandla personuppgifter och på ett motsvarande sätt som i andra registerförfattningar på brottsdatalagens område (se t.ex. 2 kap. 1 § lagen [2018:1697] om åklagarväsendets behandling av personuppgifter inom brottsdatalagens område).
I 1-3 §§ förordningen (2007:976) med instruktion för Rättsmedicinalverket anges vilka uppgifter Rättsmedicinalverket ansvarar för. De uppgifter för vilka det är nödvändigt att Rättsmedicinalverket behandlar personuppgifter inom brottsdalagens område är av olika slag, men i merparten av fallen består uppgiften antingen i att agera stödfunktion för att utreda eller lagföra brott eller att verkställa en straffrättslig påföljd. I ärenden som utförs på uppdrag av Polismyndigheten eller allmän åklagare är Rättsmedicinalverkets uppgift oftast brottsutredande eller utförs för lagföring av brott. I de fall det är fråga om rättspsykiatriska undersökningar eller s.k. § 7-intyg är Rättsmedicinalverkets uppgift ett led i lagföringen av brott eftersom sådana yttranden från verket används vid påföljdsbestämningen. När Rättsmedicinalverket genomför riskbedömningar enligt lagen om omvandling av fängelse på livstid omfattar uppgiften i stället verkställighet av en straffrättslig påföljd.
Betydligt mer sällan torde det förekomma behandling av personuppgifter för att Rättsmedicinalverket ska kunna utföra en uppgift att förebygga, förhindra eller upptäcka brottslig verksamhet. I Rättsmedicinalverkets roll som stödfunktion för brottsutredande och annan verksamhet kan det dock inte uteslutas att personuppgiftsbehandling för sådana ändamål skulle kunna aktualiseras. Som utvecklas i avsnitt 6.3.2 kommer det dock inte att vara aktuellt för Rättsmedicinalverket att behandla uppgifter i syfte att upprätthålla allmän ordning och säkerhet.
Det förekommer dessutom att Rättsmedicinalverket har vissa internationella förpliktelser, bl.a. i ärenden avseende identifiering av avlidna vid terrordåd eller i rättsmedicinska uppdrag med att lämna s.k. second opinion på begäran från utlandet. I likhet med vad som gäller enligt flera andra registerförfattningar på brottsdatalagens område, bör fullgörande av internationella förpliktelser vara en tillåten rättslig grund för Rättsmedicinalverkets personuppgiftsbehandling.
Den rättsliga grunden bör således uttryckas som att Rättsmedicinalverket ska få behandla personuppgifter om det är nödvändigt för att myndigheten ska kunna utföra följande uppgifter: 1. förebygga, förhindra eller upptäcka brottslig verksamhet, 2. utreda eller lagföra brott, 3. verkställa straffrättsliga påföljder, eller 4. fullgöra förpliktelser som följer av internationella åtaganden. Denna utformning av den rättsliga grunden innebär inte att Rättsmedicinalverket tilldelas några nya arbetsuppgifter. Vilka ansvarsområden myndigheten har framgår alltjämt av dess instruktion. Rättsmedicinalverkets stödfunktion i förhållande till andra myndigheter medför dock att man i ett dataskyddsrättsligt sammanhang kan tala om att myndigheten har till uppgift att bekämpa och lagföra brott, verkställa straffrättsliga påföljder och fullgöra förpliktelser som följer av internationella åtaganden.
En sådan bestämmelse i kombination med regleringen av myndighetens arbetsuppgifter i förordningen med instruktion för Rättsmedicinalverket, utgör en tydlig, precis och förutsägbar rättslig grund för Rättsmedicinalverkets personuppgiftsbehandling som uppfyller kraven i dataskyddsdirektivet (skäl 33 dataskyddsdirektivet, jfr prop. 2017/18:269 s. 209-210).
I avsnitt 6.3.2 föreslås att brottsdatalagen ska gälla om inte annat följer av den föreslagna lagen eller föreskrifter som meddelats i anslutning till den. Bestämmelsen om rättsliga grunder i den nu föreslagna lagen ersätter bestämmelsen i 2 kap. 1 § första stycket brottsdatalagen.
Det behöver inte, såsom utredningen föreslår, föreskrivas att den uppgift som ska utföras ska framgå av en lag, en förordning eller ett särskilt beslut i vilket regeringen uppdragit åt myndigheten att ansvara för uppgiften. Detta framgår nämligen redan av 2 kap. 1 § andra stycket brottsdatalagen.
Den omständigheten att en viss behandling av personuppgifter är rättsligt grundad innebär inte att vilka personuppgifter som helst får behandlas eller att det får göras på valfritt sätt. Dataskyddsdirektivet ställer upp ett antal principer för personuppgiftsbehandling som, utöver kravet på rättslig grund, ska vara uppfyllda för att behandlingen ska få utföras. Av artikel 4.1 framgår bl.a. att personuppgifter endast får samlas in för särskilda, uttryckligt angivna och berättigade ändamål. De personuppgifter som behandlas ska dessutom vara adekvata, relevanta och inte för omfattande i förhållande till de syften för vilka de behandlas.
Dessa grundläggande krav på behandling av personuppgifter genomförs i brottsdatalagen genom 2 kap. 3-8 §§. Där framgår bl.a. att personuppgifter får behandlas bara för särskilda, uttryckligt angivna och berättigade ändamål (2 kap. 3 §). I förarbetena framhålls att ändamålet måste vara tillräckligt preciserat för att det ska kunna avgöras om de personuppgifter som behandlas är adekvata och relevanta för ändamålet med behandlingen eller om för många personuppgifter behandlas. Ändamålet får alltså inte vara så vagt eller vittomfattande att någon sådan prövning i praktiken inte blir möjlig (prop. 2017/18:232 s. 441). Det innebär att Rättsmedicinalverket, precis som på dataskyddsförordningens område, många gånger kommer att behöva formulera mer preciserade ändamål för de specifika behandlingar av personuppgifter som sker i myndighetens verksamhet.
Behandling för nya ändamål
Innan personuppgifter får behandlas för ett nytt ändamål ska det säkerställas att det finns en tillåten rättslig grund för den nya behandlingen. Dessutom ska det vara nödvändigt och proportionerligt att personuppgifterna behandlas för det nya ändamålet (2 kap. 4 § brottsdatalagen). Motsvarande prövning ska enligt 2 kap. 22 § göras när de brottsbekämpande myndigheterna behandlar personuppgifter för nya ändamål utanför lagens tillämpningsområde. Inte i något av fallen behöver dock en prövning av om behandlingen är nödvändig och proportionerlig göras i den utsträckning en skyldighet att lämna ut uppgifter följer av lag eller förordning. En behörig myndighet får vidare behandla personuppgifter för vetenskapliga, statistiska eller historiska ändamål (2 kap. 5 §). Personuppgifter ska behandlas författningsenligt och på ett korrekt sätt (2 kap. 6 §). De ska vara korrekta och, om det är nödvändigt, uppdaterade (2 kap. 7 §). Personuppgifter som behandlas ska dessutom vara adekvata och relevanta i förhållande till ändamålen med behandlingen. Fler personuppgifter får inte behandlas än vad som är nödvändigt med hänsyn till dessa ändamål (2 kap. 8 §).
När det gäller förutsättningarna för Rättsmedicinalverkets behandling av personuppgifter för nya ändamål utgör brottsdatalagens bestämmelser en lämplig reglering enligt regeringen. För tydlighets skull bör dock en upplysning om att frågan regleras i brottsdatalagen tas in i den nu föreslagna lagen. Motsvarande lösning har använts i andra registerförfattningar på dataskyddsdirektivets område (se t.ex. 2 kap. 2 § lagen [2018:1694] om Tullverkets behandling av personuppgifter inom brottsdatalagens område).
Dataskydd.net har lagtekniska synpunkter på bestämmelserna som avser rättslig grund. De bestämmelser som föreslås av regeringen följer dock den systematik som används vid utformningen av bestämmelserna om rättslig grund i många andra registerförfattningar på brottsdatalagens område (se t.ex. 2 kap. 1 § lagen [2018:1695] om Kustbevakningens behandling av personuppgifter inom brottsdatalagens område). Eftersom det är angeläget att eftersträva en så likartad lagstiftningsteknik som möjligt på detta område, finner inte regeringen skäl att utforma regleringen av personuppgiftsbehandlingen vid Rättsmedicinalverket på något annat sätt.
6.3.11 Begreppet känsliga personuppgifter
Regeringens bedömning: I lagen bör uttrycket känsliga personuppgifter användas i stället för uttrycket särskilda kategorier av personuppgifter.
Utredningens bedömning överensstämmer med regeringens.
Remissinstanserna: Ingen remissinstans yttrar sig särskilt i denna del.
Skälen för regeringens bedömning: I dataskyddsförordningen och dataskyddsdirektivet används uttrycket särskilda kategorier av personuppgifter för att beskriva de uppgifter som enligt den numera upphävda personuppgiftslagen kallades känsliga personuppgifter. I såväl brottsdatalagen (2 kap. 13 §) som dataskyddslagen (3 kap. 1 §) används dock den i svensk rätt inarbetade termen känsliga personuppgifter, eftersom denna term tydligare talar om vad det är för slags uppgifter som avses (se prop. 2017/18:105 s. 74 och prop. 2017/18:232 s. 150.) Av samma skäl bör uttrycket känsliga personuppgifter, i samma betydelse som i brottsdatalagen och dataskyddslagen, användas i lagen i stället för uttrycket särskilda kategorier av personuppgifter.
6.3.12 Behandling av känsliga personuppgifter inom dataskyddsförordningens tillämpningsområde
Regeringens förslag: Det ska vara förbjudet att göra sökningar i syfte att få fram ett urval av personer grundat på personuppgifter som avslöjar ras, etniskt ursprung, politiska åsikter, religiös eller filosofisk övertygelse eller medlemskap i fackförening eller som rör sexualliv eller sexuell läggning.
Sökförbudet ska inte hindra att särskilda beteckningar för identifiering av en viss ärendetyp, brottsrubriceringar och uppgifter som beskriver en persons utseende används som sökbegrepp.
Sökförbudet ska inte heller hindra sökning i en viss handling eller i ett visst ärende.
Regeringens bedömning: Rättsmedicinalverkets behandling av känsliga personuppgifter i övrigt bör inte särregleras i den lag som nu föreslås.
Det behövs ingen bestämmelse som uttryckligen anger att känsliga personuppgifter i bild får behandlas i Rättsmedicinalverkets verksamhet.
Utredningens förslag och bedömning överensstämmer i huvudsak med regeringens. Utredningen föreslår en bestämmelse som anger att känsliga personuppgifter i bild får behandlas i Rättsmedicinalverkets verksamhet. Utredningen föreslår en annan lagteknisk utformning av sökförbudet.
Remissinstanserna: Datainspektionen och Diskrimineringsombudsmannen efterfrågar ett förtydligande av undantaget gällande användningen av särskilda beteckningar för identifiering av en viss ärendetyp som sökbegrepp och menar att det med föreslagen lydelse finns en risk för kringgående av sökförbudet. RSMH avstyrker förslaget i stort och i synnerhet att det ska vara tillåtet för Rättsmedicinalverket att göra sökningar avseende känsliga personuppgifter som rör hälsa då det står i direkt strid med artikel 9.1 i dataskyddsförordningen. Dataskydd.net ifrågasätter behovet av bestämmelserna om sökbegränsningar och föreslår att de ska utgå. Övriga remissinstanser yttrar sig inte särskilt.
Skälen för regeringens förslag och bedömning
Rättsmedicinalverkets behandling av känsliga personuppgifter
I dataskyddsförordningens artikel 9.1 stadgas ett principiellt förbud mot att behandla känsliga personuppgifter. Förbudet gäller uppgifter som avslöjar ras eller etniskt ursprung, politiska åsikter, religiös eller filosofisk övertygelse eller medlemskap i fackförening och behandling av genetiska uppgifter, biometriska uppgifter för att entydigt identifiera en fysisk person, uppgifter om hälsa eller uppgifter om en fysisk persons sexualliv eller sexuella läggning. Med genetiska uppgifter avses alla personuppgifter som rör nedärvda eller förvärvade genetiska kännetecken för en fysisk person, vilka ger unik information om denna fysiska persons fysiologi eller hälsa och vilka framför allt härrör från en analys av ett biologiskt prov från den fysiska personen i fråga (artikel 4.13 i dataskyddsförordningen). Biometriska uppgifter utgörs av personuppgifter som erhållits genom en särskild teknisk behandling som rör en fysisk persons fysiska, fysiologiska eller beteendemässiga kännetecken och som möjliggör eller bekräftar identifieringen av denna fysiska person, såsom ansiktsbilder eller fingeravtrycksuppgifter (artikel 4.14 i dataskyddsförordningen).
Från förordningens förbud görs en rad undantag, som tillåter behandling av känsliga personuppgifter under vissa förutsättningar, t.ex. om behandlingen är nödvändig för arkivändamål av allmänt intresse, vetenskapliga eller historiska forskningsändamål eller statistiska ändamål (artikel 9.2 j).
Ytterligare ett undantag gäller behandling som är nödvändig av hänsyn till ett viktigt allmänt intresse på grundval av unionsrätten eller medlemsstaternas nationella rätt, vilken ska stå i proportion till det eftersträvade syftet, vara förenligt med det väsentliga innehållet i rätten till dataskydd och innehålla bestämmelser om lämpliga och särskilda åtgärder för att säkerställa den registrerades grundläggande rättigheter och intressen (artikel 9.2 g). Artikel 9.2 g är visserligen direkt tillämplig men det är möjligt för medlemsstaterna att i nationell rätt införa mer specifika bestämmelser även avseende känsliga personuppgifter (artikel 6.2 och skäl 10). Artikel 9.4 stadgar vidare att medlemsstater får behålla eller införa ytterligare villkor, även begränsningar, för behandlingen av genetiska eller biometriska uppgifter eller uppgifter om hälsa.
Dataskyddslagen innehåller vissa bestämmelser om känsliga personuppgifter. Bland annat regleras myndigheters behandling av känsliga personuppgifter för ett viktigt allmänt intresse i 3 kap. 3 och 4 §§. Där framgår att känsliga personuppgifter, med stöd av artikel 9.2 g i förordningen, får behandlas av en myndighet om uppgifterna har lämnats till myndigheten och behandlingen krävs enligt lag, om behandlingen är nödvändig för handläggningen av ett ärende eller, i annat fall, om behandlingen är nödvändig med hänsyn till ett viktigt allmänt intresse och inte innebär ett otillbörligt intrång i den registrerades personliga integritet (3 kap. 3 § första stycket).
Rättsmedicinalverkets uppdrag framgår i huvudsak av 1-3 §§ i myndighetens instruktion (se avsnitt 4). I förarbetena till dataskyddslagen gör regeringen bedömningen att det är ett viktigt allmänt intresse att myndigheterna kan sköta sitt uppdrag på ett korrekt, rättssäkert och effektivt sätt (prop. 2017/18:105 s. 85). När Rättsmedicinalverket behandlar känsliga personuppgifter som är nödvändiga för att utföra de uppgifter som framgår av dess instruktion rör det sig således om en sådan behandling som avses i artikel 9.2 g i dataskyddsförordningen.
Vid behandling av känsliga personuppgifter med stöd av artikel 9.2 g uppställer dataskyddsförordningen även ett krav på lämpliga och särskilda åtgärder för att säkerställa den registrerades grundläggande rättigheter och intressen. I 3 kap. 3 § andra stycket dataskyddslagen har det införts ett förbud att utföra sökningar i syfte att få fram ett urval av personer grundat på känsliga personuppgifter. I Rättsmedicinalverkets verksamhet utgör känsliga personuppgifter en betydande del av den totala mängden personuppgifter som behandlas. En begränsning av hur känsliga personuppgifter får behandlas, exempelvis när det gäller sökning, skulle få en stor effekt i Rättsmedicinalverkets verksamhet och stärka skyddet för enskildas personliga integritet. Regeringen anser därför att den lag om nu förslås bör innehålla ett sökförbud som gäller när Rättsmedicinalverket behandlar känsliga personuppgifter inom dataskyddsförordningens tillämpningsområde. Regeringen behandlar frågan om utformningen av bestämmelserna om sökförbud vidare nedan.
Utöver bestämmelser om sökförbud innehåller den föreslagna lagen ändamålsbestämmelser som anger den yttre ramen för all behandling av personuppgifter och regler om tillgången till personuppgifter (se avsnitt 6.3.9). Därtill kommer bestämmelser om sekretess i offentlighets- och sekretesslagen (2009:400) som gäller i Rättsmedicinalverkets verksamhet. Exempelvis föreskriver 25 kap. 1 § offentlighets- och sekretesslagen att sekretess gäller i bl.a. rättsmedicinsk och rättspsykiatrisk verksamhet för uppgift om en enskilds hälsotillstånd eller andra personliga förhållanden, om det inte står klart att uppgiften kan röjas utan att den enskilde eller någon närstående till denne lider men. Sammantaget uppfyller denna reglering, enligt regeringens mening, dataskyddsförordningens krav på lämpliga och särskilda åtgärder för att säkerställa den registrerades grundläggande rättigheter och intressen.
Sammanfattningsvis bedömer regeringen att det finns stöd i artikel 9.2 g dataskyddsförordningen och 3 kap. 3 § dataskyddslagen för den behandling av känsliga personuppgifter som är nödvändig i Rättsmedicinalverkets verksamhet. Därutöver kan det, som utredningen framhåller, finnas andra undantag från förbudet att behandla känsliga personuppgifter i dataskyddsförordningen och dataskyddslagen som skulle kunna aktualiseras för Rättsmedicinalverket.
Utredningen föreslår en särreglering i förhållande till dataskyddslagen när det gäller känsliga personuppgifter i bild eftersom utredningen inte anser att bestämmelserna i 3 kap. 3 § dataskyddslagen är tillräckliga för att möjliggöra behandling av sådana uppgifter. Känsliga personuppgifter i bild förekommer i mycket stor utsträckning vid Rättsmedicinalverket. Som exempel kan nämnas digitala röntgenbilder som används vid rättsmedicinska åldersbedömningar. Sådana bilder kan bl.a. innehålla uppgifter om hälsa. Regeringens instämmer i utredningens bedömning att behandling av känsliga personuppgifter i bild är nödvändig för att Rättsmedicinalverket ska kunna utföra sitt uppdrag. I 3 kap. 3 § dataskyddslagen, såsom den slutligen kom att utformas (prop. 2017/18:105 s. 9-10), finns dock inga begränsningar som utesluter att den är tillämplig på bilder. Dataskyddsförordningen ställer inte heller upp några särskilda krav vad gäller känsliga personuppgifter i bilder. Det finns därmed inget behov av att införa en särbestämmelse för att göra det möjligt för Rättsmedicinalverket att behandla känsliga personuppgifter i bild.
Sökning
Sökningar som avslöjar och sammanställer känsliga personuppgifter innebär särskilda risker för den personliga integriteten och ett sökförbud kan vara ett viktigt och ändamålsenligt sätt att begränsa dessa risker. Som konstateras i föregående avsnitt får en sådan reglering en stor effekt i Rättsmedicinalverkets verksamhet, där känsliga personuppgifter behandlas i stor utsträckning. Ett sökförbud utgör därför en verkningsfull åtgärd för att säkerställa den registrerades grundläggande rättigheter och intressen som föreskrivs i artikel 9.2 g i dataskyddsförordningen. Som framgår ovan bedömer regeringen således att ett sådant förbud bör gälla vid Rättsmedicinalverkets behandling av känsliga personuppgifter på dataskyddsförordningens område. Regeringen anser vidare, till skillnad från Dataskydd.net och i likhet med utredningen, att dessa bestämmelser bör utformas med hänsyn tagen till de särskilda behov som föreligger i Rättsmedicinalverkets verksamhet.
Till skillnad mot sökförbudet i 3 kap. 3 § andra stycket dataskyddslagen, som endast gäller vid behandling av känsliga personuppgifter med stöd av det generella myndighetsundantaget i 3 kap. 3 § första stycket, bör en bestämmelse om sökförbud för Rättsmedicinalverket ges en mer generell utformning och kompletteras med de undantag som är nödvändiga för att verket ska kunna fullgöra sina uppgifter på ett korrekt, rättssäkert och effektivt sätt. En sådan reglering tar tillvara den enskildes intresse av att begränsa behandlingen av känsliga personuppgifter i så stor utsträckning som möjligt, samtidigt som Rättsmedicinalverkets behov av att behandla personuppgifter på ett ändamålsenligt sätt tillgodoses.
I Rättsmedicinalverkets verksamhet finns ett stort behov av sökningar avseende uppgifter om hälsa samt biometriska och genetiska uppgifter. Dessa behövs bl.a. vid dna-analyser i ärenden om uppehållstillstånd på grund av familjeanknytning som utförs på uppdrag av Migrationsverket liksom vid faderskapsutredningar. Sökförbudet bör därför inte omfatta sökningar i syfte att få fram ett urval av personer grundat på dessa uppgifter. RSMH avstyrker förslaget att det ska vara tillåtet för Rättsmedicinalverket att göra sökningar avseende uppgifter som rör hälsa då det står i direkt strid med artikel 9.1 i dataskyddsförordningen. Som redogörs för ovan innehåller dataskyddsförordningen dock en rad undantag från det generella förbudet att behandla känsliga personuppgifter och det är även möjligt att införa mer specifika bestämmelser i nationell rätt. Sökbegränsningar utgör en åtgärd för att säkerställa den registrerades grundläggande rättigheter och intressen (artikel 9.2 g i dataskyddsförordningen). En sådan bestämmelse måste utformas så att den enskildes personliga integritet värnas samtidigt som Rättsmedicinalverket ges förutsättningar att utföra sitt uppdrag. Eftersom det finns ett påtagligt behov för Rättsmedicinalverket att göra den aktuella typen av sökningar bör det tillåtas. Regeringen bedömer sammanfattningsvis att en sådan reglering är förenlig med dataskyddsförordningen.
När det gäller andra känsliga personuppgifter än uppgifter om hälsa samt biometriska och genetiska uppgifter bör särskilda undantag från sökförbudet utformas med hänsyn tagen till Rättsmedicinalverkets verksamhetsbehov. I Rättsmedicinalverkets verksamhet kan det vara nödvändigt att behandla beteckningar för identifiering av en viss ärendetyp, exempelvis ärendekoder som används för en viss kategori av ärenden. Både domstolsdatalagen och lagen om domstolarnas behandling av personuppgifter inom brottsdatalagens område innehåller ett motsvarande undantag från sökförbudet vid användning av särskilda beteckningar för identifiering av en viss ärendetyp som sökbegrepp. I förarbetena till domstolsdatalagen anges att målgrupps- och måltypskoder används i mycket stor utsträckning i den dagliga verksamheten och regeringen gjorde bedömningen att det inte framkommit att detta skulle medföra några särskilda risker i integritetshänseende (prop. 2014/15:148 s. 63).
Att tillåta sådana sökningar skulle medföra påtaglig verksamhetsnytta för Rättsmedicinalverket och bedöms inte heller i detta sammanhang medföra några större risker i integritetshänseende. Användningen av särskilda beteckningar för identifiering av en viss ärendetyp som sökbegrepp bör därför vara tillåtna. Datainspektionen och Diskrimineringsombudsmannens efterlyser ett förtydligande av undantaget för att inte riskera en icke avsedd tillämpning av detta. Regeringen delar inte dessa farhågor utan anser att det framgår tämligen väl av undantagets ordalydelse vad som avses. Exempel på sådana beteckningar som omfattas av undantaget kan vara de olika beteckningarna som finns i de rättsgenetiska ärendena. Den föreslagna utformningen av bestämmelsen ansluter vidare till regleringen i 14 § domstolsdatalagen och 6 § andra stycket lagen om domstolarnas behandling av personuppgifter inom brottsdatalagens område. Regeringen anser sammanfattningsvis inte att det finns behov av ytterligare förtydliganden. Det är dock viktigt att Rättsmedicinalverket vidtar bl.a. tekniska åtgärder och utarbetar rutiner för att minska risken för behandling i strid med sökförbudet.
I framför allt identifieringsärenden vid Rättsmedicinalverket kan det vara nödvändigt att som sökbegrepp använda uppgifter om en persons utseende. En sådan uppgift utgör många gånger inte en känslig personuppgift men kan i vissa fall t.ex. avslöja information om en persons etniska ursprung. Det finns därför skäl att införa en reglering som gör det möjligt att som sökbegrepp använda uppgifter om en persons utseende också i sådana fall som annars skulle träffas av det föreslagna sökförbudet.
Artikel 10 i dataskyddsförordningen innehåller begränsningar vad gäller möjligheten att behandla personuppgifter som rör fällande domar i brottmål och överträdelser eller därmed sammanhängande säkerhetsåtgärder. Sådana uppgifter om lagöverträdelser får endast utföras under kontroll av en myndighet eller då behandlingen är tillåten enligt unionsrätten eller medlemsstaternas nationella rätt, där lämpliga skyddsåtgärder för de registrerades rättigheter och friheter fastställs. I 3 kap. 8 § dataskyddslagen förtydligas att de personuppgifter som avses i artikel 10 i dataskyddsförordningen får behandlas av myndigheter. Det finns således inte något hinder i och för sig mot att Rättsmedicinalverket behandlar uppgifter om lagöverträdelser. Det kan dock förekomma situationer då en behandling av uppgifter om lagöverträdelser också skulle utgöra en sådan behandling av känsliga personuppgifter som avses i den föreslagna sökförbudsbestämmelsen. I förarbetena till lagen (2018:1697) om åklagarväsendets behandling av personuppgifter inom brottsdatalagens område nämns exemplet att en sökning på brottsrubriceringen "våldtäkt mot barn" skulle kunna avslöja sexuella preferenser hos gärningsmän (prop. 2017/18:269 s. 212-213). I Rättsmedicinalverkets verksamhet finns behov av att som sökbegrepp kunna använda brottsrubriceringar. En möjlighet att göra det även i de fall som annars skulle omfattas av sökförbudet bör därför införas i lagen.
Som regeringen tidigare konstaterat innebär sökning bland en begränsad mängd uppgifter mindre integritetsrisker än sökning i större uppgiftsmängder (prop. 2014/15:148 s. 63-64). Samtidigt kan en möjlighet för Rättsmedicinalverket att göra sökningar i en viss handling eller i ett visst ärende antas medföra effektivitetsvinster i det dagliga arbetet. Sådana sökningar bör därför inte heller omfattas av sökförbudet.
6.3.13 Behandling av känsliga personuppgifter inom brottsdatalagens tillämpningsområde
Regeringens förslag: Rättsmedicinalverket ska få behandla biometriska och genetiska uppgifter om det är absolut nödvändigt för ändamålet med behandlingen.
Det ska vara förbjudet att göra sökningar i syfte att få fram ett urval av personer grundat på personuppgifter som avslöjar ras, etniskt ursprung, politiska åsikter, religiös eller filosofisk övertygelse eller medlemskap i fackförening eller som rör sexualliv eller sexuell läggning. Sökförbudet ska inte hindra att särskilda beteckningar för identifiering av en viss ärendetyp, brottsrubriceringar eller uppgifter som beskriver en persons utseende används som sökbegrepp. Förbudet ska inte heller hindra sökningar i en viss handling eller i ett visst ärende.
Regeringens bedömning: Sökförbudet i brottsdatalagen som avser känsliga personuppgifter bör inte gälla för Rättsmedicinalverket. Någon bestämmelse som uttryckligen upplyser om detta och att i stället bestämmelserna om sökförbud i den föreslagna lagen ska gälla, behövs inte.
Med undantag för vad som ska gälla för behandling av biometriska och genetiska uppgifter samt sökning avseende känsliga personuppgifter bör inte några särbestämmelser införas när det gäller Rättsmedicinalverkets behandling av känsliga personuppgifter.
Utredningens förslag och bedömning överensstämmer i huvudsak med regeringens. Utredningen föreslår en bestämmelse som uttryckligen upplyser om att andra bestämmelser än brottsdatalagens sökförbud ska gälla. Utredningen anser inte att det finns ett behov av att införa en särskild bestämmelse avseende Rättsmedicinalverkets behandling av biometriska och genetiska uppgifter.
Remissinstanserna: Diskrimineringsombudsmannen anser att det undantag som föreslås för användningen av särskilda beteckningar för identifiering av en viss ärendetyp som sökbegrepp saknar tydlig avgränsning och att undantaget därför kan riskera att få en vidare tillämpning än vad som avsetts. Datainspektionen påtalar vikten av att Rättsmedicinalverket, som en konsekvens av den föreslagna bestämmelsen avseende undantag från sökförbudet, vidtar åtgärder för att undvika risk för kringgående. Dataskydd.net anser att bestämmelser om sökbegränsningar inte behövs. Övriga remissinstanser yttrar sig inte i sak över förslagen.
Skälen för regeringens förslag och bedömning
Behandling av känsliga personuppgifter
För behandling av känsliga personuppgifter ställer dataskyddsdirektivet upp ytterligare villkor, utöver de krav som gäller för behandling av personuppgifter i allmänhet. Av artikel 10 i direktivet framgår att behandling av personuppgifter som avslöjar ras eller etniskt ursprung, politiska åsikter, religiös eller filosofisk övertygelse eller medlemskap i fackförening, samt behandling av genetiska uppgifter, biometriska uppgifter för att unikt identifiera en fysisk person eller uppgifter om hälsa eller uppgifter om en fysisk persons sexualliv eller sexuella läggning endast är tillåten om det är absolut nödvändigt och under förutsättning att det finns lämpliga skyddsåtgärder för den registrerades rättigheter och friheter. Dessutom krävs det att behandlingen är tillåten enligt unionsrätten eller medlemsstaternas nationella rätt, att den utförs för att skydda intressen som är av grundläggande betydelse för den registrerade eller en annan fysisk person, eller att behandlingen rör uppgifter som på ett tydligt sätt har offentliggjorts av den registrerade.
Brottsdatalagens regler om behandling av känsliga personuppgifter är strängare än vad dataskyddsdirektivet kräver. Således föreskriver 2 kap. 11 § brottsdatalagen att personuppgifter som avslöjar ras, etniskt ursprung, politiska åsikter, religiös eller filosofisk övertygelse eller medlemskap i fackförening eller som rör hälsa, sexualliv eller sexuell läggning som huvudregel inte får behandlas. Om andra uppgifter om en person behandlas, får dessa dock kompletteras med sådana känsliga personuppgifter när det är absolut nödvändigt för ändamålet med behandlingen.
För genetiska uppgifter och biometriska uppgifter innehåller brottsdatalagen specialbestämmelser. Med genetiska uppgifter avses enligt brottsdatalagen personuppgifter som rör en persons nedärvda eller förvärvade genetiska kännetecken och som härrör från analys av ett spår av eller ett prov från personen i fråga (1 kap. 6 §). Främst rör det sig om information som kan tas fram vid dna-analyser. Behandlingen kan avse genetiska uppgifter från såväl identifierade som oidentifierade personer. Själva dna-profilen är endast en siffer- eller bokstavskombination, vilket innebär att profilen i sig inte är en genetisk uppgift. Den är i stället en biometrisk uppgift.
Biometriska uppgifter är enligt brottsdatalagen personuppgifter som erhållits genom en särskild teknisk behandling som rör en fysisk persons fysiska, fysiologiska eller beteendemässiga kännetecken och som möjliggör eller bekräftar unik identifiering av denna fysiska person, såsom vissa ansiktsbilder eller fingeravtrycksuppgifter (1 kap. 6 §). Av brottsdatalagen framgår att biometriska och genetiska uppgifter får behandlas endast om det är särskilt föreskrivet och det är absolut nödvändigt för ändamålet med behandlingen (2 kap. 12 §). Känsliga personuppgifter får vidare alltid behandlas med stöd av 2 kap. 2 §, dvs. om det är nödvändigt för diarieföring eller om uppgifterna har lämnats till en behörig myndighet i en anmälan, ansökan eller liknande och behandlingen är nödvändig för myndighetens handläggning (2 kap. 13 §).
Om det inte rör sig om nödvändig diarieföring eller handläggning i anslutning till en anmälan, ansökan eller liknande får alltså känsliga personuppgifter enligt brottsdatalagen bara behandlas om uppgifter om personen behandlas av annat skäl och om behandlingen är absolut nödvändig. Eftersom genetiska och biometriska uppgifter kan innehålla oidentifierade avtryck eller spår fungerar huvudregeln, att känsliga personuppgifter endast får behandlas om någon annan uppgift om den aktuella personen också behandlas, inte i dessa fall. Detta är den bakomliggande anledningen till särregleringen för genetiska respektive biometriska uppgifter i brottsdatalagen (prop. 2017/18:232 s. 153-154).
Rättsmedicinalverket behandlar i stor utsträckning känsliga personuppgifter. Det rör sig framför allt om uppgifter om hälsa (exempelvis i rättsmedicinska ärenden, men även inom rättspsykiatrin) och genetiska respektive biometriska uppgifter. Behandlingen kan vara nödvändig för diarieföring eller för myndighetens handläggning i anslutning till en anmälan, ansökan eller liknande, på det sätt som anges i 2 kap. 2 § brottsdatalagen. Med anmälan, ansökan eller liknande avses alla slag av framställningar till en behörig myndighet och paragrafen kan då ge stöd för behandling av uppgifter i samband med att framställningen besvaras (prop. 2017/18:232 s. 441). I många andra fall kompletteras uppgifter om en person med känsliga personuppgifter på det sätt som anges i 2 kap. 11 §. Även om restriktivitet är påkallad och en bedömning måste göras i det enskilda fallet kan den närmare innebörden av uttrycket absolut nödvändigt variera mellan olika myndigheter eftersom deras verksamheter och behov av att behandla känsliga personuppgifter skiljer sig åt (prop. 2017/18:232 s. 153). Att känsliga personuppgifter kan behandlas är en förutsättning för att Rättsmedicinalverket ska kunna fullgöra sitt uppdrag och den behandling av känsliga personuppgifter som i dag sker när verket utför sina uppgifter bör, som en utgångspunkt, anses vara absolut nödvändig. Bestämmelserna om behandling av känsliga personuppgifter i brottsdatalagen ger således i stor utsträckning stöd för den behandling av känsliga personuppgifter som Rättsmedicinalverket har behov av. För att genetiska och biometriska uppgifter ska få behandlas krävs dock, förutom att det är absolut nödvändigt för ändamålet, att det är särskilt föreskrivet (2 kap. 12 § brottsdatalagen). För att ge Rättsmedicinalverket ett tydligt stöd för den behandling av genetiska och biometriska uppgifter som är absolut nödvändig anser regeringen därför, till skillnad från utredningen, att det bör införas en bestämmelse i lagen som uttryckligen medger sådan behandling. En liknande bestämmelse finns i bl.a. 2 kap. 4 § lagen (2018:1694) om Tullverkets behandling av personuppgifter inom brottsdatalagens område.
Som framgått kräver dataskyddsdirektivet att det finns lämpliga skyddsåtgärder för den registrerades rättigheter och friheter för att känsliga personuppgifter ska få behandlas (artikel 10). I förarbetena till brottsdatalagen framhålls, utöver att känsliga personuppgifter i allmänhet bara får behandlas om uppgifter om personen behandlas av annat skäl och det är absolut nödvändigt, att ett sökförbud kan vara en verkningsfull skyddsåtgärd (prop. 2017/18:232 s. 153 och 155). Enligt regeringens bedömning bör, precis som på dataskyddsförordningens område, ett sökförbud gälla vid behandling av personuppgifter inom brottsdatalagens tillämpningsområde enligt den nu föreslagna lagen. I följande avsnitt behandlar regeringen hur ett sökförbud för Rättsmedicinalverkets behandling av personuppgifter på brottsdatalagens område lämpligen bör utformas. Vidare omgärdas Rättsmedicinalverkets verksamhet av omfattande sekretess, bl.a. för uppgifter om enskilds hälsotillstånd eller andra personliga förhållanden (25 kap. 1 § offentlighets- och sekretesslagen). Genom bl.a. sekretessregleringen, införandet av ett sökförbud och den ovan redovisade regleringen i brottsdatalagen, anser regeringen att direktivets krav på skyddsåtgärder är uppfyllt.
Sökning
Enligt brottsdatalagen är det förbjudet att utföra sökningar i syfte att få fram ett personurval grundat på känsliga personuppgifter (2 kap. 14 §). Utredningen föreslår att den nu föreslagna lagen ska innehålla särskilda bestämmelser om sökning avseende känsliga uppgifter som ersätter brottsdatalagens sökförbud samt en bestämmelse som upplyser om detta förhållande.
Att Rättsmedicinalverket har tillgång till ändamålsenliga sökfunktioner är viktigt för att myndigheten på ett effektivt sätt ska kunna fullgöra sina uppgifter. För att uppnå ett starkt integritetsskydd som samtidigt beaktar Rättsmedicinalverkets verksamhetsbehov bedömer regeringen i likhet med utredningen att sökförbudet i brottsdatalagen inte bör gälla för Rättsmedicinalverket utan att särskilt anpassade bestämmelser om sökning avseende känsliga uppgifter bör införas i den nu föreslagna lagen. Eftersom brottsdatalagen är subsidiär och lagen föreslås innehålla särskilda avvikande bestämmelser om sökning saknas det dock behov av en upplysningsbestämmelse om detta.
De bestämmelser som reglerar sökningar avseende känsliga personuppgifter måste utformas på ett sådant sätt att risken för obefogade integritetsintrång minimeras, samtidigt som Rättsmedicinalverket ges förutsättningar att bedriva sin verksamhet effektivt. Som utgångspunkt bör sökningar i syfte att få fram ett urval av personer grundat på känsliga personuppgifter inte vara tillåtna. Sökningar som är nödvändiga för att Rättsmedicinalverket ska kunna fullgöra sitt uppdrag bör dock tillåtas. När det gäller den närmare utformningen av det sökförbud som bör införas gör regeringen samma bedömningar som redovisas beträffande motsvarande bestämmelser på dataskyddsförordningens område (se avsnitt 6.3.12). Det innebär att sökförbudet, som utredningen föreslår, inte bör omfatta sökningar som rör hälsa, biometriska och genetiska uppgifter. Vidare bör särskilda beteckningar för identifiering av en viss ärendetyp, brottsrubriceringar och uppgifter som beskriver en persons utseende få användas som sökbegrepp. Som framgår i avsnitt 6.3.12 anser regeringen, i motsats till Diskrimineringsombudsmannen, inte att den förstnämnda kategorien av sökbegrepp är för otydligt avgränsad. Som framhålls i det avsnittet finns dessutom en motsvarande reglering både i domstolsdatalagen och lagen om domstolarnas behandling av personuppgifter inom brottsdatalagens område. Dataskyddsdirektivet och brottsdatalagen saknar, liksom dataskyddsförordningen, begränsningar vad gäller myndigheters möjlighet att behandla uppgifter om lagöverträdelser. För att Rättsmedicinalverket ska ges möjlighet att använda brottsrubriceringar som sökbegrepp även i de fall detta annars skulle ha omfattats av det föreslagna sökförbudet, bör dock ett sådant undantag införas.
Inte heller sökningar i en viss handling eller i ett visst ärende bör omfattas av sökförbudet.
Avslutningsvis instämmer regeringen i Datainspektionens synpunkt att det är viktigt att Rättsmedicinalverket, som en konsekvens av de föreslagna undantagen från sökförbudet, vidtar åtgärder för att undvika risk för kringgående. Sådana åtgärder, utöver rent tekniska begränsningar i olika it-system, kan t.ex. vara att utarbeta rutiner som säkerställer att sökning endast kan ske för ett visst tillåtet syfte. Det är även viktigt att dokumentera syftet med sökningar avseende känsliga personuppgifter både ur ett verksamhetsperspektiv och ett tillsynsperspektiv.
6.3.14 Elektroniskt utlämnande av personuppgifter
Regeringens förslag: Personuppgifter ska få lämnas ut elektroniskt, om det inte är olämpligt. Utlämnande ska dock inte få ske i form av direktåtkomst.
Utredningens förslag överensstämmer med regeringens.
Remissinstanserna: Endast ett fåtal remissinstanser yttrar sig särskilt i denna del. Datainspektionen avstyrker förslaget och efterfrågar en tydligare reglering avseende vid vilka konkreta omständigheter det är olämpligt att lämna ut personuppgifter elektroniskt. Föreningen för utgivande av Samhällsmagasinet Avsnitt anser att uttrycket lämnas ut elektroniskt är för vitt. Kammarrätten i Stockholm har synpunkter på bestämmelsernas placering. Dataskydd.net anser att utlämnande bör få ske endast om tillräckliga åtgärder för att säkerställa författningsenlig behandling har vidtagits.
Skälen för regeringens förslag: Personuppgifter hanteras vid Rättsmedicinalverket i stor utsträckning i elektronisk form. I takt med utvecklingen av modern teknik har möjligheten till olika slags elektroniskt utlämnande av personuppgifter ökat och bidragit till effektivitetsvinster vid framför allt myndigheters kommunikation sinsemellan, men också vid myndigheters kontakter med enskilda. Med elektroniskt utlämnande avses såväl s.k. direktåtkomst som annat utlämnande i elektronisk form, t.ex. via e-post eller usb-minne. Direktåtkomst innebär att en mottagare har direkt tillgång till någon annans register eller databas och därigenom på egen hand kan ta del av information (se HFD 2015 ref. 61). Det anses vara den mest integritetskänsliga formen av elektroniskt utlämnande av uppgifter.
Dataskyddsförordningen och dataskyddsdirektivet innehåller inte några uttryckliga bestämmelser om elektroniskt utlämnande av personuppgifter. Det gör inte heller brottsdatalagen eller dataskyddslagen. Något generellt hinder mot sådant utlämnande finns alltså inte. Av artikel 6.3 i dataskyddsförordningen framgår dock att den rättsliga grunden, som ska fastställas i unionsrätten eller medlemsstaternas nationella rätt, kan innehålla särskilda bestämmelser för att anpassa tillämpningen av bestämmelserna i förordningen, bland annat vad gäller typer av behandling och förfaranden för behandling. Elektroniskt utlämnande av personuppgifter utgör en form av behandling och det är alltså möjligt att i nationell rätt införa regler som preciserar förutsättningarna för sådant utlämnande.
En mycket stor del av de uppgifter som Rättsmedicinalverket behandlar finns i elektronisk form och personuppgifter lämnas i dag ut elektroniskt på annat sätt än genom direktåtkomst. Så är exempelvis fallet med olika slags rättskemiska analyssvar, men även andra uppdrag redovisas ofta i elektronisk form. Sådan elektronisk kommunikation är regelmässigt kostnadseffektiv för både avsändare och mottagare, jämfört med att skicka uppgifter med brev. Rättsmedicinalverket bör även fortsättningsvis kunna lämna ut personuppgifter i elektronisk form. Något uttryckligt hinder mot att så sker finns, som framgår ovan, inte i den EU-rättsliga dataskyddsregleringen och inte heller i de svenska författningar som anknyter till de unionsrättsliga bestämmelserna. En fråga att ta ställning till är därför om lagförslaget bör innehålla en bestämmelse om elektroniskt utlämnande och, i så fall, hur en sådan bestämmelse bör utformas.
Vid Rättsmedicinalverket förekommer i stor utsträckning integritetskänsliga personuppgifter. Elektronisk överföring av sådana uppgifter bör noga övervägas. Riskerna med att överföra uppgifter elektroniskt, som bl.a. kan bestå i en ökad fara att uppgifter sprids eller att någon annan än den avsedda mottagaren får del av uppgifterna, måste vägas mot Rättsmedicinalverkets och mottagarnas behov av effektiva arbetssätt. Enligt regeringen uppnås en ändamålsenlig avvägning mellan dessa intressen genom en reglering som gör det möjligt för Rättsmedicinalverket att lämna ut uppgifter elektroniskt, men som samtidigt innehåller en begränsning av när så får ske. Flera registerförfattningar som är tillämpliga vid de myndigheter som är Rättsmedicinalverkets huvudsakliga uppdragsgivare innehåller en bestämmelse av innebörd att elektroniskt utlämnande får ske, om det inte är olämpligt (se t.ex. 9 § lagen om domstolarnas behandling av personuppgifter inom brottsdatalagens område). Det finns inte skäl att behandla Rättsmedicinalverket annorlunda i detta hänseende och en bestämmelse med motsvarande innebörd bör därför införas även för Rättsmedicinalverkets del.
Datainspektionen avstyrker förslaget och efterfrågar en tydligare reglering avseende vid vilka konkreta omständigheter det är olämpligt att lämna ut personuppgifter elektroniskt. Som regeringen tidigare har konstaterat bör vid lämplighetsbedömningen göras skillnad mellan utlämnande till myndigheter och utlämnande till enskilda (prop. 2017/18:269 s. 136). Det bör normalt inte anses olämpligt att lämna ut personuppgifter elektroniskt till myndigheter. Om det i ett enskilt fall skulle bedömas vara olämpligt bör emellertid personuppgifterna lämnas ut på annat sätt. När det gäller enskilda kan det krävas närmare överväganden bl.a. med hänsyn till vem mottagaren är och vilken säkerhet mottagaren har för sin personuppgiftsbehandling. Att Rättsmedicinalverket som personuppgiftsansvarig är skyldig att säkerställa att bl.a. adekvata tekniska och organisatoriska åtgärder har vidtagits följer av bestämmelserna i dataskyddsförordningen (artiklarna 24, 25 och 32) och brottsdatalagen (3 kap. 2-8 §§). Det finns inte skäl att, som Dataskydd.net förordar, uttryckligen hänvisa till dessa bestämmelser. Vid bedömningen om ett utlämnande är olämpligt ska bl.a. typen av personuppgifter beaktas. Den närmare innebörden av vad som ska anses vara ett sådant olämpligt utlämnande får dock utvecklas genom tillsynsmyndighetens arbete och i domstolspraxis. Det finns dessutom utrymme för regeringen eller den myndighet regeringen bestämmer att meddela ytterligare föreskrifter som begränsar möjligheten att lämna ut personuppgifter elektroniskt (se avsnitt 6.3.15). Mot denna bakgrund anser regeringen inte att det finns något behov av en reglering i lagen avseende vid vilka konkreta omständigheter det är olämpligt att lämna ut personuppgifter elektroniskt.
Föreningen för utgivande av Samhällsmagasinet Avsnitt anser att uttrycket lämnas ut elektroniskt är för vitt i förhållande till uttrycket medium för automatiserad behandling. Det har tidigare föreslagits att uttrycket utlämnande på medium för automatiserad behandling bör utmönstras och att uttrycket utlämnande i elektronisk form i stället ska användas (se Informationshanteringsutredningens slutbetänkande Myndighetsdatalag, SOU 2015:39 s. 442). Regeringen har även uttalat att ett modernare uttryckssätt än utlämnande på medium för automatiserad behandling är att föredra och att det i samband med översynen av registerförfattningarna på brottsdatalagens område är lämpligt att göra den förändringen (prop. 2017/18:269 s. 136). Den förändringen bör få genomslag även i den nu föreslagna lagen. Det kan även framhållas att en begreppsmässig modernisering avsetts men däremot inte någon ändring i sak. Även i fortsättningen bör det dock göras tydlig skillnad mellan elektroniskt utlämnande i form av direktåtkomst och elektroniskt utlämnande på annat sätt. Direktåtkomst förekommer vid en del myndigheter som lämnar uppdrag till Rättsmedicinalverket. Däremot gör Rättsmedicinalverket inte någon information tillgänglig för andra genom direktåtkomst. Det är också svårt att se att det skulle uppstå ett behov av det. Det bör därför, så som utredningen föreslår, införas en bestämmelse om att utlämnande i form av direktåtkomst inte får ske.
Avslutningsvis finner regeringen, i likhet med Kammarrätten i Stockholm, att bestämmelsen bör placeras i lagens första kapitel med allmänna bestämmelser.
6.3.15 Rätt att meddela föreskrifter
Regeringens förslag: I lagen ska det upplysas om att regeringen eller den myndighet som regeringen bestämmer kan meddela föreskrifter om begränsningar av möjligheten att göra vissa sökningar avseende känsliga personuppgifter, närmare föreskrifter om tillgången till personuppgifter samt ytterligare föreskrifter om begränsningar av möjligheten att lämna ut personuppgifter elektroniskt.
Utredningens förslag överensstämmer i huvudsak med regeringens. Utredningen föreslår en bestämmelse som upplyser om att regeringen eller den myndighet som regeringen bestämmer kan meddela närmare föreskrifter om tillgången till personuppgifter på dataskyddsförordningens tillämpningsområde. Någon motsvarande bestämmelse på brottsdatalens område föreslås dock inte.
Remissinstanserna: Dataskydd.net anser att det inte finns något behov av de föreslagna bestämmelserna. Kammarrätten i Stockholm har synpunkter på bestämmelsens placering. I övrigt yttrar sig ingen remissinstans särskilt över förslaget.
Skälen för regeringens förslag: Regeringen får med stöd av 8 kap. 7 § regeringsformen meddela dels föreskrifter om verkställighet av lag, dels förskrifter inom den s.k. restkompetensen, dvs. sådana föreskrifter som inte enligt grundlag ska meddelas av riksdagen. Det kan finnas behov av föreskrifter om begränsningar av möjligheten att göra sökningar avseende känsliga personuppgifter och av möjligheten att lämna ut personuppgifter elektroniskt på sådan detaljnivå att dessa inte lämpar sig att intas i lag. På samma sätt förhåller det sig när det gäller regleringen av tillgången till personuppgifter i Rättsmedicinalverkets verksamhet. Behovet av en mer detaljerad reglering av tillgången till personuppgifter är lika stort inom dataskyddsförordningens som brottsdatalagens område. Regeringen anser därför, till skillnad från utredningen, att det i den lag som nu föreslås även bör införas en bestämmelse som upplyser om möjligheten att meddela föreskrifter om tillgången till personuppgifter på brottsdatalagens område.
I likhet med utredningen och till skillnad från Dataskydd.net anser regeringen därför att det bör införas bestämmelser som upplyser om att regeringen eller den myndighet som regeringen bestämmer, med stöd av 8 kap. 7 § regeringsformen, kan meddela föreskrifter med den innebörd som behandlas ovan. Regeringen finner vidare, i likhet med Kammarrätten i Stockholm, att bestämmelsen om föreskrifter avseende möjligheterna att lämna ut personuppgifter elektroniskt bör placeras i lagens första kapitel med allmänna bestämmelser.
6.3.16 Tillsyn och sanktionsavgifter
Regeringens förslag: Sanktionsavgift ska få tas ut av Rättsmedicinalverket vid överträdelser på brottsdatalagens område av bestämmelserna om ändamål eller om sökförbud. Sanktionsavgift ska även få tas ut av verket vid överträdelser av föreskrifter som har meddelats i anslutning till lagen och som gäller begränsningar av möjligheten att göra sökningar avseende känsliga personuppgifter.
Sanktionsavgiften ska bestämmas till högst 10 000 000 kr.
Regeringens bedömning: Dataskyddslagens bestämmelser om sanktionsavgifter är tillämpliga på Rättsmedicinalverkets behandling av personuppgifter på dataskyddsförordningens område enligt den föreslagna lagen.
Det krävs inte några särskilda regler om tillsyn utöver regleringen i brottsdatalagen respektive dataskyddslagen.
Utredningens förslag överensstämmer delvis med regeringens. Utredningen föreslår att sanktionsavgiften ska bestämmas till högst 20 000 000 kr. Dessutom föreslår utredningen ett minimibelopp.
Remissinstanserna: Endast ett fåtal remissinstanser yttrar sig över förslaget. Justitiekanslern anför att bestämmelsen inte i alla delar överensstämmer med brottsdatalagen. Bestämmelsen ger, enligt Justitiekanslern, till exempel inte besked om vem som beslutar om sanktionsavgift, hur den ska bestämmas eller om den får jämkas.
Skälen för regeringens förslag och bedömning
Vissa bestämmelser bör införas för Rättsmedicinalverkets behandling av personuppgifter på brottsdatalagens område
Bestämmelser om möjligheten att ta ut en sanktionsavgift vid vissa överträdelser av brottsdatalagen, finns i 6 kap. i nämnda lag. Enligt brottsdatalagen kan en sanktionsavgift tas ut bl.a. vid överträdelser av bestämmelser om hur personuppgifter får behandlas. Regeringen har tidigare uttalat att om en bestämmelse i en registerförfattning ersätter, preciserar eller på annat sätt kompletterar en bestämmelse i brottsdatalagen som kan föranleda sanktionsavgift, bör även överträdelser av bestämmelsen i registerförfattningen kunna föranleda sanktionsavgift (prop. 2017/18:269 s. 114). I linje med detta ställningstagande bör överträdelser av bestämmelserna på brottsdatalagens område om tillåtna ändamål och om sökförbud kunna föranleda sanktionsavgifter. Som utredningen föreslår bör motsvarande gälla vid överträdelser av föreskrifter om begränsningar av möjligheten att göra sökningar avseende känsliga personuppgifter, som har meddelats i anslutning till lagen. I övrigt finns det inte skäl att införa ytterligare bestämmelser om möjlighet att ta ut sanktionsavgift.
Regeringen delar utredningens uppfattning att sanktionsavgiftens storlek bör bestämmas i enlighet med vad som gäller för överträdelser av brottsdatalagen enligt 6 kap. 3 § andra stycket. Vid införandet av brottsdatalagen gjorde dock regeringen bedömningen att sanktionsavgiften ska bestämmas till högst 10 000 000 kr och att något minimibelopp inte ska anges (prop. 2017/18:232 s. 325-329). Regleringarna bör inte skilja sig åt utan starka skäl. Några sådana finns inte, varför regeringen föreslår samma reglering för Rättsmedicinalverket.
Justitiekanslern anför att bestämmelsen inte ger besked om bl.a. vem som beslutar om sanktionsavgift, hur den ska bestämmas eller om den får jämkas och föreslår att en hänvisning till brottsdatalagens bestämmelser med relevant innehåll införs i lagen. I 5 kap. brottsdatalagen finns bestämmelser om tillsyn. Av 5 kap. 2 § framgår, liksom av definitionen av tillsynsmyndighet i 1 kap. 6 §, att tillsynen omfattar all personuppgiftsbehandling inom brottsdatalagens tillämpningsområde. Av 5 kap. 7 § brottsdatalagen framgår bl.a. tillsynsmyndighetens befogenhet att besluta om sanktionsavgifter. I brottsdatalagen finns det vidare bestämmelser om hur sanktionsavgiften ska bestämmas och vad som gäller i fråga om beslut om sanktionsavgift (6 kap. 3-7 §§). Den omständigheten att brottsdatalagen gäller subsidiärt i förhållande till den lag som nu föreslås innebär att de tillsyns-, handläggnings- och verkställighetsregler som finns i brottsdatalagen även gäller i de fall där sanktionsavgift tas ut för överträdelser av bestämmelser i registerförfattningarna (prop. 2017/18:269 s. 115 och prop. 2018/19:65 s. 64-68). Några bestämmelser om detta behövs därför inte i den lag som nu föreslås.
Inga bestämmelser behöver införas för Rättsmedicinalverkets behandling av personuppgifter på dataskyddsförordningens område
Enligt artikel 83 i dataskyddsförordningen har tillsynsmyndigheten i vissa fall möjlighet att påföra personuppgiftsansvariga och personuppgiftsbiträden administrativa sanktionsavgifter vid överträdelser av förordningens bestämmelser. Varje medlemsstat får fastställa regler för om och i vilken utsträckning sådana sanktionsavgifter kan påföras offentliga myndigheter och organ som är inrättade i medlemsstaten.
Dataskyddslagen innehåller bestämmelser som kompletterar dataskyddsförordningens reglering i dessa delar. I 6 kap. 1 § föreskrivs att de befogenheter som tillsynsmyndigheten har enligt dataskyddsförordningen även ska gälla vid tillsyn över efterlevnaden av bestämmelserna i dataskyddslagen och andra föreskrifter som kompletterar dataskyddsförordningen. I 6 kap. finns även kompletterande bestämmelser avseende tillsynsmyndighetens handläggning och beslut. Vad gäller sanktionsavgifter anges det i 6 kap. 1 § dataskyddslagen att sanktionsavgifter får tas ut av myndigheter vid vissa överträdelser av dataskyddsförordningen. Även bestämmelser om avgiftens storlek finns i 6 kap.
Regeringen anser att det saknas skäl att i Rättsmedicinalverkets registerförfattning, i den del som faller inom dataskyddsförordningens tillämpningsområde, ha ett annat förfarande för tillsyn och sanktioner än det som kommer att gälla för andra myndigheter enligt dataskyddslagen. Eftersom dataskyddslagen kommer att gälla vid Rättsmedicinalverkets behandling av personuppgifter på dataskyddsförordningens område, under förutsättning att annat inte följer av Rättsmedicinalverkets registerförfattning eller föreskrifter som har meddelats i anslutning till den, krävs det inte någon särskild reglering för att dataskyddslagens bestämmelser om tillsyn och sanktionsavgifter ska bli tillämpliga. Regeringen anser därför att det inte behöver införas några regler om tillsyn eller om sanktionsavgifter såvitt gäller personuppgiftsbehandling som omfattas av dataskyddsförordningen.
6.3.17 Skadestånd
Regeringens förslag: Brottsdatalagens bestämmelse om skyldighet för den personuppgiftsansvarige att ersätta den registrerade för den skada och kränkning av den personliga integriteten som behandling av personuppgifter i strid med brottsdatalagen har orsakat, ska gälla vid behandling av personuppgifter i strid med den nu föreslagna lagen eller föreskrifter som har meddelats i anslutning till den.
Regeringens bedömning: Några särskilda bestämmelser om skadestånd behövs inte på dataskyddsförordningens område.
Utredningens förslag och bedömning överensstämmer med regeringens.
Remissinstanserna: Ingen remissinstans yttrar sig särskilt över förslaget eller bedömningen.
Skälen för regeringens förslag och bedömning: Enligt 7 kap. 1 § brottsdatalagen ska den personuppgiftsansvarige ersätta den registrerade för den skada och kränkning av den personliga integriteten som behandling av personuppgifter i strid med brottsdatalagen, eller föreskrifter som har meddelats i anslutning till den, har orsakat. En sådan rätt till skadestånd bör gälla även när personuppgifter har behandlats i strid med den lag för Rättsmedicinalverket som nu föreslås. Lagen bör därför innehålla en bestämmelse som anger att 7 kap. 1 § brottsdatalagen ska tillämpas vid behandling av personuppgifter på brottsdatalagens område i strid med lagen eller föreskrifter som har meddelats i anslutning till den.
Artikel 82 i dataskyddsförordningen föreskriver att en person ska ha rätt till ersättning för skada som denne har lidit till följd av en överträdelse av förordningen. Av skäl 146 i förordningen följer att med behandling som strider mot förordningen avses även behandling som strider mot medlemsstaternas nationella rätt med närmare specifikation av förordningens bestämmelser. I 7 kap. 1 § dataskyddslagen upplyses om detta, dvs. att rätten till ersättning enligt dataskyddsförordningen gäller även vid överträdelser av bestämmelser i dataskyddslagen och andra författningar som kompletterar dataskyddsförordningen. Någon ytterligare bestämmelse om skadestånd behövs därför inte i den nu föreslagna lagen.
6.3.18 Tillgången till personuppgifter
Regeringens förslag: Tillgången till personuppgifter ska begränsas till det som var och en behöver för att kunna fullgöra sina arbetsuppgifter.
Utredningens förslag överensstämmer med regeringens.
Remissinstanserna: Endast ett fåtal remissinstanser yttrar sig över förslaget. Sveriges Läkarförbund anser att bestämmelsen bör omformuleras på ett sätt som säkerställer alla aspekter på läkarnas fullgörande av arbetsuppgifter så att förslaget inte leder till att undersökningsläkare inte längre kan ta del av vissa handlingar som man kunnat ta del av tidigare. Dataskydd.net anser att det inte finns något behov av bestämmelsen.
Skälen för regeringens förslag: Registerförfattningar innehåller ofta en bestämmelse som begränsar tillgången till personuppgifter. Dataskyddsförordningen innehåller inte någon uttrycklig sådan bestämmelse. I artikel 5.1 c uttrycks dock den grundläggande principen att personuppgifter som behandlas ska vara adekvata, relevanta och inte för omfattande i förhållande till de ändamål för vilka de behandlas. Enligt artikel 24.1 gäller vidare att den personuppgiftsansvarige ska, med beaktande av bl.a. behandlingens art, omfattning, ändamål och riskerna, genomföra lämpliga tekniska och organisatoriska åtgärder för att säkerställa och kunna visa att behandlingen utförs i enlighet med förordningen. Enligt artikel 25.2 ska den personuppgiftsansvarige också genomföra lämpliga tekniska och organisatoriska åtgärder för att säkerställa att endast personuppgifter som är nödvändiga för varje specifikt ändamål med behandlingen behandlas. Den skyldigheten gäller mängden insamlade personuppgifter, behandlingens omfattning, tiden för dess lagring och deras tillgänglighet. Enligt artikel 32 i dataskyddsförordningen har den personuppgiftsansvarige vidare en skyldighet att se till att en lämplig säkerhetsnivå för behandlingen av personuppgifter upprätthålls. Detta ska ske bl.a. genom lämpliga tekniska och organisatoriska åtgärder. Den personuppgiftsansvariges skyldigheter i denna del återfinns även i de allmänna principer för personuppgiftsbehandling som framgår av artikel 5.1 f i dataskyddsförordningen.
Rättsmedicinalverket behandlar bl.a. stora mängder känsliga personuppgifter. För att minska risken för obefogade intrång i den personliga integriteten vid Rättsmedicinalverkets behandling av uppgifter anser regeringen, till skillnad från Dataskydd.net, att det bör införas en bestämmelse som uttryckligen begränsar den krets av personer som får ha tillgång till personuppgifter. Även om skyldigheten för personuppgiftsansvariga att på olika sätt begränsa tillgången till personuppgifter kan sägas följa av dataskyddsförordningen menar regeringen att bestämmelsen utgör en sådan specificering som enligt artikel 6.2 och 6.3 är tillåten i nationell rätt. Genom en sådan bestämmelse åstadkoms också tydligare överensstämmelse mellan vad som gäller för Rättsmedicinalverkets personuppgiftsbehandling på brottsdatalagens respektive dataskyddsförordningens tillämpningsområde. Av 3 kap. 6 § brottsdatalagen följer nämligen en skyldighet för den personuppgiftsansvarige att se till att tillgången till personuppgifter begränsas till vad var och en behöver för att kunna fullgöra sina arbetsuppgifter följer. Denna bestämmelse gäller för Rättsmedicinalverkets behandling av personuppgifter inom brottsdatalagens tillämpningsområde.
Sveriges Läkarförbund har inga invändningar mot förslaget i sig, men menar att bestämmelsen bör omformuleras på ett sätt som säkerställer alla aspekter på läkarnas fullgörande av arbetsuppgifter. Av bestämmelsen följer att tillgången till personuppgifter ska begränsas till det som var och en behöver för att kunna fullgöra sina arbetsuppgifter. Enligt regeringen ligger detta i linje med dataskyddsförordningens grundläggande princip om uppgiftsminimering (artikel 5.1 c) och utgör en rimlig och naturlig avvägning mellan effektivitet och integritet. Om en uppgift behövs för ett tjänsteåliggande är det rimligt att arbetstagaren får tillgång till uppgiften, men inte annars. Regeringen finner därför inte skäl att omformulera bestämmelsen och därigenom frångå den systematik som följer av ett flertal registerförfattningar på dataskyddsförordningens tillämpningsområde och av brottsdatalagen.
6.3.19 Dataskyddsombud
Regeringens bedömning: Det behövs ingen bestämmelse som föreskriver en skyldighet för Rättsmedicinalverket att utse ett dataskyddsombud. Bestämmelserna i dataskyddsförordningen och brottsdatalagen är tillräckliga. Det bör inte införas en författningsreglerad skyldighet för dataskyddsombudet att anmäla till tillsynsmyndigheten om den personuppgiftsansvarige bryter mot bestämmelser för behandling av personuppgifter och rättelse inte vidtas.
Utredningens förslag och bedömning överensstämmer delvis med regeringens bedömning. Enligt utredningens förslag ska dataskyddsombud vara skyldiga att anmäla till tillsynsmyndigheten om personuppgiftsansvariga bryter mot bestämmelser för behandling av personuppgifter och rättelse inte vidtas.
Remissinstanserna: Dataskydd.net anser att det inte finns något behov av den bestämmelse som utredningen föreslår. I övrigt yttrar sig inte någon remissinstans särskilt i denna del.
Skälen för regeringens bedömning: Bland den personuppgiftsansvariges skyldigheter finns ett krav på att i vissa fall utse ett dataskyddsombud. Dataskyddsförordningen och dataskyddsdirektivet innehåller inte någon definition av vad som är ett dataskyddsombud. Av brottsdatalagen framgår dock att ett dataskyddsombud är den person som utses av den personuppgiftsansvarige för att självständigt se till att personuppgifter behandlas författningsenligt och på ett korrekt sätt (1 kap. 6 §).
Enligt dataskyddsförordningen ska den personuppgiftsansvarige och personuppgiftsbiträdet utnämna ett dataskyddsombud bl.a. om behandlingen av personuppgifter utförs av en myndighet (artikel 37.1 a). Motsvarande bestämmelse finns i artikel 32.1 i dataskyddsdirektivet, som anger att medlemsstaterna ska föreskriva att den personuppgiftsansvarige ska utnämna ett dataskyddsombud. Från denna skyldighet får undantas domstolars och andra oberoende rättsliga myndigheters dömande verksamhet. Dataskyddsdirektivet genomförs i denna del av 3 kap. 13 § brottsdatalagen, som anger att den personuppgiftsansvarige ska utse ett eller flera dataskyddsombud och anmäla till tillsynsmyndigheten när dataskyddsombud utses och entledigas. Rättsmedicinalverket är, enligt dessa bestämmelser i förordningen respektive brottsdatalagen, skyldigt att utse ett eller flera dataskyddsombud. Regeringen instämmer därmed i utredningens bedömning att det inte finns något behov av en bestämmelse i lagen som föreskriver en skyldighet att utse ett sådant ombud.
Dataskyddsombudets uppgifter framgår, såvitt gäller den behandling av personuppgifter som äger rum inom dataskyddsförordningens tillämpningsområde, av artikel 39. Artikeln innehåller en uppräkning av de uppgifter ett dataskyddsombud minst ska ha och lämnar således möjligheten öppen för medlemsstaterna att föreskriva ytterligare uppgifter för ombudet. Av artikel 38.4 framgår dessutom att dataskyddsombudet ska vara tillgängligt för registrerade, eftersom bestämmelsen anger att den registrerade får kontakta dataskyddsombudet med avseende på alla frågor som rör behandlingen av dennes personuppgifter och utövandet av dennes rättigheter enligt förordningen.
På dataskyddsdirektivets område finns motsvarande bestämmelser huvudsakligen i artikel 34, som genomförs genom 3 kap. 14 och 15 §§ brottsdatalagen. Dataskyddsombudets uppgifter är i stort desamma inom båda regelkomplexens respektive tillämpningsområde.
Utredningen om 2016 års dataskyddsdirektiv föreslog att brottsdatalagen även skulle innehålla en skyldighet för dataskyddsombudet att anmäla till tillsynsmyndigheten om den personuppgiftsansvarige bryter mot bestämmelser för behandling av personuppgifter och rättelse inte vidtas. Denna reglering hade inte sitt ursprung i dataskyddsdirektivet, utan föreslogs med motiveringen att det är viktigt att dataskyddsombud uppmärksammar tillsynsmyndigheten på eventuella problem och brister, särskilt om den personuppgiftsansvarige inte rättar sig efter ombudets påpekanden (SOU 2017:29 s. 348). Vid införandet av brottsdatalagen gjorde dock regeringen bedömningen att dataskyddsombuden inte bör ha en sådan författningsreglerad skyldighet (prop. 2017/18:232 s. 205). Regeringen framhöll att någon motsvarande anmälningsskyldighet inte gäller på dataskyddsförordningens område och att det inte är motiverat att införa en sådan skyldighet endast inom brottsdatalagens tillämpningsområde. Mot denna bakgrund anser regeringen, till skillnad från utredningen men i likhet med Dataskydd.net, att det inte bör införas någon anmälningsskyldighet för dataskyddsombuden i den nu föreslagna lagen.
6.3.20 Avgiftsfri information
Regeringens bedömning: Det bör inte införas en bestämmelse om att Rättsmedicinalverket, ifall någon begär information och uppgifter enligt artikel 15 i dataskyddsförordningen oftare än en gång per år, ska få ta ut en rimlig avgift eller avslå begäran.
Utredningens förslag överensstämmer inte med regeringens bedömning. Utredningen föreslår att det ska införas en bestämmelse som innebär att om någon begär information och uppgifter enligt artikel 15 i dataskyddsförordningen oftare än en gång per år, ska Rättsmedicinalverket få ta ut en rimlig avgift eller avslå begäran.
Remissinstanserna: Dataskydd.net anser att det inte finns något behov av bestämmelsen. I övrigt yttrar sig inte någon remissinstans särskilt i denna del.
Skälen för regeringens bedömning: Av artikel 15 i dataskyddsförordningen framgår att den registrerade ska ha rätt att av den personuppgiftsansvarige få bekräftelse på huruvida personuppgifter som rör honom eller henne håller på att behandlas och i så fall få tillgång till personuppgifterna och viss närmare preciserad information. Av artikel 12.5 i dataskyddsförordningen följer att all kommunikation och samtliga åtgärder som vidtas enligt artikel 15 ska tillhandahållas kostnadsfritt. Om en begäran från en registrerad är uppenbart ogrundad eller orimlig, särskilt på grund av dess repetitiva art, får den personuppgiftsansvarige antingen ta ut en rimlig avgift som täcker de administrativa kostnaderna för att tillhandahålla informationen eller vidta den åtgärd som begärts, eller vägra att tillmötesgå begäran. Det åligger den personuppgiftsansvarige att visa att begäran är uppenbart ogrundad eller orimlig.
Motsvarande reglering om enskildas rätt till information finns i dataskyddsdirektivet i bl.a. artikel 12. Av artikel 12.4 framgår att informationen ska tillhandahållas kostnadsfritt och att den personuppgiftsansvarige, om en begäran är uppenbart ogrundad eller orimlig, särskilt på grund av att den är repetitiv, antingen får ta ut en rimlig avgift eller vägra att tillmötesgå begäran. Genomförandet i svensk rätt återfinns i 4 kap. 12 § brottsdatalagen. Bestämmelsen anger att information enligt 3 § i samma kapitel, som i huvudsak motsvarar den information som ska lämnas enligt artikel 15 i förordningen, ska lämnas utan avgift en gång per år. Om någon begär information och uppgifter enligt 3 § oftare än en gång per år, får den personuppgiftsansvarige ta ut en rimlig avgift eller avslå begäran.
Artiklarna 12 och 15 i dataskyddsförordningen är direkt tillämpliga. Enligt regeringens bedömning är det tveksamt om det på dataskyddsförordningens område finns utrymme att i nationell rätt föreskriva att en begäran som sker oftare än en gång per år får avslås eller att en rimlig avgift får tas ut. Det finns, enligt regeringens bedömning, inte heller förutsättningar att, när det gäller Rättsmedicinalverkets personuppgiftsbehandling, begränsa enskildas rätt till information enligt artikel 15 med stöd av artikel 23 i dataskyddsförordningen. I likhet med Dataskydd.net anser regeringen därför inte att lagen bör innehålla en sådan bestämmelse som utredningen föreslår.
6.3.21 Begränsning av rätten till information om personuppgiftsincidenter
Regeringens förslag: Den personuppgiftsansvariges skyldighet att informera den registrerade om en personuppgiftsincident enligt artikel 34 i dataskyddsförordningen ska inte gälla sådana uppgifter som den personuppgiftsansvarige inte får lämna ut till den registrerade enligt lag eller annan författning eller enligt beslut som har meddelats med stöd av författning.
Utredningens förslag överensstämmer i sak med regeringens. Utredningen föreslår en annan lagteknisk utformning.
Remissinstanserna: Dataskydd.net ifrågasätter behovet av att införa en begränsning av skyldigheten att informera den registrerade om en personuppgiftsincident.
Skälen för regeringens förslag: Genom dataskyddsförordningen införs en skyldighet för den personuppgiftsansvarige att anmäla till tillsynsmyndigheten om det inträffar en s.k. personuppgiftsincident (artikel 33). Med personuppgiftsincident avses en säkerhetsincident som leder till oavsiktlig eller olaglig förstöring, förlust eller ändring eller till obehörigt röjande av eller obehörig åtkomst till de personuppgifter som överförts, lagrats eller på annat sätt behandlats (artikel 4.12). Om personuppgiftsincidenten sannolikt leder till en hög risk för fysiska personers rättigheter och friheter, ska den personuppgiftsansvarige utan onödigt dröjsmål informera den registrerade om personuppgiftsincidenten (artikel 34). Informationen ska bl.a. innehålla en tydlig och klar beskrivning av personuppgiftsincidentens art. Sådan information krävs dock inte om a) den personuppgiftsansvarige har genomfört lämpliga tekniska och organisatoriska skyddsåtgärder och dessa åtgärder tillämpats på de personuppgifter som påverkas av personuppgiftsincidenten, b) den personuppgiftsansvarige har vidtagit ytterligare åtgärder som säkerställer att den höga risken för de registrerades rättigheter och friheter sannolikt inte längre kommer att uppstå eller c) det skulle inbegripa en oproportionell ansträngning. I det sistnämnda fallet ska i stället allmänheten informeras eller en liknande åtgärd vidtas genom vilken de registrerade informeras på ett lika effektivt sätt.
De direkt tillämpliga undantagen i artikel 34.3 dataskyddsförordningen omfattar inte situationen att de uppgifter som ska lämnas till den registrerade omfattas av sekretess eller tystnadsplikt. Artikel 23 i dataskyddsförordningen ger emellertid en möjlighet att i nationell rätt föreskriva begränsningar av bl.a. skyldigheten att informera den registrerade om en personuppgiftsincident förutsatt att en sådan begränsning sker med respekt för andemeningen i de grundläggande rättigheterna och friheterna och utgör en nödvändig och proportionell åtgärd i ett demokratiskt samhälle i syfte att säkerställa vissa särskilt angivna intressen, t.ex. säkerställandet av unionens eller en medlemsstats viktiga mål av generellt intresse (artikel 23.1 e) eller skyddet av rättsväsendets oberoende och rättsliga åtgärder (artikel 23.1 f).
Dataskyddsförordningens bestämmelse om information till den registrerade vid en personuppgiftsincident skulle, utan en begränsning i enlighet med artikel 23, kunna innebära att uppgifter lämnas ut till den enskilde trots att det gäller sekretess för dessa. Så skulle t.ex. kunna vara fallet beträffande uppgifter som omfattas av den allmänna säkerhetssekretess enligt 18 kap. 8 § offentlighets- och sekretesslagen som gäller i Rättsmedicinalverkets verksamhet (se prop. 2017/18:248 s. 29-30). Enligt bestämmelsen råder sekretess för alla uppgifter om säkerhets- och bevakningsåtgärder om det kan antas att syftet med åtgärden motverkas om uppgiften lämnas ut. Bestämmelserna i offentlighets- och sekretesslagen som begränsar rätten till information är nödvändiga med hänsyn till enskilda och allmänna intressen. Regeringen anser mot denna bakgrund, till skillnad från Datskydd.net, att Rättsmedicinalverkets skyldighet enligt dataskyddsförordningen att informera den registrerade om en personuppgiftsincident inte bör gälla sådana uppgifter som den personuppgiftsansvarige inte får lämna ut till den registrerade enligt lag eller annan författning eller enligt beslut som har meddelats med stöd av författning. På detta sätt kommer nationella bestämmelser om sekretess och tystnadsplikt att gå före den registrerades rätt att få information om inträffade incidenter. Ett sådant undantag kan göras med stöd av artikel 23.1 e eller f i dataskyddsförordningen. Motsvarande bedömning har gjorts även i andra registerförfattningar på dataskyddsförordningens tillämpningsområde (se t.ex. prop. 2017/18:248 s. 29-30, prop. 2017/18:113 s. 35-37 och prop. 2017/18:254 s. 38-39). Regeringen anser till skillnad från vad som föreslås av utredningen att bestämmelsens utformning bör ta sin utgångspunkt i förordningens ordalydelse och därmed i den personuppgiftsansvariges skyldighet att informera om personuppgiftincidenter istället för den registrerades rätt att få information om en personuppgiftsincident.
Av 3 kap. 9-11 §§ brottsdatalagen framgår den personuppgifts-ansvariges skyldigheter när det gäller inträffade personuppgiftsincidenter, däribland skyldigheten att lämna viss information till den registrerade. Den personuppgiftsansvarige får underlåta att lämna sådan information i den utsträckning det är särskilt föreskrivet i lag eller annan författning eller annars framgår av beslut som har meddelats med stöd av författning att uppgifter inte får lämnas ut bl.a. av hänsyn till intresset av att förebygga, förhindra eller upptäcka brottslig verksamhet, utreda eller lagföra brott, verkställa straffrättsliga påföljder eller upprätthålla allmän ordning och säkerhet. Det är främst sekretess och tystnadsplikt enligt offentlighets- och sekretesslagen som avses (prop. 2017/18:232 s. 459). Bland annat kan förundersökningssekretess enligt 18 kap. 1 och 3 §§ offentlighets- och sekretesslagen aktualiseras i Rättsmedicinalverkets verksamhet.
7 En lag om Rättsmedicinalverkets elimineringsdatabas
7.1 Rättsmedicinalverkets elimineringsdatabas
Den kemiska benämningen på arvsmassan, som är bärare av en människas gener, är deoxiribonukleinsyra, förkortat dna. Genom att analysera dna kan viktig information erhållas. Vid Rättsmedicinalverket hanteras prover av dna framför allt vid verkets rättsgenetiska enhet. Med hjälp av dna-information genomförs huvudsakligen identifieringar av avlidna personer samt faderskaps- och släktskapsutredningar. När det gäller identifiering av avlidna, kan det ske både i de fall då det finns anledning att misstänka brott och när någon sådan misstanke inte finns. Genetiska analyser genomförs också i andra ärendetyper vid Rättsmedicinalverket, som exempelvis vid vissa uppdrag för hälso- och sjukvårdens räkning. Det rör sig exempelvis om ärenden om vilken betydelse genetiska faktorer har för läkemedelseffekter. Dna kan också analyseras inom ramen för brottsutredningar. Det gäller då ofta spår från brottsplatser, som analyseras bl.a. i syfte att identifiera en tänkbar gärningsman. Sådana analyser genomförs dock oftast av Nationellt forensiskt centrum (NFC) vid Polismyndigheten och inte av Rättsmedicinalverket.
Dna-analyser är ofta mycket tillförlitliga, men kompliceras av risken för kontaminering. Det innebär att dna som ska analyseras sammanblandas med annan dna, från någon som antingen hanterar dna-provet eller vars dna på annat sätt har kommit i kontakt med det dna-prov som ska analyseras. Kontamineringen kan ske i samtliga hanteringsled av ett dna-prov från det att ett prov tas, till dess att analysen är genomförd och analyssvaret föreligger. Det kan således ske redan vid provtagningen, som förutom vid Rättsmedicinalverkets rättsmedicinska enheter görs vid exempelvis någon av Migrationsverkets mottagningsenheter eller vid ett socialkontor. Kontamineringen kan också ske när de Rättsmedicinalverket-medarbetare som utför dna-analyser hanterar prover eller genom att dna från personer som tillhör andra yrkeskategorier som rör sig i den laboratoriemiljö där analyser genomförs kommer i kontakt med ett dna-prov. Det kan exempelvis röra sig om personal som städar lokalerna, utför reparationer eller av annan anledning besöker laboratoriet. Kontaminering kan också ske genom att det material som används vid provtagning eller analys inte är dna-fritt, utan innehåller dna t.ex. från personer som har tillverkat eller förpackat materialet. Ytor och föremål i Rättsmedicinalverkets rättsgenetiska laboratorium kan också bära dna. Dna är mycket tidsbeständigt och risken för kontaminering från dna som finns kvar i den miljö där analyser genomförs är därför inte obetydlig.
Vid analysen av dna-prover som har kontaminerats kan provsvaren vara svårtolkade och ibland missvisande. Om man exempelvis i ett identifieringsärende vid analysen av ett prov enbart får fram en dna-profil som beror på en kontaminering, kan det leda till en felaktig uteslutning. Den avlidne antas då vara den person vars dna-profil föreligger (alltså den profil som kontaminerat provet). Om inte denna dna-profil kan uteslutas genom en sökning i en elimineringsdatabas, riskeras identifieringsarbetet. Den avlidne antas i sådana fall vara en person vars dna kontaminerat provet och denne persons profil kommer vid en jämförelse med presumtiva släktingar till en försvunnen person, inte att visa någon överensstämmelse. I ett sådant fall kan den avlidne inte identifieras.
Med hänsyn till de negativa effekter en kontaminering kan få, har Rättsmedicinalverket inrättat en elimineringsdatabas. Databasen innehåller dna-profiler från medarbetare vid Rättsmedicinalverket, vissa besökare och en del personer som annars vistas i det rättsgenetiska laboratoriet, som exempelvis lokalvårdare. Prover som används för att ta fram dna-profiler till elimineringsdatabasen sparas i fem år. Elimineringsdatabasen utgör ett dna-register och behandling av uppgifter i databasen är personuppgiftsbehandling. En sådan databas är det enda sättet att systematiskt förebygga och upptäcka kontamineringar och den fungerar som ett stöd för att öka kvaliteten på de analysresultat som fås vid dna-undersökningar och för att förhindra att felaktiga slutsatser dras av ett analysresultat där kontaminering förekommit.
En motsvarande databas finns vid Polismyndigheten och en elimineringsdatabas framstår som ett nödvändigt hjälpmedel även i Rättsmedicinalverkets verksamhet.
7.2 Rättsmedicinalverkets elimineringsdatabas bör författningsregleras
Regeringens bedömning: Bestämmelser om Rättsmedicinalverkets elimineringsdatabas bör införas i en särskild lag.
Utredningens bedömning överensstämmer med regeringens.
Remissinstanserna: Polismyndigheten och Brottsoffermyndigheten är positiva till införandet av en lag som reglerar Rättsmedicinalverkets elimineringsdatabas. Riksförbundet för social och mental hälsa (RSMH) är emot införandet av en lag och anser att det inte borde behövas särlagstiftningar för enskilda myndigheter. I övrigt yttrar sig ingen remissinstans särskilt i denna del.
Skälen för regeringens bedömning: I dag inhämtas den enskildes samtycke till provtagning, hantering av dna och behandling av personuppgifter i Rättsmedicinalverkets elimineringsdatabas. Som regeringen konstaterar i det föregående är dock utrymmet för offentliga myndigheter att använda sig av samtycke som rättslig grund för behandling av personuppgifter på dataskyddsförordningens område (artikel 6.1 a) begränsat (se avsnitt 6.3.9).
Möjligheten att hantera kontamineringar genom en elimineringsdatabas är av avgörande betydelse för att Rättsmedicinalverket ska kunna få fram så korrekta resultat som möjligt vid de dna-analyser som verket genomför. Det finns därför starka skäl att skapa tydliga rättsliga förutsättningar för Rättsmedicinalverket att föra en sådan databas. Det kan också konstateras att den elimineringsdatabas som finns vid Polismyndigheten författningsreglerades 2014 genom lagen (2014:400) om Polismyndighetens elimineringsdatabas (prop. 2013/14:110). Enligt regeringen saknas det anledning att se annorlunda på behovet av författningsreglering för Rättsmedicinalverkets databas. Det bör alltså införas en författningsreglering även för Rättsmedicinalverkets elimineringsdatabas.
Frågan är då om bestämmelserna om Rättsmedicinalverkets elimineringsdatabas ska placeras i den lag om Rättsmedicinalverkets behandling av personuppgifter som nu föreslås (se avsnitt 6) eller om en särskild författning för elimineringsdatabasen är lämpligare. Den föreslagna lagen rör uteslutande personuppgiftsbehandling vid Rättsmedicinalverket medan en författningsreglering av elimineringsdatabasen väcker även andra frågor, exempelvis om en skyldighet för vissa personer att lämna dna-prov till databasen bör införas. Regeringen delar utredningens bedömning att sådana bestämmelser inte passar särskilt väl i en mer renodlad lag om personuppgiftsbehandling. Bestämmelser om Rättsmedicinalverkets elimineringsdatabas bör därför finnas i en särskild författning. Som framgår av avsnitt 7.5 kommer den föreslagna lagen om personuppgiftsbehandlingen vid Rättsmedicinalverket i stor utsträckning att tillämpas även vid den personuppgiftsbehandling som utförs i anslutning till elimineringsdatabasen.
En fråga att ta ställning till när det gäller författningsregleringen av Rättsmedicinalverkets elimineringsdatabas är vidare regeringsformens krav på bl.a. normgivningsnivå.
Som utvecklas närmare i avsnitt 7.8, ska personer vars dna riskerar att kontaminera material eller prover vara skyldiga att lämna prov för dna-analys. Enligt 2 kap. 6 § första stycket regeringsformen är var och en gentemot det allmänna skyddad mot påtvingat kroppsligt ingrepp. En skyldighet att lämna dna-prov utgör ett sådant påtvingat kroppsligt ingrepp som omfattas av skyddet i 2 kap. 6 § regeringsformen (prop. 2005/06:29 s. 19-20). Även om det inte är fråga om något fysiskt tvång, får tagandet av ett dna-prov anses påtvingat, om det finns ett krav på att den enskilde ska lämna provet och kravet är förenat med ett hot om vissa följder om provet inte lämnas (se prop. 1993/94:65 s. 111). Offentligt anställda omfattas av skyddet mot påtvingat kroppsligt ingrepp i förhållande till sin arbetsgivare. Av 2 kap. 20-21 §§ regeringsformen följer bl.a. att enskildas skydd mot sådana ingrepp endast får begränsas genom lag och för att tillgodose ändamål som är godtagbara i ett demokratiskt samhälle. Begränsningen får aldrig gå utöver vad som är nödvändigt med hänsyn till det ändamål som har föranlett den och inte heller sträcka sig så långt att den utgör ett hot mot den fria åsiktsbildningen såsom en av folkstyrelsens grundvalar.
Rättsmedicinalverkets dna-analysverksamhet är central bl.a. för många andra myndigheter och är av stor samhällelig betydelse. För att Rättsmedicinalverket ska kunna bedriva den verksamheten med hög kvalitet är det en förutsättning att relevanta dna-prover kan registreras i elimineringsdatabasen. Dna från en enda person skulle kunna leda till omfattande kontamineringar. För att databasen ska kunna användas för att effektivt avslöja kontamineringar krävs därför att de personer som riskerar att kontaminera material, prover eller lokaler verkligen lämnar dna-prov. Mot den bakgrunden utgör ett system som bygger på frivillighet inte ett möjligt alternativ. Genom den lag som föreslås begränsas skyldigheten att lämna dna-prov till de kategorier av personer som utgör en reell risk för kontaminering. Vidare föreslås bl.a. bestämmelser om på vilket sätt och under vilken tid proverna får användas. Sammantaget konstaterar regeringen att skyldigheten för vissa personer att genomgå provtagning bör regleras i lag liksom även den fortsatta hanteringen av ett lämnat prov (jfr prop. 2013/14:110 s. 456). Vidare anser regeringen att den begränsning av skyddet mot påtvingade kroppsliga ingrepp som den föreslagna regleringen innebär är proportionerlig och sker för ändamål som är godtagbara i ett demokratiskt samhälle.
7.3 Förutsättningar och ändamål för behandlingen av personuppgifter
Regeringens förslag: Rättsmedicinalverket ska få föra ett register över dna-profiler i syfte att stärka kvaliteten i den rättsgenetiska verksamheten med dna-analyser (elimineringsdatabasen). Uppgifter i elimineringsdatabasen ska endast få behandlas för att upptäcka och utreda kontamineringar av det som är föremål för dna-analys.
Utredningens förslag överensstämmer i sak med regeringens.
Remissinstanserna: Ingen remissinstans yttrar sig särskilt i denna del.
Skälen för regeringens förslag: I Rättsmedicinalverkets verksamhet sker behandling av personuppgifter inom både dataskyddsförordningens och brottsdatalagens tillämpningsområde. I förslaget till lag om Rättsmedicinalverkets behandling av personuppgifter återspeglas detta genom att bestämmelser som gäller specifikt inom de olika områdena behandlas i olika kapitel. Den personuppgiftsbehandling som sker i Rättsmedicinalverkets elimineringsdatabas kommer på motsvarande sätt att falla inom båda regelverken. Den föreslagna lagen om Rättsmedicinalverkets behandling av personuppgifter kommer att gälla även för den behandling av personuppgifter som sker i elimineringsdatabasen om inte annat följer av lagen om Rättsmedicinalverkets elimineringsdatabas (se avsnitt 7.5). De principer för gränsdragningen mellan dataskyddsförordningens och brottsdatalagens tillämpningsområde som redovisas i avsnitt 6.2 gäller därför även i detta sammanhang.
Behandlingen av personuppgifter i elimineringsdatabasen är en integrerad del i Rättsmedicinalverkets rättsgenetiska arbete och en förutsättning för att verket ska kunna utföra sitt rättsgenetiska uppdrag med god kvalitet. Regeringens tidigare ställningstaganden angående rättslig grund (avsnitt 6.3.9 och 6.3.10) och förutsättningarna för att behandla känsliga personuppgifter (avsnitt 6.3.12 och 6.3.13) gäller även i detta sammanhang och det finns således stöd för Rättsmedicinalverkets behandling av personuppgifter i elimineringsdatabasen både på dataskyddsförordningens och brottsdatalagens område.
Syftet med Rättsmedicinalverkets elimineringsdatabas är att den ska fungera som ett verktyg för att säkerställa att dna-analyser inte blir missvisande på grund av kontamineringar av i och för sig behöriga personer. Uppgifter i databasen måste kunna behandlas för att upptäcka och utreda kontamineringar, så att resultatet av dna-analyser inte påverkas av dessa och så att Rättsmedicinalverkets rutiner för analyserna och hantering av dna-prover kan utvecklas i riktning mot att minska risken för kontaminering.
Uppgifter i elimineringsdatabasen bör inte endast få behandlas för att upptäcka och utreda kontamineringar som kan ha uppstått i samband med dna-analyser utan även för att upptäcka och utreda kontamineringar som kan ha uppstått i samband med hanteringen av det biologiska materialet som ligger till grund för analysen. För att tydliggöra det bör bestämmelsen få en delvis annan språklig utformning än den utredningen föreslår. Den språkliga utformningen av bestämmelsen föreslås avvika även delvis från motsvarande bestämmelse i lagen om Polismyndighetens elimineringsdatabas där det framgår att uppgifter ska få behandlas även för att utreda kontamineringar vid hanteringen av dna-spår. Någon skillnad i sak är inte avsedd utan beror på att Rättsmedicinalverket inte använder sig av begreppet dna-spår i sin verksamhet.
Som framgår i avsnitt 7.1 genomför Rättsmedicinalverket dna-analyser både i ärenden där det finns en bakomliggande misstanke om brott och i ärenden där någon sådan misstanke inte föreligger. De fall då det finns en misstanke om brott utgörs huvudsakligen av identifieringsärenden, där den avlidne misstänks ha dödats. Majoriteten av dna-analyserna görs emellertid i ärenden där det inte finns någon brottsmisstanke, som faderskaps- och annan släktskapsanalys. Behovet av att upptäcka och utreda kontamineringar är lika stort, oavsett anledning till dna-analysen. Det saknas därför skäl att göra åtskillnad mellan behandling av uppgifter i elimineringsdatabasen som sker när det finns en misstanke om brott och behandling där sådan misstanke saknas. Däremot bör det av lagen framgå att databasen är kopplad till Rättsmedicinalverkets rättsgenetiska verksamhet och inte myndighetens verksamhet i stort.
7.4 Innebörden av vissa uttryck
Regeringens förslag: Begreppen dna-analys och dna-profil ska definieras i lagen.
Med dna-analys avses varje förfarande som kan användas för analys av deoxiribonukleinsyra i humant material.
Med dna-profil avses resultatet av en dna-analys som presenteras i form av siffror eller bokstäver.
Utredningens förslag överensstämmer med regeringens.
Remissinstanserna: Ingen remissinstans yttrar sig särskilt i denna del.
Skälen för regeringens förslag: Uttrycken dna-analys och dna-profil är centrala. Innebörden av dessa uttryck bör definieras för att undvika missförstånd. Av lagen om Polismyndighetens elimineringsdatabas framgår att begreppen dna-profil och dna-analys som används i lagen har samma betydelse som i lagen (2018:1693) om polisens behandling av personuppgifter inom brottsdatalagens område (1 kap. 5 §). Uttrycken bör användas i samma betydelse även i lagen om Rättsmedicinalverkets elimineringsdatabas. Definitionen av begreppen bör dock lämpligen anges i lagen, i stället för genom hänvisning till annan lag. I lagen bör därför slås fast att med dna-analys avses varje förfarande som kan användas för analys av deoxiribonukleinsyra i humant material och att med dna-profil avses resultatet av en dna-analys som presenteras i form av siffror eller bokstäver.
7.5 Förhållandet till annan dataskyddsreglering
Regeringens förslag: I lagen införs en bestämmelse som anger att lagen om Rättsmedicinalverkets behandling av personuppgifter och föreskrifter som har meddelats i anslutning till den gäller om inte annat följer av den föreslagna lagen eller föreskrifter som har meddelats i anslutning till den.
Regeringens bedömning: Det behövs inte någon bestämmelse som uttryckligen anger hur lagen förhåller sig till dataskyddsförordningen, dataskyddslagen eller brottsdatalagen.
Utredningens förslag överensstämmer i sak med regeringens. Utredningen föreslår att det uttryckligen ska anges hur lagen förhåller sig till dataskyddsförordningen, dataskyddslagen eller brottsdatalagen.
Remissinstanserna: Dataskydd.net noterar att regleringen verkar implicera att elimineringsdatabasen blir allmän handling och ifrågasätter lämpligheten i det. Kammarrätten i Stockholm har vissa lagtekniska synpunkter. I övrigt yttrar sig ingen remissinstans särskilt i denna del.
Skälen för regeringens förslag och bedömning: Ett dna-prov är inte i sig en personuppgift. Däremot går det att koppla ett dna-prov till den person som har lämnat provet eftersom en dna-profil innehåller sådan information att den kan knytas till en enskild individ. Informationen utgör därmed en personuppgift och de åtgärder som vidtas med dna-profilerna i databasen utgör personuppgiftsbehandling.
Som framgår av bl.a. avsnitt 6.2 aktualiserar behandlingen av personuppgifter vid Rättsmedicinalverket tillämpning av såväl dataskyddsförordningen och dataskyddslagen som brottsdatalagen. I den mån det är fråga om personuppgiftsbehandling som Rättsmedicinalverket i egenskap av behörig myndighet utför för sådana syften som anges i 1 kap. 4 § i den föreslagna lagen om Rättsmedicinalverkets behandling av personuppgifter, är sistnämnda lag tillämplig. För annan personuppgiftsbehandling vid Rättsmedicinalverket gäller dataskyddsförordningens bestämmelser och kompletterande reglering.
Bestämmelserna i den föreslagna lagen om Rättsmedicinalverkets behandling av personuppgifter är väl anpassade till Rättsmedicinalverkets verksamhet och kan därför lämpligen reglera behandlingen av personuppgifter även i elimineringsdatabasen, i den utsträckning inte särbestämmelser bör gälla för databasen. Detta bör framgå av den föreslagna lagen. Som Kammarrätten i Stockholm påpekar bör en sådan bestämmelse dock ges en mer lättillgänglig utformning än den som utredningen föreslagit. Att dataskyddsförordningen, dataskyddslagen och brottsdatalagen ska tillämpas på samma sätt som gäller för personuppgiftsbehandlingen i stort vid Rättsmedicinalverket följer redan av bestämmelserna om förhållandet till annan reglering i lagen om Rättsmedicinalverkets behandling av personuppgifter. I den lagen finns även en bestämmelse som upplyser om den särskilda regleringen för Rättsmedicinalverkets elimineringsdatabas. Någon ytterligare reglering av detta är inte nödvändig. De särbestämmelser som bör gälla för elimineringsdatabasen behandlas i de följande avsnitten.
Dataskydd.net noterar att regleringen verkar implicera att elimineringsdatabasen blir allmän handling och ifrågasätter lämpligheten i det. Regeringen konstaterar att även för det fall att elimineringsdatabasen skulle anses vara en allmän handling innebär det inte per automatik att den är offentlig utan begränsningarna av rätten att ta del av allmänna handlingar som finns i offentlighets- och sekretesslagen (2009:400) måste beaktas.
7.6 Rättsmedicinalverket är personuppgiftsansvarigt
Regeringens förslag: Rättsmedicinalverket ska vara personuppgiftsansvarigt för behandling av personuppgifter i elimineringsdatabasen.
Utredningens förslag överensstämmer med regeringens.
Remissinstanserna: Ingen remissinstans yttrar sig särskilt i denna del.
Skälen för regeringens förslag: Frågan om personuppgiftsansvar enligt lagen om Rättsmedicinalverkets behandling av personuppgifter behandlas i avsnitt 6.3.8. Enligt såväl dataskyddsförordningen som dataskyddsdirektivet är det möjligt att i nationell rätt slå fast vem som är personuppgiftsansvarig. För tydlighets skull och för att åstadkomma överensstämmelse med motsvarande reglering i lagen om Rättsmedicinalverkets behandling av personuppgifter, bör det i lagen införas en bestämmelse som anger att Rättsmedicinalverket är personuppgiftsansvarigt för behandling av personuppgifter i elimineringsdatabasen.
7.7 Elimineringsdatabasens innehåll
Regeringens förslag: Elimineringsdatabasen får innehålla dna-profiler från personer som genom att komma i kontakt med material eller prover som ska bli föremål för dna-analys eller lokaler där sådana analyser utförs riskerar att kontaminera dessa.
En dna-profil som registreras i databasen får endast ge information om identitet och inte om personliga egenskaper.
Utöver dna-profiler får elimineringsdatabasen innehålla uppgifter om vem dna-profilen avser.
Det klargörs att elimineringsdatabasen också får innehålla dna-profiler som har påträffats vid en dna-analys och som inte kan hänföras till en identifierad person.
Utredningens förslag överensstämmer i sak med regeringens.
Remissinstanserna: Ingen remissinstans invänder mot utredningens förslag.
Skälen för regeringens förslag: Syftet med elimineringsdatabasen är att stärka kvaliteten i den rättsgenetiska verksamheten med dna-analyser genom att kontamineringar kan upptäckas och utredas. För att det ska vara möjligt är det nödvändigt att elimineringsdatabasen innehåller dna-profiler från personer som riskerar att kontaminera material, lokaler eller dna-prover. Databasen bör dock inte ha ett mer omfattande innehåll än nödvändigt.
Dna-profilerna i elimineringsdatabasen bör endast få innehålla information om identitet och inte om personliga egenskaper. För att kunna utreda kontamineringar är det, särskilt för att kunna dra slutsatser om ett eventuellt behov av förändrade rutiner för verksamheten vid Rättsmedicinalverket som omfattar hantering av dna-prover, betydelsefullt att inte endast kunna se att en kontaminering kommer från en viss dna-profil i elimineringsdatabasen, utan också att kunna identifiera den person som dna-profilen avser. Utöver dna-profiler bör databasen därför få innehålla uppgifter om vem en viss dna-profil avser. Av integritetsskäl bör endast en begränsad krets av personal vid Rättsmedicinalverket ha tillgång till uppgifter om vem en viss dna-profil tillhör. Enligt 2 kap. 5 § i den föreslagna lagen om Rättsmedicinalverkets behandling av personuppgifter ska tillgången till personuppgifter begränsas till det som var och en behöver för att kunna fullgöra sina arbetsuppgifter. Motsvarande bestämmelse finns i 3 kap. 6 § brottsdatalagen. Dessa bestämmelser gäller även för personuppgiftsbehandlingen i elimineringsdatabasen. Vidare föreslås en bestämmelse som upplyser om möjligheten för regeringen eller den myndighet som regeringen bestämmer att meddela närmare föreskrifter om tillgången till personuppgifter (se avsnitt 7.12).
Det förekommer att Rättsmedicinalverket vid dna-analyser påträffar en dna-profil som härrör från en kontaminering, men som inte finns i elimineringsdatabasen. Det är i sådana fall inte möjligt att hänföra profilen till en identifierad person. I syfte att utveckla och förbättra kvaliteten på dna-analyser är det av stor vikt att sådana dna-profiler får ingå i elimineringsdatabasen. Det är särskilt viktigt i de fall en sådan oidentifierad dna-profil förekommer i mer än en analys. Det kan då misstänkas att det är fråga om en upprepad kontaminering, t.ex. i ett tidigt leverantörsled. Mot denna bakgrund bör det klargöras att även dna-profiler som har påträffats vid en dna-analys och som inte kan hänföras till en identifierad person få ingå i Rättsmedicinalverkets elimineringsdatabas.
7.8 Provtagning
Regeringens förslag: Anställda vid Rättsmedicinalverket och andra som återkommande kan komma i kontakt med och därigenom riskera att kontaminera material som används vid dna-analys, prover som ska bli föremål för sådan analys eller lokaler där analyser utförs, ska vara skyldiga att lämna prov för dna-analys i syfte att dna-profilen ska registreras i elimineringsdatabasen.
Detsamma ska gälla även för andra personer, om de ska få tillträde till en lokal där dna-prover hanteras eller förvaras.
Ett prov för dna-analys får inte användas för annat ändamål än det som provet togs för och ska förstöras senast sex månader efter det att provet togs.
Prov ska tas i form av salivprov.
Utredningens förslag överensstämmer med regeringens.
Remissinstanserna: Polismyndigheten anser att det bör förtydligas att salivproverna som tas enligt lagen avser humanbiologiskt material eftersom det följer av den föreslagna lagen om hantering av humanbiologiskt material vid Rättsmedicinalverket att prover av humanbiologiskt material som har tagits i syfte att ingå i Rättsmedicinalverkets elimineringsdatabas inte omfattas av den föreslagna lagen. I övrigt yttrar sig ingen remissinstans i sak i denna del.
Skälen för regeringens förslag: För att elimineringsdatabasen ska kunna fylla den funktion som är tänkt, är det nödvändigt att dna-profiler från vissa personkategorier registreras i databasen. Som redogörs för i avsnitt 7.2 är en skyldighet att lämna dna-prov en sådan begränsning av regeringsformens skydd mot påtvingade kroppsligt ingrepp som endast får göras för att tillgodose ändamål som är godtagbara i ett demokratiskt samhälle och aldrig får gå utöver vad som är nödvändigt med hänsyn till dess ändamål. Bestämmelser om skyldighet att lämna prov måste därför utformas så att de inte bli mer vidsträckta än nödvändigt.
I första hand bör skyldigheten att lämna prov till elimineringsdatabasen avse vissa av Rättsmedicinalverkets anställda. I vart fall bör personer som arbetar vid Rättsmedicinalverkets rättsgenetiska enhet omfattas av denna skyldighet. Dessutom bör personal vid de rättsmedicinska enheterna omfattas, eftersom många prover som analyseras i det rättsgenetiska laboratoriet har tagits vid en rättsmedicinsk enhet och personalen där därför riskerat att kontaminera prover i samband med provtagning. En avgränsning till viss organisatorisk tillhörighet är dock inte ändamålsenlig eftersom Rättsmedicinalverkets organisation kan komma att förändras över tid. Dessutom skulle en sådan avgränsning innebära att personalkategorier inom dessa enheter omfattas av en skyldighet att lämna prover enbart eftersom de arbetar vid en viss enhet, trots att de inte utgör en reell kontamineringsrisk.
Skyldigheten att lämna prov bör i stället omfatta de anställda vid Rättsmedicinalverket som kan komma i kontakt med, och därigenom riskera att kontaminera, material som används vid analyser, prover som ska analyseras eller lokaler där analyser görs. Denna skyldighet bör alltså gälla oberoende av vilken organisatorisk tjänsteplacering den anställde har. Den närmare begränsningen av vilka som bör lämna prov för registrering i elimineringsdatabasen bör regleras på lägre normgivningsnivå än lag, se avsnitt 7.12.
Även andra personer än anställda riskerar att kontaminera dna-analysprocessen och kan behöva ingå i elimineringsdatabasen för att databasen ska fylla sitt syfte. Det rör sig om personer som av olika anledningar återkommande har tillträde till Rättsmedicinalverkets lokaler, som exempelvis lokalvårdare, servicetekniker och hantverkare. Det kan också vara personer som kommer i kontakt med material som används vid dna-analyser, t.ex. anställda hos leverantörer av laboratoriematerial. En skyldighet för andra än anställda att lämna dna-prov, bör begränsas till personer som verkligen utgör en kontamineringsrisk. Det gäller framför allt personer som regelbundet vistas i lokaler där dna hanteras eller förvaras och personer som arbetar hos materialleverantörer. Även för dessa personalkategorier bör den närmare avgränsningen av personkretsen regleras på lägre normgivningsnivå än lag.
För personer som mer tillfälligt kommer i kontakt med Rättsmedicinalverkets lokaler där dna hanteras eller förvaras, bör det finnas en möjlighet att som villkor för tillträde till en lokal kräva att besökaren lämnar dna-prov till elimineringsdatabasen. En förutsättning för detta bör dock vara att personens dna riskerar att kontaminera lokalen eller material eller prover som ska bli föremål för dna-analys.
Provtagning för dna-analys som ska ligga till grund för registrering i elimineringsdatabasen bör tas i form av salivprov. Provet får inte användas för något annat ändamål än det som provet togs för, dvs. för att dna-profilen ska registreras i elimineringsdatabasen, och ska förstöras senast sex månader efter provtagningstillfället.
Förslaget till bestämmelserna om provtagning utformas i enlighet med motsvarande bestämmelser i lagen om Polismyndighetens elimineringsdatabas.
Polismyndighetens synpunkt om förhållandet mellan den nu föreslagna lagen och utredningens förslag om lag om hantering av humanbiologiskt material vid Rättsmedicinalverket får regeringen återkomma till vid behandlingen av det förslaget (jfr avsnitt 3).
7.9 Användning av elimineringsdatabasen
Regeringens förslag: En dna-profil från ett dna-prov som analyserats vid Rättsmedicinalverket ska få jämföras med dna-profiler i elimineringsdatabasen.
Även dna-profiler som har tagits fram för att kvalitetssäkra den rättsgenetiska verksamheten med dna-analyser ska få jämföras med dna-profiler i databasen.
Utredningens förslag överensstämmer med regeringens.
Remissinstanserna: Ingen remissinstans yttrar sig särskilt i denna del.
Skälen för regeringens förslag: En kontaminering kan visa sig i form av en s.k. blandbild, dvs. att man vid analysen av ett prov får fram två olika dna-profiler. Genom en jämförelse med dna-profilerna i elimineringsdatabasen kan dna-profiler som finns i databasen uteslutas.
Det är emellertid inte endast i form av en blandbild som en kontaminering kan visa sig. Den dna-profil som kontaminerat ett prov kan också vara den enda profil man får fram vid analysen. Det är inte särskilt vanligt förekommande vid Rättsmedicinalverket, eftersom de flesta prover som analyseras är tagna under sådana förutsättningar att de normalt sett inte enbart innehåller den kontaminerande dna-profilen. Det går dock inte att utesluta att sådana situationer kan inträffa och användningen av elimineringsdatabasen bör därför inte begränsas till att enbart avse kontamineringar som visar sig i form av en blandbild.
Som ett led i att kvalitetssäkra den rättsgenetiska verksamheten med dna-analyser genomför Rättsmedicinalverket regelmässigt interna kontroller av sina rutiner. En dna-profil som tagits fram i kvalitetssäkrande syfte, ett s.k. kontrollprov, kan t.ex. tillföras i en analysprocess för att kontrollera att de rutiner man arbetar efter har avsedd funktion. En dna-profil som har tagits fram för att kvalitetssäkra dna-analyser, måste kunna jämföras med dna-profiler i elimineringsdatabasen. En bestämmelse med denna innebörd bör därför införas i lagen. Förslaget till bestämmelse om användningen av s.k. kontrollprov i elimineringsdatabasen utformas väsentligen i enlighet med motsvarande bestämmelse i lagen om Polismyndighetens elimineringsdatabas.
7.10 Längsta tid för behandling
Regeringens förslag: Uppgifter i elimineringsdatabasen får behandlas så länge de behövs för att upptäcka och utreda om en persons dna kan ha kontaminerat material, prover eller lokaler.
För uppgifter som rör anställda vid Rättsmedicinalverket ska gälla en längsta tid om två år efter det att det förhållande som grundade skyldigheten att lämna prov upphörde.
Uppgifter som har registrerats i samband med att en person har fått tillträde till en lokal vid Rättsmedicinalverket, får inte behandlas längre än ett år efter det att uppgifterna registrerades.
För uppgifter i övrigt gäller att de inte får behandlas längre än ett år efter det att förhållandet som grundade skyldigheten att lämna prov upphörde.
Bestämmelsen om arkivlagstiftningens företräde i brottsdatalagen ska inte gälla vid tillämpning av paragrafen.
Utredningens förslag överensstämmer i huvudsak med regeringens. Utredningen föreslår inget undantag från bestämmelsen om arkivlagstiftningens företräde i 2 kap. 17 § andra stycket brottsdatalagen.
Remissinstanserna: Justitiekanslern påpekar att det är av vikt att så långt det är möjligt eftersträva en likartad systematik i alla de lagar och förordningar som reglerar personuppgiftsbehandling. Ingen remissinstans yttrar sig särskilt över förslaget.
Skälen för regeringens förslag: Ett sätt att minska intrånget i den personliga integriteten, är att begränsa tiden som en dna-profil får behandlas i elimineringsdatabasen. Lagen bör därför innehålla bestämmelser om hur länge uppgifter i databasen får behandlas. Utgångspunkten bör vara att en dna-profil inte får behandlas när profilen inte längre behövs för syftet att upptäcka och utreda kontamineringar. Så kan vara fallet när en anställd vid Rättsmedicinalverket byter arbetsuppgifter och inte längre kommer i kontakt med dna-hantering eller när en anställning upphör.
Rättsmedicinalverket bör fortlöpande följa upp vilka dna-profiler som behöver finnas i elimineringsdatabasen. Regeringen delar dock utredningens bedömning att det inte är tillräckligt med en allmän bestämmelse som innebär att uppgifter i databasen inte får behandlas när de inte längre behövs för sitt ändamål. Det behövs därutöver en reglering med tydliga tidsfrister för att förhindra att uppgifter behandlas under längre tid än vad som är nödvändigt. Vid bestämningen av hur lång tid uppgifter får behandlas, måste hänsyn å ena sidan tas till Rättsmedicinalverkets behov av att använda uppgifter i elimineringsdatabasen och det faktum att dna är mycket tidsbeständigt och kontamineringar därför kan ske lång tid efter det att dna har avsatts. Det är å andra sidan nödvändigt att också beakta skyddet för den personliga integriteten. Risken för kontamineringar är större när det gäller anställda vid Rättsmedicinalverket än för andra personer som mer tillfälligt vistas i lokalerna. För Polismyndighetens elimineringsdatabas gäller att uppgifter som rör anställda inte får behandlas längre än två år efter det att det förhållande som grundade skyldigheten att lämna prov upphörde. Tiden för tillfälliga besökare har satts till ett år efter det att registreringen i databasen gjordes. När det gäller övriga som är skyldiga att lämna prov anger lagen om Polismyndighetens elimineringsdatabas att uppgifter inte får behandlas längre än ett år efter det att det förhållande som grundade skyldigheten att lämna prov upphörde. Dessa tidsgränser har visat sig ändamålsenliga och framstår som lämpliga och välavvägda även för Rättsmedicinalverkets elimineringsdatabas. En bestämmelse av denna innebörd bör därför införas i lagen som reglerar Rättsmedicinalverkets elimineringsdatabas.
Som Justitiekanslern påpekar är det av vikt att eftersträva likartad systematik i lagar om personuppgiftsbehandling. Bland annat därför bör lagen, liksom motsvarande lag för Polismyndigheten, innehålla ett undantag från bestämmelsen om arkivlagstiftningens företräde i 2 kap. 17 § andra stycket brottsdatalagen (se prop. 2017/18:269 s. 389).
7.11 Skadestånd
Regeringens förslag: Bestämmelserna om skadestånd i brottsdatalagen ska tillämpas vid behandling av personuppgifter inom brottsdatalagens område i strid med den föreslagna lagen eller föreskrifter som har meddelats i anslutning till den.
Regeringens bedömning: Några särskilda bestämmelser om skadestånd behövs inte på dataskyddsförordningens område.
Utredningens förslag överensstämmer i sak med regeringens förslag. Utredningen föreslår dock en annan lagteknisk lösning.
Remissinstanserna: Ingen remissinstans yttrar sig särskilt i denna del.
Skälen för regeringens förslag och bedömning: Artikel 82 i dataskyddsförordningen föreskriver att en person ska ha rätt till ersättning för skada som denne har lidit till följd av en överträdelse av förordningen. Av skäl 146 i förordningen följer att med behandling som strider mot förordningen avses även behandling som strider mot medlemsstaternas nationella rätt med närmare specifikation av förordningens bestämmelser. I 7 kap. 1 § dataskyddslagen upplyses om detta, dvs. att rätten till ersättning enligt dataskyddsförordningen gäller även vid överträdelser av bestämmelser i dataskyddslagen och andra författningar som kompletterar dataskyddsförordningen. Eftersom den nu föreslagna lagen kompletterar dataskyddsförordningen behövs inte någon ytterligare bestämmelse om skadestånd på grund av överträdelser på förordningens område i lagen.
Brottsdatalagens bestämmelser om skadestånd föreslås i avsnitt 6.3.17 vara tillämpliga även vid behandling av personuppgifter i strid med lagen om Rättsmedicinalverkets behandling av personuppgifter eller föreskrifter som har meddelats i anslutning till den. Samma skadeståndsreglering bör gälla också för behandling av personuppgifter i strid med den lag som nu föreslås för Rättsmedicinalverkets elimineringsdatabas och föreskrifter meddelade i anslutning till den. För tydlighets skull anser regeringen, till skillnad från utredningen, att bestämmelsen i lagen om Rättsmedicinalverkets elimineringsdatabas bör hänvisa direkt till bestämmelserna om skadestånd i brottsdatalagen istället för att hänvisa till bestämmelser i lagen om Rättsmedicinalverkets behandling av personuppgifter. Bestämmelsen får då en utformning som motsvarar den som finns i lagen om Polismyndighetens elimineringsdatabas.
7.12 Rätt att meddela föreskrifter
Regeringens förslag: I lagen ska det upplysas om att regeringen eller den myndighet som regeringen bestämmer kan meddela dels närmare föreskrifter om vilka personalkategorier vid Rättsmedicinalverket och vilka andra personkategorier enligt 6 och 7 §§ som är skyldiga att lämna prover för dna-analys till elimineringsdatabasen samt om tillgången till uppgifter i elimineringsdatabasen, dels föreskrifter om förfarandet vid överensstämmelse mellan en dna-profil i elimineringsdatabasen och en annan dna-profil.
Utredningens förslag överensstämmer delvis med regeringens. Utredningen föreslår en upplysningsbestämmelse om att regeringen eller den myndighet som regeringen bestämmer med stöd av regeringens restkompetens enligt 8 kap. 7 § första stycket 2 regeringsformen kan meddela ytterligare föreskrifter om bl.a. vilka personalkategorier vid Rättsmedicinalverket och vilka andra personkategorier enligt 6 och 7 §§ som är skyldiga att lämna prover för dna-analys till elimineringsdatabasen.
Remissinstanserna: Ingen remissinstans yttrar sig särskilt i denna del.
Skälen för regeringens förslag: Bestämmelserna om vilka kategorier av personal och andra personer som ska vara skyldiga att lämna prov till elimineringsdatabasen kan kräva en kompletterande reglering, som närmare preciserar vilka personkategorier som skyldigheten ska omfatta. Sådana kompletterande bestämmelser bör lämpligen meddelas på en lägre normgivningsnivå än lag. Enligt regeringen är det tillräckligt att preciseringar av detta slag sker genom verkställighetsföreskrifter (8 kap. 7 § första stycket 1 regeringsformen). I elimineringsdatabasen finns dna-profiler och uppgifter om vem en viss dna-profil avser. Av integritetsskäl bör det vara en begränsad krets vid Rättsmedicinalverket som har tillgång till uppgifterna. I 3 kap. 6 § brottsdatalagen och i den lag om Rättsmedicinalverkets behandling av personuppgifter som föreslås finns bestämmelser om att tillgången till personuppgifter ska begränsas till det som var och en behöver för att kunna fullgöra sina arbetsuppgifter. Dessa bestämmelser gäller även för personuppgiftsbehandling i Rättsmedicinalverkets elimineringsdatabas (se avsnitt 7.5). Hur den krets som ska ha tillgång till uppgifterna i databasen bör avgränsas närmare kan också lämpligen regleras genom verkställighetsföreskrifter. En bestämmelse som upplyser om detta bör därför införas.
Även frågan hur Rättsmedicinalverket bör förfara vid överensstämmelser mellan en dna-profil i elimineringsdatabasen och en annan dna-profil bör regleras på lägre normgivningsnivå än lag. Det bör införas en bestämmelse som upplyser om att regeringen eller den myndighet som regeringen bestämmer, med stöd av 8 kap. 7 § regeringsformen, kan meddela sådana föreskrifter.
7.13 Sekretess för uppgifter i elimineringsdatabasen
Regeringens bedömning: Det behöver inte införas någon särskild bestämmelse om sekretess för uppgifter i Rättsmedicinalverkets elimineringsdatabas.
Utredningens bedömning överensstämmer med regeringens.
Remissinstanserna: Kammarrätten i Stockholm ifrågasätter utredningens bedömning att uppgifter i Rättsmedicinalverkets elimineringsdatabas omfattas av 25 kap. 1 § offentlighets- och sekretesslagen (2009:400), OSL, och föreslår införandet av en särskild bestämmelse i OSL som reglerar sekretessen i elimineringsdatabasen alternativt ett tydliggörande i 25 kap. 1 § OSL. I övrigt yttrar sig ingen remissinstans särskilt över bedömningen.
Skälen för regeringens bedömning: I elimineringsdatabasen kommer det att registreras uppgifter om enskilda vars dna-profiler ingår i databasen. Det framstår som angeläget att dessa uppgifter kan omfattas av sekretess. För Polismyndighetens elimineringsdatabas finns bestämmelser i 35 kap. 19 a § OSL, av vilken framgår att sekretess gäller hos Polismyndigheten för uppgift om en enskilds personliga förhållanden om uppgiften förekommer i den elimineringsdatabas som förs enligt lagen om Polismyndighetens elimineringsdatabas eller annars behandlas med stöd av samma lag, om det inte står klart att uppgiften kan röjas utan att den enskilde eller någon närstående till honom eller henne lider men.
I 35 kap. 1 § OSL finns bestämmelser om att sekretess gäller för uppgift om en enskilds personliga och ekonomiska förhållanden, om det inte står klart att uppgiften kan röjas utan att den enskilde eller någon närstående till honom eller henne lider skada eller men och uppgiften förekommer i bl.a. register som förs av Polismyndigheten enligt 5 kap. lagen (2018:1693) om polisens behandling av personuppgifter inom brottsdatalagens område. Tidigare hänvisade 35 kap. 1 § OSL i stället till 4 kap. i den då gällande polisdatalagen (2010:361). Ursprungligen var tanken att Polismyndighetens elimineringsdatabas skulle regleras i den tidigare polisdatalagen och elimineringsdatabasen skulle då ha omfattats av sekretessbestämmelserna i 35 kap. 1 § OSL. När Polismyndighetens elimineringsdatabas i stället reglerades i en särskild lag, infördes samtidigt sekretessbestämmelsen i 35 kap. 19 a § OSL (prop. 2013/14:110 s. 523).
Mot bakgrund av det anförda är frågan om en särskild bestämmelse som reglerar sekretessen för uppgifter i Rättsmedicinalverkets elimineringsdatabas bör införas. Av 25 kap. 1 § OSL framgår att sekretess gäller inom hälso- och sjukvården för uppgift om en enskilds hälsotillstånd eller andra personliga förhållanden, om det inte står klart att uppgiften kan röjas utan att den enskilde eller någon närstående till denne lider men. Detsamma gäller i annan medicinsk verksamhet, exempelvis rättsmedicinsk och rättspsykiatrisk undersökning. Med annan medicinsk verksamhet åsyftas verksamhet som inte primärt har vård- eller behandlingssyfte. Det kan exempelvis röra sig om verksamhet som bedrivs hos Rättsmedicinalverket (se Lenberg, Geijer och Tansjö, Offentlighets- och sekretesslagen [29 maj 2018, Zeteo], kommentaren till 25 kap. 1 §). Syftet med Rättsmedicinalverkets elimineringsdatabas är att stärka kvaliteten i den rättsgenetiska verksamheten med dna-analyser. Regeringen delar utredningens bedömning att denna verksamhet utgör sådan annan medicinsk verksamhet som avses i 25 kap. 1 § OSL. Uppgifter om enskildas hälsotillstånd eller andra personliga förhållanden som finns i Rättsmedicinalverkets elimineringsdatabas omfattas därigenom av den bestämmelsen. Regeringen anser därför, till skillnad från Kammarrätten i Stockholm, inte att det finns något behov av en särskild sekretessreglering som tar sikte enbart på elimineringsdatabasen eller något förtydligande i 25 kap. 1 § OSL.
8 Ikraftträdande- och övergångsbestämmelser
Regeringens förslag: Lagarna ska träda i kraft den 1 juli 2020. I lagen om Rättsmedicinalverkets behandling av personuppgifter ska bestämmelserna om sanktionsavgifter på brottsdatalagens område endast tillämpas på överträdelser som inträffat efter ikraftträdandet.
Dna-profiler som ingår i den nuvarande elimineringsdatabasen ska kunna registreras i den nya elimineringsdatabasen om den registrerade godtar det. De dna-profiler som inte förs över till elimineringsdatabasen ska gallras senast den 1 januari 2021.
Regeringens bedömning: I lagen om Rättsmedicinalverkets behandling av personuppgifter behövs inte några övergångsbestämmelser avseende sanktionsavgifter på dataskyddsförordningens område. Det behövs inte heller några övergångsbestämmelser i fråga om skadestånd vare sig i lagen om Rättsmedicinalverkets behandling av personuppgifter eller i lagen om Rättsmedicinalverkets elimineringsdatabas.
Utredningens förslag och bedömning överensstämmer delvis med regeringens. Utredningen föreslår att det i lagen om Rättsmedicinalverkets behandling av personuppgifter ska finnas en övergångsbestämmelse avseende sanktionsavgifter på dataskyddsförordningens område samt att det ska finnas en övergångsbestämmelse som anger att äldre bestämmelser om skadestånd ska fortsätta att gälla för skada som har orsakats före ikraftträdandet.
Utredningen föreslår vidare att det i lagen om Rättsmedicinalverkets elimineringsdatabas ska finnas en övergångsbestämmelse som anger att bestämmelserna om skadestånd endast ska tillämpas på skada som inträffat efter ikraftträdandet.
Remissinstanserna yttrar sig inte särskilt över förslagen.
Skälen för regeringens förslag och bedömning
Ikraftträdande
För personuppgiftsbehandling i Rättsmedicinalverkets verksamhet ska såväl dataskyddsförordningen och dataskyddslagen som brottsdatalagen tillämpas. Dataskyddsförordningen tillämpas sedan den 25 maj 2018 och samma datum trädde dataskyddslagen i kraft. Brottsdatalagen, som genomför dataskyddsdirektivet, trädde i kraft den 1 augusti 2018. Dataskyddslagen och brottsdatalagen ska gälla om inte annat följer av lagen om Rättsmedicinalverkets personuppgiftsbehandling eller föreskrifter som har meddelats i anslutning till lagen. Den sistnämnda lagen bör träda i kraft så snart som möjligt. Rättsmedicinalverket måste dock ges möjlighet att anpassa sig till den nya regleringen och bl.a. göra nödvändiga systemanpassningar. Regeringen föreslår mot den bakgrunden att lagen om Rättsmedicinalverkets behandling av personuppgifter ska träda i kraft den 1 juli 2020. I de delar lagen om Rättsmedicinalverkets elimineringsdatabas inte utgör en särreglering i förhållande till lagen om Rättsmedicinalverkets behandling av personuppgifter ska sistnämnda reglering gälla även för den behandling av personuppgifter som sker i elimineringsdatabasen. De båda lagarna bör därför träda i kraft samma datum.
Övergångsbestämmelser angående sanktionsavgifter och skadestånd
Enligt ikraftträdande- och övergångsbestämmelserna till brottsdatalagen får en sanktionsavgift inte tas ut för överträdelser som har skett före ikraftträdandet. Äldre föreskrifter ska i stället fortsätta att gälla för sådana överträdelser (prop. 2017/18:232 s. 426). Vissa överträdelser av bestämmelser på brottsdatalagens område i lagen om Rättsmedicinalverkets personuppgiftsbehandling eller föreskrifter meddelade i anslutning till den, ska också kunna leda till sanktionsavgifter (se avsnitt 6.3.16). I lagen behövs därför motsvarande övergångsbestämmelse angående sanktionsavgifter som i brottsdatalagen (prop. 2017/18:269 s. 284).
På dataskyddsförordningens område föreslås inte några bestämmelser om sanktionsavgifter utöver de som finns i förordningen och i dataskyddslagen (se avsnitt 6.3.16). Det finns därför inget behov av övergångsbestämmelser. Regeringen gör alltså, till skillnad från utredningen, bedömningen att någon övergångsbestämmelse avseende sanktionsavgifter på förordningens område inte behövs i lagen om Rättsmedicinalverkets behandling av personuppgifter.
Utredningen föreslår en övergångsbestämmelse i lagen om Rättsmedicinalverkets behandling av personuppgifter som anger att äldre föreskrifter om skadestånd fortfarande ska gälla för skada som har orsakats vid behandling av personuppgifter före ikraftträdandet. I lagen om Rättsmedicinalverkets elimineringsdatabas föreslår utredningen vidare en övergångsbestämmelse som anger att bestämmelserna om skadestånd endast ska tillämpas på skada som inträffat efter ikraftträdandet. Det har dock i tidigare lagstiftningsärenden ansetts att det saknas ett behov av sådana övergångsbestämmelser (se t.ex. prop. 2017/18:105 s. 176). Regeringen gör inte nu någon annan bedömning. Utredningens förslag i den delen bör därför inte genomföras.
Övergångsbestämmelser angående den befintliga elimineringsdatabasen
Som redogörs för i avsnitt 7.1 finns redan i dag en elimineringsdatabas vid Rättsmedicinalverket. Samtycke har ansetts vara en grund för behandling av personuppgifterna i databasen. Möjligheten för myndigheter att grunda behandling av personuppgifter på samtycke är dock begränsad. För personer som tidigare samtyckt till provtagning och vars dna-profiler finns i den befintliga databasen, framstår det dock som ändamålsenligt att inte behöva göra om provtagningen för att dna-profilerna ska kunna registreras i den nya elimineringsdatabasen. Regeringen delar utredningens bedömning att det bör finnas en möjlighet för registrerade att godta att befintliga dna-profiler förs över till den nya databasen. Den bedömningen gjorde också regeringen när övergångsbestämmelser till lagen om Polismyndighetens elimineringsdatabas infördes (prop. 2013/400:110 s. 468-470). De registrerade bör kunna meddela att man godtar detta under en viss övergångsperiod. Dna-profiler som inte förs över till den nya databasen ska efter denna period gallras. En övergångsbestämmelse av denna innebörd bör därför införas. Personer som inte godtar överföringen av dna-profiler, men som samtidigt enligt lagförslaget omfattas av en skyldighet att lämna dna-prov, ska behandlas på samma sätt som om de inte tidigare lämnat något prov.
9 Konsekvenser av förslagen
Regeringens bedömning: För Rättsmedicinalverket kommer förslagen att kräva utbildning och systemanpassningar. Kostnaderna för utbildning ryms inom befintliga anslag.
Förslagen innebär en förstärkning av skyddet för enskildas personliga integritet.
Förslagen förväntas inte få några direkta effekter på brottsligheten.
Förslagen har inte någon påverkan på jämställdheten mellan män och kvinnor eller på möjligheterna att nå de integrationspolitiska målen.
Utredningens bedömning överensstämmer med regeringens.
Remissinstanserna: Ingen av remissinstanserna invänder mot utredningens bedömning.
Skälen för regeringens bedömning: Inledningsvis kan det konstateras att konsekvenserna av den EU-rättsliga dataskyddsreformen i sin helhet inte analyseras inom ramen för den här propositionen. Analysen av konsekvenser omfattar endast de förslag som föreslås här, nämligen lagen om Rättsmedicinalverkets behandling av personuppgifter och lagen om Rättsmedicinalverkets elimineringsdatabas.
Regeringens förslag till lag om Rättsmedicinalverkets behandling av personuppgifter och lag om Rättsmedicinalverkets elimineringsdatabas innebär att helt ny lagstiftning kommer att gälla på de områden som förslagen omfattar. Myndighetens tillämpning av dessa bestämmelser kommer att kräva systemanpassningar och utbildning av de medarbetare som ska tillämpa reglerna. Kostnader för utbildning innefattas normalt av myndigheters anslag och de förslag regeringen lämnar får därför rymmas inom befintliga kostnadsramar för Rättsmedicinalverket. På motsvarande sätt är det med systemanpassningarna. Den nya lagstiftning som föreslås kan komma att kräva nya interna föreskrifter och styrande dokument inom Rättsmedicinalverket. Att ta fram sådant material ingår i de normala uppgifterna för myndigheter. Genom regeringens förslag får verket lagstiftning som är direkt anpassad till verksamheten. Även om införandet av framför allt lagen om Rättsmedicinalverkets behandling av personuppgifter åtminstone inledningsvis kommer att kräva utbildning och information om de nya bestämmelserna, bör lagstiftningen på sikt underlätta för myndigheten.
Ett grundläggande syfte med den EU-rättsliga dataskyddsreformen är att stärka integritetsskyddet för enskilda och ge dem bättre möjligheter att kunna kontrollera hur behandlingen av personuppgifter sker. Brottsdatalagen respektive dataskyddslagen syftar också till att stärka skyddet för den enskildes personliga integritet. Genom de lagar som föreslås införs tydligare ramar och förutsättningar för Rättsmedicinalverkets behandling av personuppgifter. En förtydligad reglering som är anpassad efter Rättsmedicinalverkets särskilda behov innebär mindre risker för otillåten behandling av personuppgifter. Lagarna innehåller även skyddsåtgärder i syfte att värna enskildas personliga integritet. Sammantaget är det regeringens bedömning att förslagen kommer att förstärka skyddet för enskildas personliga integritet.
Regeringen bedömer att de förslag som nu läggs fram inte kan förväntas medföra några direkta effekter på brottsligheten (jfr prop. 2017/18:232 s. 421). Däremot kan förbättrade möjligheter till informationsutbyte mellan Rättsmedicinalverket och brottsbekämpande myndigheter och andra myndigheter som lämnar uppdrag till verket få positiva effekter för uppdragsgivarnas verksamhet.
Regeringen bedömer att förslagen inte har någon påverkan på jämställdheten mellan män och kvinnor och att de inte heller kommer att påverka möjligheterna att nå de integrationspolitiska målen.
10 Författningskommentar
10.1 Förslaget till lag om Rättsmedicinalverkets behandling av personuppgifter
1 kap. Allmänna bestämmelser
Lagens tillämpningsområde
1 § Denna lag gäller vid behandling av personuppgifter i Rättsmedicinalverkets verksamhet.
Lagen gäller endast om behandlingen är helt eller delvis automatiserad eller om personuppgifterna ingår i eller kommer att ingå i ett register.
Paragrafen innehåller en reglering av lagens tillämpningsområde. Övervägandena finns i avsnitt 6.3.6.
I första stycket slås fast att lagen reglerar den behandling av personuppgifter som sker i Rättsmedicinalverkets verksamhet. Lagen gäller oavsett inom vilket av Rättsmedicinalverkets verksamhetsområden och i vilken ärendetyp behandlingen sker. Även behandling av en utomstående aktör som Rättsmedicinalverket gett i uppdrag att utföra en uppgift som åvilar verket sker i verkets verksamhet och faller således inom lagens tillämpningsområde. Viss behandling av personuppgifter vid Rättsmedicinalverket regleras dock i annan lagstiftning, vilket framgår av 5 §. Med begreppet personuppgift avses samma sak som i artikel 4.1 i Europarlamentets och rådets förordning (EU) 2016/679 av den 27 april 2016 om skydd för fysiska personer med avseende på behandling av personuppgifter och om det fria flödet av sådana uppgifter och om upphävande av direktiv 95/46/EG (allmän dataskyddsförordning), härefter dataskyddsförordningen, och i 1 kap. 6 § brottsdatalagen (2018:1177).
Att bestämmelserna i lagen, i tillämpliga delar, också gäller behandling av uppgifter om avlidna personer, framgår av 7 §.
Andra stycket begränsar lagens tillämpningsområde till helt eller delvis automatiserad behandling av personuppgifter och manuell behandling om personuppgifterna ingår i eller kommer att ingå i ett register. För helt eller delvis automatiserad behandling krävs det alltså inte att personuppgifterna ingår i eller är avsedda att ingå i ett register för att lagen ska vara tillämplig. Även behandling av personuppgifter i löptext omfattas således när det är fråga om automatiserad behandling.
Begreppet register definieras likalydande i artikel 4.6 i dataskyddsförordningen och i artikel 3 i dataskyddsdirektivet. I stället för registerbegreppet används i brottsdatalagen uttrycket en strukturerad samling av personuppgifter som är tillgängliga för sökning eller sammanställning enligt särskilda kriterier för att avgränsa brottsdatalagens tillämpningsområde (1 kap. 3 §). Innebörden av de båda begreppen är dock densamma.
Lagens uppbyggnad
2 § I detta kapitel finns allmänna bestämmelser om behandling av personuppgifter i Rättsmedicinalverkets verksamhet.
Bestämmelserna i 2 kap. gäller vid behandling av personuppgifter inom det område som omfattas av Europaparlamentets och rådets förordning (EU) 2016/679 av den 27 april 2016 om skydd för fysiska personer med avseende på behandling av personuppgifter och om det fria flödet av sådana uppgifter och om upphävande av direktiv 95/46/EG (allmän dataskyddsförordning), här benämnd EU:s dataskyddsförordning.
Bestämmelserna i 3 kap. gäller vid behandling av personuppgifter inom det område som omfattas av brottsdatalagen (2018:1177).
Paragrafen innehåller en beskrivning av lagens uppbyggnad.
Av första stycket framgår att 1 kap. innehåller allmänna bestämmelser, som är tillämpliga oavsett om personuppgiftsbehandlingen i Rättsmedicinalverkets verksamhet faller inom dataskyddsförordningens eller brottsdatalagens tillämpningsområde.
I andra stycket anges att bestämmelser som gäller för behandling av personuppgifter på dataskyddsförordningens område finns i 2 kap.
Tredje stycket anger att bestämmelser som gäller för behandling av personuppgifter på brottsdatalagens område finns i 3 kap.
Förhållandet till annan reglering
3 § Denna lag kompletterar EU:s dataskyddsförordning.
Vid behandling av personuppgifter enligt denna lag gäller lagen (2018:218) med kompletterande bestämmelser till EU:s dataskyddsförordning och föreskrifter som har meddelats i anslutning till den lagen, om inte annat följer av denna lag eller föreskrifter som har meddelats i anslutning till lagen.
Paragrafen upplyser om att lagen kompletterar dataskyddsförordningen och anger hur lagen förhåller sig till lagen (2018:218) med kompletterande bestämmelser till EU:s dataskyddsförordning, härefter dataskyddslagen, och föreskrifter som har meddelats i anslutning till den lagen. Övervägandena finns i avsnitt 5.1 och 6.3.2.
Dataskyddsförordningen utgör den generella regleringen av personuppgiftsbehandling inom EU. Förordningen är direkt tillämplig i varje medlemsstat. Av artikel 2.2 d i förordningen framgår att förordningen inte ska tillämpas på behandling av personuppgifter som behöriga myndigheter utför i syfte att förebygga, förhindra, utreda, avslöja eller lagföra brott eller verkställa straffrättsliga påföljder, i vilket även ingår att skydda mot samt förebygga och förhindra hot mot den allmänna säkerheten. Dataskyddsförordningen är således inte tillämplig i de fall då brottsdatalagen är tillämplig. Vad gäller gränsdragningen mellan behandling av personuppgifter i Rättsmedicinalverkets verksamhet inom dataskyddsförordningens respektive brottsdatalagens område, se författningskommentaren till 4 §.
I första stycket anges att lagen kompletterar dataskyddsförordningen. Av 2 § framgår att det är lagens första och andra kapitel som kompletterar dataskyddsförordningen. Att dataskyddsförordningen är direkt tillämplig i varje medlemsstat innebär att den automatiskt är en del av den svenska rättsordningen. I vissa avseenden förutsätter eller tillåter dataskyddsförordningen emellertid att medlemsstaterna inför bestämmelser som kompletterar förordningen, antingen i form av preciseringar eller i form av undantag. Denna lag innehåller sådana kompletterande bestämmelser som gäller för behandling av personuppgifter i Rättsmedicinalverkets verksamhet på dataskyddsförordningens område. Hänvisningarna i lagen till dataskyddsförordningen är dynamiska, dvs. de avser förordningen i dess vid varje tidpunkt gällande lydelse.
I andra stycket klargörs att dataskyddslagen och föreskrifter som har meddelats i anslutning till den lagen gäller vid behandling av personuppgifter på dataskyddsförordningens område enligt denna lag. Av 2 § framgår att det är lagens första och andra kapitel som tillämpas vid behandling av personuppgifter på förordningens område. Dataskyddslagen och dess föreskrifter gäller endast om inte något annat följer av denna lag eller av föreskrifter som har meddelats i anslutning till lagen.
4 § När Rättsmedicinalverket i egenskap av behörig myndighet enligt 1 kap. 6 § brottsdatalagen (2018:1177) behandlar personuppgifter enligt denna lag i syfte att förebygga, förhindra eller upptäcka brottslig verksamhet, utreda eller lagföra brott eller verkställa straffrättsliga påföljder gäller brottsdatalagen och föreskrifter som har meddelats i anslutning till den lagen, om inte annat följer av denna lag eller föreskrifter som har meddelats i anslutning till lagen.
Paragrafen upplyser om lagens förhållande till brottsdatalagen och föreskrifter som har meddelats i anslutning till den lagen. Övervägandena finns i avsnitt 5.1, 6.2 och 6.3.2.
Vid behandling av personuppgifter i Rättsmedicinalverkets verksamhet kan både dataskyddsförordningen och dataskyddsdirektivet, som i svensk rätt genomförts genom brottsdatalagen, vara tillämpliga.
När Rättsmedicinalverket som behörig myndighet behandlar personuppgifter för något av de syften som anges i paragrafen är brottsdatalagen och föreskrifter som har meddelats i anslutning till den lagen tillämpliga på behandlingen. Begreppet behörig myndighet definieras i 1 kap. 6 § brottsdatalagen som en myndighet som har till uppgift att förebygga, förhindra eller upptäcka brottslig verksamhet, utreda eller lagföra brott, verkställa straffrättsliga påföljder eller upprätthålla allmän ordning och säkerhet, när myndigheten behandlar personuppgifter för ett sådant syfte. En behörig myndighet i brottsdatalagens mening kan också vara en annan aktör som anförtrotts myndighetsutövning för något av de nyssnämnda syftena, när den behandlar personuppgifter för dessa syften.
Att brottsdatalagen gäller om inte annat följer av lagen eller föreskrifter som har meddelats i anslutning till den innebär att brottsdatalagen gäller när Rättsmedicinalverket behandlar personuppgifter för de syften som anges i paragrafen medan förevarande lag endast innehåller bestämmelser som innebär preciseringar, undantag eller avvikelser från brottsdatalagen. Bestämmelserna i lagen måste följaktligen läsas tillsammans med regleringen i brottsdatalagen och tolkas i ljuset av den regleringen.
För Rättsmedicinalverkets del gäller således för personuppgiftsbehandling inom brottsdatalagens tillämpningsområde bl.a. brottsdatalagens grundläggande bestämmelser om krav på behandlingen, den personuppgiftsansvariges skyldigheter, enskildas rättigheter, tillsyn över personuppgiftsbehandlingen, administrativa sanktionsavgifter och rättsmedel samt överföring av personuppgifter till tredjeland och internationella organisationer, med de kompletterande bestämmelser som finns i 1 och 3 kap. i denna lag.
För att kunna avgöra om en viss behandling av personuppgifter vid Rättsmedicinalverket faller inom dataskyddsförordningens eller brottsdatalagens tillämpningsområde, är det nödvändigt att veta i vilket syfte en viss uppgift behandlas. Om syftet med behandlingen upphör att vara t.ex. att förebygga, förhindra eller upptäcka brottslig verksamhet, utreda eller lagföra brott eller verkställa straffrättsliga påföljder, är inte brottsdatalagen längre tillämplig. Behandling av personuppgifter som krävs för att avsluta ett ärende får dock fortfarande ske med stöd av brottsdatalagen (prop. 2017/18:232 s. 113).
Nedan följer exempel på vilket regelverk - dataskyddsförordningen eller brottsdatalagen - som typiskt sett bör vara tillämpligt vid personuppgiftsbehandling i olika ärendetyper vid Rättsmedicinalverket. För bedömningen av olika gränsdragningsfrågor, se även prop. 2017/18:232 s. 109-113.
På det rättsmedicinska området utgörs verksamheten bl.a. av genomförandet av obduktioner. Rättsmedicinska obduktioner utförs på uppdrag av Polismyndigheten eller allmän åklagare. En rättsmedicinsk obduktion kan genomföras bl.a. om det kan antas vara av betydelse för utredningen av ett dödsfall som inträffat under sådana omständigheter att det inte skäligen kan bortses från möjligheten att dödsfallet har samband med ett brott. Vid majoriteten av de rättsmedicinska obduktionerna är syftet med personuppgiftsbehandlingen sådant att det faller inom brottsdatalagens tillämpningsområde.
En rättsmedicinsk undersökning får göras för att fastställa en avlidens identitet. Om det från början står klart att det inte finns någon brottsmisstanke ska dataskyddsförordningen tillämpas på personuppgiftsbehandlingen. I fall där identifieringsärendet involverar en brottsmisstanke är i stället brottsdatalagen tillämplig.
Vid Rättsmedicinalverket genomförs rättsmedicinska åldersbedömningar på uppdrag av Migrationsverket inom ramen för ansökningar om uppehållstillstånd. Sådana ärenden hör regelmässigt till dataskyddsförordningens tillämpningsområde. När det däremot gäller rättsmedicinska åldersbedömningar som genomförs inom ramen för en förundersökning eller ett brottmål, styrs personuppgiftsbehandlingen i stället av brottsdatalagens bestämmelser.
Rättsmedicinska undersökningar av misstänkta gärningsmän och målsägande genomförs vid Rättsmedicinalverket i syfte att i rättsintyg dokumentera skador som kan ha uppkommit i samband med brott. De personuppgifter som behandlas i sådana ärenden är hänförliga till brottsdatalagens tillämpningsområde.
I den mån rättsodontologiska undersökningar genomförs för identifiering av avlidna personer där det inte finns någon misstanke om brott, är dataskyddsförordningen tillämplig. Inom ramen för en förundersökning kan Rättsmedicinalverket få i uppdrag att genomföra bitmärkes- eller tandskadeanalyser. I dessa fall ska i stället brottsdatalagen tillämpas.
På det rättsmedicinska verksamhetsområdet omhändertas vävnader för transplantationsändamål. Prover som tagits i samband med rättsmedicinska undersökningar kan också tas tillvara för att användas vid den forskning som bedrivs vid Rättsmedicinalverket. Det humanbiologiska material som det här är fråga om hanteras således inledningsvis i ett obduktionsärende. Vilka bestämmelser som är tillämpliga på den personuppgiftsbehandling som sker då, får avgöras enligt de kriterier som fastställts när det gäller själva obduktionen. Den fortsatta hanteringen av vävnaderna, både när det gäller transplantationer och när det gäller forskning, får anses vara så pass separerad från det tidigare obduktionsärendet, att den behandling av personuppgifter som därefter sker, inte påverkas av vilka bestämmelser som gällde för behandlingen av personuppgifter vid obduktionen. Syftet med personuppgiftsbehandlingen vid donationsverksamheten och vid forskningen är inte sådant att brottsdatalagen är tillämplig. I stället ska dataskyddsförordningen tillämpas.
Inom Rättsmedicinalverkets rättspsykiatriska verksamhetsområde genomförs, på uppdrag av domstol, rättspsykiatriska undersökningar enligt lagen (1991:1137) om rättspsykiatrisk undersökning. Dessutom genomför Rättsmedicinalverket undersökningar i syfte att lämna ett s.k. § 7-intyg enligt lagen (1991:2041) om särskild personutredning i brottmål, m.m. Dessa undersökningar är av stor betydelse när domstol, vid en fällande dom, ska bestämma påföljd. Syftet med behandlingen av personuppgifter i sådana rättspsykiatriska ärenden får således anses vara att lagföra brott. Rättsmedicinalverkets personuppgiftsbehandling faller i denna del därför inom brottsdatalagens tillämpningsområde.
I ärenden enligt lagen (2006:45) om omvandling av fängelse på livstid genomför Rättsmedicinalverket utredningar med utlåtanden om risken för att den dömde återfaller i brottslighet. Behandlingen av personuppgifter i sådana ärenden utförs i syfte att bestämma om ett livstidsstraff ska tidsbestämmas och gäller därför verkställighet av en straffrättslig påföljd. Det är således fråga om ett sådant syfte som avses i brottsdatalagen.
Inom det rättskemiska verksamhetsområdet utför Rättsmedicinalverket en rad olika analyser av humanbiologiskt material, t.ex. blod och urin, för att undersöka förekomsten av alkohol, narkotika, läkemedel och gifter. Uppdragen på detta område kommer huvudsakligen från verkets rättsmedicinska enheter, Polismyndigheten, Kriminalvården, Kustbevakningen och Tullverket. Analyser genomförs också på uppdrag av hälso- och sjukvården samt från huvudmän för missbruks- eller ungdomsvård. I ärenden där analyser genomförs som ett led i en utredning avseende misstanke om brott behandlas personuppgifter för sådana syften som gör brottsdatalagens bestämmelser tillämpliga. Det kan exempelvis röra s.k. internremisser, då en rättskemisk analys genomförs i samband med en rättsmedicinsk obduktion, eller analyser som görs i samband med att Rättsmedicinalverket utfärdar rättsintyg. Vid sådana internremisser bör de bestämmelser för personuppgiftsbehandling som gäller för grundärendet gälla även för de analyser som genomförs inom rättskemin, dvs. i de nu lämnade exemplen faller behandlingen av personuppgifter inom brottsdatalagens tillämpningsområde. Ytterligare ett exempel på när nyssnämnda regelverk är tillämpligt är då Rättsmedicinalverket genomför rättskemiska analyser när det t.ex. finns en bakomliggande misstanke om narkotikabrott eller rattfylleribrott. Vid toxikologiska analyser i samband med kliniska obduktioner är presumtionen däremot den motsatta - som huvudregel är dataskyddsförordningen tillämplig.
En kategori av analyser som genomförs inom Rättsmedicinalverkets rättskemiska verksamhet är de s.k. drogfrihetsanalyserna. Syftet med dessa analyser är att undersöka om ett prov innehåller spår av alkohol, narkotika eller någon annan substans och uppdragsgivare är oftast Kriminalvården, missbruks- eller ungdomsvården, socialtjänsten eller hälso- och sjukvården. I de fall då ett prov visar sig innehålla spår av narkotika eller någon annan otillåten substans, kan det potentiellt vara fråga om ett brott. Syftet med analysen, och därigenom syftet med behandlingen av personuppgifter i samband därmed, är dock normalt inte att upptäcka brottslig verksamhet eller utreda brott. Som huvudregel bör gälla att dataskyddsförordningens bestämmelser ska tillämpas om syftet med drogfrihetsanalysen närmast är av skötsamhetskaraktär, om den utförs av medicinska skäl eller som ett led i missbruksvård. Skulle det visa sig att ett analyserat prov innehåller spår av narkotika eller något annat ämne som är förbjudet att bruka, kan det bli ett polisärende med efterföljande förundersökning. Att så kan bli fallet, bör dock inte leda till att behandlingen av personuppgifter redan vid den inledande drogfrihetsanalysen ska anses ha brottsutredande syfte. Den behandling av personuppgifter som sker i ärenden om drogfrihetsanalyser som görs inom ramen för verkställighet av en straffrättslig påföljd faller dock inom brottsdatalagens tillämpningsområde. Exempel på sådana prov är de som analyseras på begäran av Kriminalvården om provet avser en person som är intagen på kriminalvårdsanstalt eller som på något annat sätt verkställer en straffrättslig påföljd. Provtagningen, som normalt sett inte genomförs av Rättsmedicinalverket, är ett led i straffverkställigheten och verket fyller vid analysen av provet från Kriminalvården en sådan stödfunktion som behandlas i avsnitt 6.2.
Den rättsgenetiska verksamhetens huvuduppgift är att genom dna-baserade analyser utreda faderskap eller annat släktskap. En viktig ärendetyp utgörs också av identifieringsärenden. På uppdrag av hälso- och sjukvården genomförs dessutom vissa analyser. I den mån Rättsmedicinalverkets rättsgenetiska kompetens används vid brottsutredningar, exempelvis dna-analyser för identifiering av en död person, där andra metoder för identifiering inte är möjlig, kommer personuppgiftsbehandlingen att styras av brottsdatalagens bestämmelser.
Dna-analyser som genomförs inom ramen för en faderskaps- eller släktskapsutredning har sällan ett brottsutredande eller motsvarande syfte. Utgångspunkten är därför att dataskyddsförordningen är tillämplig på Rättsmedicinalverkets behandling av personuppgifter i sådana ärenden. Så är också regelmässigt fallet med rättsgenetiska undersökningar som utförs på uppdrag av hälso- och sjukvården.
Vid Rättsmedicinalverket förekommer också behandling av personuppgifter i olika administrativa system. Det gäller främst system och program som används för att hantera personalfrågor, ekonomiadministration och andra administrativa frågor, som t.ex. inköp av material. För sådan behandling av personuppgifter gäller dataskyddsförordningen.
Behandling av personuppgifter sker vidare i vissa säkerhetsadministrativa system. Det kan exempelvis gälla uppgifter om besökare. Utgångspunkten för behandling av sådana uppgifter är att de faller under dataskyddsförordningens tillämpningsområde.
Syftet med behandlingen av personuppgifter i Rättsmedicinalverkets rättspsykiatriska ärenden är, som ovan konstateras, att lagföra brott och personuppgiftsbehandlingen omfattas därför av brottsdatalagens bestämmelser. När det gäller säkerhetsadministrativa frågor som behandling av uppgifter om besökare till de rättspsykiatriska undersökningsenheterna, är syftet med personuppgiftsbehandlingen nära kopplat till den rättspsykiatriska utredningsverksamheten och, i förlängningen, domstolens lagföring av brott. Även för sådan behandling av personuppgifter bör därför brottsdatalagens bestämmelser tillämpas.
5 § Denna lag gäller inte när personuppgifter behandlas med stöd av
1. lagen (1999:353) om rättspsykiatriskt forskningsregister,
2. lagen (2003:460) om etikprövning av forskning som avser människor, eller
3. patientdatalagen (2008:355).
Paragrafen klargör lagens förhållande till vissa andra författningar. Övervägandena finns i avsnitt 6.3.3.
I de fall då personuppgifter behandlas med stöd av lagen (1999:353) om rättspsykiatriskt forskningsregister, lagen (2003:460) om etikprövning av forskning som avser människor (etikprövningslagen) eller patientdatalagen (2008:355) gäller inte förevarande lag.
Vid Rättsmedicinalverkets rättspsykiatriska enheter bedrivs forskning inom rättspsykiatri. För det ändamålet finns ett rättspsykiatriskt forskningsregister, som regleras i lagen om rättspsykiatriskt forskningsregister. Bestämmelser i etikprövningslagen kan bli aktuella exempelvis för hanteringen av humanbiologiskt material vid Rättsmedicinalverket när det gäller verkets forskningsverksamhet. Patientdatalagen blir tillämplig till exempel när en person som är intagen vid en rättspsykiatrisk undersökningsenhet vid Rättsmedicinalverket är i behov av somatisk vård. Vid personuppgiftsbehandling enligt dessa lagar gäller således inte lagen om Rättsmedicinalverkets behandling av personuppgifter.
6 § I lagen (2020:0000) om Rättsmedicinalverkets elimineringsdatabas finns bestämmelser om Rättsmedicinalverkets behandling av personuppgifter i myndighetens elimineringsdatabas.
Paragrafen innehåller en upplysning om att det i lagen om Rättsmedicinalverkets elimineringsdatabas finns bestämmelser om Rättsmedicinalverkets behandling av personuppgifter i myndighetens elimineringsdatabas. Övervägandena finns i avsnitt 6.3.3.
Uppgifter om avlidna
7 § Följande reglering ska i tillämpliga delar gälla även vid behandling av uppgifter om avlidna i Rättsmedicinalverkets verksamhet:
1. denna lag och föreskrifter som har meddelats i anslutning till den,
2. EU:s dataskyddsförordning, lagen (2018:218) med kompletterande bestämmelser till EU:s dataskyddsförordning och föreskrifter som har meddelats i anslutning till den, och
3. brottsdatalagen (2018:1177) och föreskrifter som har meddelats i anslutning till den.
I paragrafen slås fast att lagen, dataskyddsförordningen, dataskyddslagen och brottsdatalagen samt föreskrifter som har meddelats i anslutning till dessa lagar i tillämpliga delar ska gälla för behandling av uppgifter om avlidna. Övervägandena finns i avsnitt 6.3.7.
Paragrafen innebär att skyddsreglerna i lagen och föreskrifter som har meddelats i anslutning till den, i tillämpliga delar, ska gälla även vid behandling av uppgifter om avlidna personer. Så ska också vara fallet med dataskyddsförordningen, dataskyddslagen och brottsdatalagen, och föreskrifter som meddelats i anslutning till de lagarna, vars materiella tillämpningsområden således utvidgas genom paragrafen. De bestämmelser som ska tillämpas även vid behandling av uppgifter om avlidna personer är bestämmelser som avser bl.a. ändamål för behandling, tillåtna rättsliga grunder och grundläggande krav på behandlingen. Även bestämmelser om tillsyn och sanktionsavgifter ska tillämpas. Däremot ska inte bestämmelser som på något sätt kräver den registrerades agerande eller medverkan i övrigt vara tillämpliga på avlidna personer. Så är exempelvis fallet när det gäller rätten till information, rätten till skadestånd och möjligheten att begära rättelse av uppgifter. Någon möjlighet för efterlevande att göra gällande sådana rättigheter finns inte.
Personuppgiftsansvar
8 § Rättsmedicinalverket är personuppgiftsansvarigt för behandling av personuppgifter i myndighetens verksamhet.
I paragrafen regleras personuppgiftsansvaret för behandling av personuppgifter i Rättsmedicinalverkets verksamhet. Övervägandena finns i avsnitt 6.3.8.
Rättsmedicinalverket är personuppgiftsansvarigt för all behandling av personuppgifter som sker i myndighetens verksamhet. Även behandling som utförs av en utomstående aktör på uppdrag av Rättsmedicinalverket sker i verkets verksamhet och verket ansvarar alltså även för sådan behandling.
Elektroniskt utlämnande av personuppgifter
9 § Personuppgifter får lämnas ut elektroniskt om det inte är olämpligt. Utlämnande får dock inte ske i form av direktåtkomst.
Regeringen eller den myndighet som regeringen bestämmer kan med stöd av 8 kap. 7 § regeringsformen meddela ytterligare föreskrifter om begränsningar av möjligheten att lämna ut personuppgifter elektroniskt.
Paragrafen reglerar i vilka fall och på vilket sätt personuppgifter får lämnas ut elektroniskt. Dessutom innehåller den en upplysning om att regeringen eller den myndighet som regeringen bestämmer kan meddela ytterligare föreskrifter om begränsningar av möjligheten att lämna ut personuppgifter elektroniskt. Övervägandena finns i avsnitt 6.3.14 och 6.3.15.
I första stycket föreskrivs att personuppgifter får lämnas ut elektroniskt om det inte är olämpligt. Utlämnande genom direktåtkomst är dock inte tillåtet. Direktåtkomst innebär att en mottagare har direkt tillgång till någon annans register eller databas och därigenom på egen hand kan ta del av information (se HFD 2015 ref. 61). Sådant elektroniskt utlämnande som är tillåtet om det inte är olämpligt är bl.a. utlämnande på usb-minne, genom e-post eller annan elektronisk överföring. Lämplighetsprövningen ska göras i varje enskilt fall. Vid en sådan prövning har det betydelse vem mottagaren är. Som utgångspunkt är utlämnande till domstol eller annan myndighet inte olämpligt medan en mer nyanserad bedömning är påkallad vid utlämnanden till andra. Bedömningen bör innefatta en prövning av vilka integritetsrisker ett elektroniskt utlämnande kan innebära. Härvid måste beaktas vilken typ av personuppgifter det är fråga om och mängden av personuppgifter. Vid lämplighetsprövningen ska även beaktas i vilken mån uppgifterna kan överföras på ett säkert sätt, bl.a. för att säkerställa att mottagaren är den rätta. I paragrafen regleras inte frågan om uppgifterna över huvud taget får lämnas ut, utan endast formen för utlämnandet. Innan frågan om formen för utlämnandet bedöms måste det avgöras om det finns hinder mot att lämna ut uppgifterna. Det kan exempelvis gälla sekretess för personuppgifter enligt 21 kap. 7 § offentlighets- och sekretesslagen (2009:400), om det kan antas att uppgifterna efter ett utlämnande kommer att behandlas i strid med dataskyddsförordningen eller dataskyddslagen.
I andra stycket upplyses om att regeringen eller den myndighet som regeringen bestämmer med stöd av 8 kap. 7 § regeringsformen kan meddela ytterligare föreskrifter om begränsningar av möjligheten att lämna ut personuppgifter elektroniskt.
2 kap. Behandling av personuppgifter inom det område som omfattas av EU:s dataskyddsförordning
Ändamål
1 § Rättsmedicinalverket får behandla personuppgifter om det är nödvändigt för att myndigheten ska kunna utföra sina uppgifter i den rättspsykiatriska, rättskemiska, rättsmedicinska eller rättsgenetiska verksamheten.
I paragrafen anges de primära ändamålen för personuppgiftsbehandling på dataskyddsförordningens område. Övervägandena finns i avsnitt 6.3.9.
Enligt bestämmelsen får Rättsmedicinalverket behandla personuppgifter om det är nödvändigt för att utföra myndighetens uppgifter i den rättspsykiatriska, rättskemiska, rättsmedicinska eller rättsgenetiska verksamheten. Rättsmedicinalverkets uppgifter framgår av förordningen (2007:976) med instruktion för Rättsmedicinalverket. I författningskommentaren till 1 kap. 4 § finns exempel på ärenden inom Rättsmedicinalverkets olika verksamhetsområden där myndigheten behandlar personuppgifter på dataskyddsförordningens område.
Att behandlingen ska vara nödvändig innebär inte ett krav på att behandlingsåtgärden ska vara oundgänglig. Behandlingen kan anses nödvändig om den behövs för att myndigheten på ett effektivt sätt ska kunna utföra arbetsuppgiften eller med andra ord om den leder till effektivitetsvinster (prop. 2017/18:105 s. 189 och prop. 2017/18:232 s. 117). Personuppgifter får också behandlas för planering, uppföljning och utvärdering av verksamheten (se t.ex. prop. 2004/05:164 s. 179 och prop. 2014/15:63 s. 63).
2 § Personuppgifter som behandlas enligt 1 § får även behandlas för att fullgöra uppgiftslämnande som sker i överensstämmelse med lag eller förordning.
Personuppgifterna får behandlas även för andra ändamål, under förutsättning att uppgifterna inte behandlas på ett sätt som är oförenligt med det ändamål för vilket uppgifterna samlades in.
Paragrafen innehåller bestämmelser om de sekundära ändamål som personuppgifter får behandlas för. I andra stycket uttrycks den s.k. finalitetsprincipen. Övervägandena finns i avsnitt 6.3.9.
Enligt första stycket får personuppgifter som behandlas i enlighet med de primära ändamålsbestämmelserna i 1 § även behandlas för att fullgöra uppgiftslämnande som följer av lag eller förordning. Exempelvis avses sådant uppgiftslämnande som sker med stöd av 13 kap. 6 § regeringsformen och 6 § lagen (2002:1022) om revision av statlig verksamhet m.m. där det föreskrivs skyldighet att lämna Riksdagens ombudsmän respektive Riksrevisionen begärda upplysningar.
Enligt andra stycket får personuppgifterna även behandlas för andra ändamål under förutsättning att behandlingen inte är oförenlig med insamlingsändamålen. Bestämmelsen, som är ett uttryck för den s.k. finalitetsprincipen, är utformad i nära anslutning till artikel 5.1 b i dataskyddsförordningen och bör tolkas på samma sätt. Detta innebär bl.a. att behandling för arkivändamål av allmänt intresse, vetenskapliga eller historiska forskningsändamål eller statistiska ändamål i enlighet med artikel 89.1 i dataskyddsförordningen inte ska anses vara oförenlig med insamlingsändamålen. Det innebär också att de omständigheter som anges i artikel 6.4 a-e i förordningen ska beaktas vid bedömningen om behandlingen är förenlig med insamlingsändamålen. Det innebär t.ex. att kopplingen mellan insamlingsändamålen och de nya ändamålen, personuppgifternas art och eventuella konsekvenser för den registrerade av den planerade fortsatta behandlingen ska beaktas.
Sökförbud
3 § Det är förbjudet att göra sökningar i syfte att få fram ett urval av personer grundat på personuppgifter som avslöjar ras, etniskt ursprung, politiska åsikter, religiös eller filosofisk övertygelse eller medlemskap i fackförening eller som rör sexualliv eller sexuell läggning.
Paragrafen innehåller ett sökförbud avseende vissa känsliga personuppgifter. Övervägandena finns i avsnitt 6.3.12.
Enligt paragrafen är det förbjudet att göra sökningar i syfte att få fram ett urval av personer grundat på personuppgifter som avslöjar ras, etniskt ursprung, politiska åsikter, religiös eller filosofisk övertygelse eller medlemskap i fackförening eller som rör sexualliv eller sexuell läggning, vilka utgör känsliga personuppgifter. Bestämmelsen gäller alltså inte alla slags känsliga personuppgifter. Sökningar i syfte att få fram ett urval av personer grundat på uppgifter om hälsa, biometriska uppgifter eller genetiska uppgifter omfattas inte. Sökförbudet avser alla tekniska åtgärder som innebär att uppgifter används för att strukturera eller systematisera information i syfte att få fram ett urval av personer grundat på någon av de känsliga personuppgifter som anges i bestämmelsen. Därmed förbjuds sökningar som görs för att få fram ett urval av personer som t.ex. har en viss politisk åsikt, religiös åskådning eller sexuell läggning. Däremot hindrar bestämmelsen inte sökningar som görs i ett annat syfte än att identifiera ett urval av individer, t.ex. för att utöva tillsyn, för att ta fram verksamhetsstatistik eller för registervård. Sökförbudet gäller i stället för det sökförbud som finns i 3 kap. 3 § andra stycket dataskyddslagen.
Av 7 § framgår att regeringen eller den myndighet som regeringen bestämmer kan meddela föreskrifter om begränsningar av möjligheten att göra sökningar i syfte att få fram ett urval av personer grundat på uppgifter om hälsa, biometriska uppgifter eller genetiska uppgifter.
4 § Sökförbudet i 3 § hindrar inte att särskilda beteckningar för identifiering av en viss ärendetyp, brottsrubriceringar eller uppgifter som beskriver en persons utseende används som sökbegrepp.
Sökförbudet hindrar inte heller sökning i en viss handling eller i ett visst ärende.
Paragrafen innehåller undantag från sökförbudet i 3 § och innebär att vissa sökbegrepp och sökningar i en viss handling eller ärende tillåts. Övervägandena finns i avsnitt 6.3.12.
I första stycket görs undantag från sökförbudet i 3 § såvitt gäller särskilda beteckningar för identifiering av en viss ärendetyp, brottsrubriceringar och uppgifter som beskriver en persons utseende. Sådana uppgifter får således, trots sökförbudet, användas som sökbegrepp vid sökningar.
Särskilda beteckningar för identifiering av en viss ärendetyp kan exempelvis handla om ärendekoder som används för att klassificera en viss ärendetyp. Med uppgifter som beskriver en persons utseende avses t.ex. kroppsbyggnad, ansiktsform, hår- och hudfärg, födelsemärken och tatueringar (jfr prop. 2011/12:45 s. 124). En sådan uppgift behöver i sig inte utgöra en känslig personuppgift. På samma sätt förhåller det sig med brottsrubriceringar. Att använda uppgifter om utseende kan dock avslöja information om t.ex. etniskt ursprung och en uppgift om brottsrubricering kan bl.a. ge information om sexuella preferenser. Sådana sökningar är likväl tillåtna i Rättsmedicinalverkets verksamhet.
Enligt andra stycket gäller inte sökförbudet vid sökning i en viss handling eller i ett visst ärende.
Av 7 § framgår att regeringen eller den myndighet som regeringen bestämmer kan meddela föreskrifter om begränsningar av möjligheten att göra sådana sökningar som anges i paragrafen.
Tillgången till personuppgifter
5 § Tillgången till personuppgifter ska begränsas till det som var och en behöver för att kunna fullgöra sina arbetsuppgifter.
Paragrafen reglerar tillgången till personuppgifter inom Rättsmedicinalverket. Övervägandena finns i avsnitt 6.3.18.
Av paragrafen framgår att tillgången till personuppgifter inom Rättsmedicinalverket ska begränsas till det som var och en behöver för att kunna fullgöra sina arbetsuppgifter. Skilda personalkategorier kan vid olika tidpunkter behöva vidta åtgärder och därför också ha behov av tillgång till relevanta personuppgifter. Tillgången till personuppgifter kan begränsas genom tekniska och organisatoriska åtgärder. Uttrycket var och en inkluderar såväl tillsvidareanställd personal som t.ex. personer med en tidsbegränsad anställning. Paragrafen omfattar all personuppgiftsbehandling vid Rättsmedicinalverket inom dataskyddsförordningens område. För den personuppgiftsbehandling vid verket som sker inom brottsdatalagens tillämpningsområde finns en motsvarande bestämmelse i 3 kap. 6 § brottsdatalagen.
Information om personuppgiftsincidenter
6 § Den personuppgiftsansvariges skyldighet att informera den registrerade om en personuppgiftsincident enligt artikel 34 i EU:s dataskyddsförordning gäller inte sådana uppgifter som den personuppgiftsansvarige inte får lämna ut till den registrerade enligt lag eller annan författning eller enligt beslut som har meddelats med stöd av författning.
I paragrafen finns en begränsning i den personuppgiftsansvariges skyldighet att informera den registrerade om personuppgiftsincidenter. Övervägandena finns i avsnitt 6.3.21.
Artikel 34 i dataskyddsförordningen innebär en skyldighet för den personuppgiftsansvarige att under vissa förutsättningar informera om en personuppgiftsincident. I paragrafen anges att den personuppgiftsansvariges skyldighet att informera den registrerade inte gäller sådana uppgifter som den personuppgiftsansvarige inte får lämna ut till den registrerade enligt lag eller annan författning eller enligt beslut som har meddelats med stöd av författning. Paragrafen innebär att sekretess eller tystnadsplikt gentemot den registrerade som har stöd i författning har företräde framför skyldigheten att informera den registrerade om en personuppgiftsincident. Bestämmelsen aktualiseras då sekretess eller tystnadsplikt enligt offentlighets- och sekretesslagen (2009:400) gäller. Till exempel gäller sekretess inom Rättsmedicinalverket för alla uppgifter om säkerhets- och bevakningsåtgärder om det kan antas att syftet med åtgärden motverkas om uppgiften lämnas ut (18 kap. 8 § offentlighets- och sekretesslagen).
Rätt att meddela föreskrifter
7 § Regeringen eller den myndighet som regeringen bestämmer kan med stöd av 8 kap. 7 § regeringsformen
1. meddela föreskrifter om begränsningar av möjligheten att göra sökningar i syfte att få fram ett urval av personer grundat på uppgifter om hälsa, biometriska uppgifter och genetiska uppgifter samt sådana sökningar som anges i 4 §, och
2. meddela närmare föreskrifter om tillgången till personuppgifter enligt 5 §.
I paragrafen upplyses om att regeringen eller den myndighet som regeringen bestämmer, med stöd av 8 kap. 7 § regeringsformen, kan meddela vissa föreskrifter. Övervägandena finns i avsnitt 6.3.15.
Enligt paragrafen kan regeringen eller den myndighet som regeringen bestämmer meddela föreskrifter om begränsningar av möjligheten att dels göra sökningar i syfte att få fram ett urval av personer grundat på uppgifter om hälsa, biometriska uppgifter eller genetiska uppgifter, dels att som sökbegrepp använda särskilda beteckningar för identifiering av en viss ärendetyp, brottsrubriceringar och uppgifter som beskriver en persons utseende, dels att göra sökningar i en viss handling eller i ett visst ärende. Vidare finns en upplysning om att närmare föreskrifter om tillgången till personuppgifter kan meddelas.
3 kap. Behandling av personuppgifter inom det område som omfattas av brottsdatalagen
Ändamål
1 § Rättsmedicinalverket får behandla personuppgifter om det är nödvändigt för att myndigheten ska kunna utföra följande uppgifter:
1. förebygga, förhindra eller upptäcka brottslig verksamhet,
2. utreda eller lagföra brott,
3. verkställa straffrättsliga påföljder, eller
4. fullgöra förpliktelser som följer av internationella åtaganden.
Paragrafen reglerar de tillåtna ändamålen för behandling av personuppgifter inom brottsdatalagens område. Övervägandena finns i avsnitt 6.3.10.
Paragrafen gäller i stället för 2 kap. 1 § första stycket brottsdatalagen. Bestämmelsen bildar den yttre ramen för när behandling av personuppgifter är tillåten inom det område som omfattas av brottsdatalagen. Det bör noteras att regleringen i 2 kap. 2 § brottsdatalagen ger myndigheterna rättsligt stöd för att i vissa fall behandla personuppgifter enbart för diarieföring och viss nödvändig handläggning.
Personuppgifter får behandlas om det är nödvändigt för att Rättsmedicinalverket ska kunna utföra följande uppgifter: förebygga, förhindra eller upptäcka brottslig verksamhet, utreda eller lagföra brott eller verkställa straffrättsliga påföljder. Att behandlingen ska vara nödvändig innebär inte ett krav på att behandlingsåtgärden ska vara oundgänglig. Behandlingen kan anses nödvändig om den behövs för att myndigheten på ett effektivt sätt ska kunna utföra arbetsuppgiften eller med andra ord om den leder till effektivitetsvinster (prop. 2017/18:232 s. 117 och prop. 2017/18:105 s. 189). Uppgifterna stämmer överens med de uppgifter som i 1 kap. 4 § drar upp gränsen för när brottsdatalagen är tillämplig vid Rättsmedicinalverkets behandling av personuppgifter. Dessutom får personuppgifter behandlas om det är nödvändigt för att Rättsmedicinalverket ska kunna fullgöra förpliktelser som följer av internationella åtaganden på brottsdatalagens område.
Personuppgifter får också behandlas för planering, uppföljning och utvärdering av verksamheten (se t.ex. prop. 2004/05:164 s. 179 och prop. 2014/15:63 s. 63).
2 § Förutsättningarna för att behandla personuppgifter som behandlas med stöd av 1 § för nya ändamål regleras i 2 kap. 4 och 22 §§ brottsdatalagen (2018:1177).
I paragrafen finns en upplysning som anger att förutsättningarna för att personuppgifter ska få behandlas för nya ändamål regleras i 2 kap. 4 och 22 §§ brottsdatalagen. Övervägandena finns i avsnitt 6.3.10.
Innan personuppgifter får behandlas för ett nytt ändamål inom eller utanför brottsdatalagens tillämpningsområde måste en prövning enligt 2 kap. 4 eller 22 § brottsdatalagen göras. Den förstnämnda paragrafen gäller behandling av personuppgifter för nya ändamål inom brottsdatalagens tillämpningsområde. Av den paragrafen följer att innan sådan behandling sker ska det säkerställas att det finns en rättslig grund för den nya behandlingen och att det är nödvändigt och proportionerligt att personuppgifterna behandlas för det nya ändamålet. Kravet på säkerställande av nödvändighet och proportionalitet gäller enligt 2 kap. 22 § brottsdatalagen även vid behandling för nya ändamål utanför brottsdatalagens tillämpningsområde. I den utsträckning en skyldighet att lämna uppgifter följer av lag eller förordning behöver någon prövning enligt 2 kap. 4 eller 22 § inte ske. Den närmare innebörden av prövningen framgår av författningskommentaren till de paragraferna (prop. 2017/18:232 s. 442-443 och 451-452).
Biometriska och genetiska uppgifter
3 § Rättsmedicinalverket får behandla biometriska och genetiska uppgifter om det är absolut nödvändigt för ändamålet med behandlingen.
I paragrafen regleras när biometriska och genetiska uppgifter får behandlas. Övervägandena finns i avsnitt 6.3.13.
Av paragrafen framgår att biometriska och genetiska uppgifter får behandlas om det är absolut nödvändigt för ändamålet med behandlingen. Det innebär att behovet av att behandla sådana uppgifter måste prövas särskilt noga. Den behandling av känsliga personuppgifter som sker när Rättsmedicinalverket utför sina uppgifter, exempelvis i identifieringsärenden, bör som en utgångspunkt anses vara absolut nödvändig. Biometriska uppgifter är enligt 1 kap. 6 § brottsdatalagen personuppgifter som rör en persons fysiska, fysiologiska eller beteendemässiga kännetecken, som tagits fram genom särskild teknisk behandling och som möjliggör eller bekräftar unik identifiering av personen i fråga. Vanliga fotografier och filmer omfattas inte av definitionen om de inte bearbetas tekniskt på något sätt så att identifiering blir möjlig, t.ex. i ett ansiktsigenkänningsprogram (prop. 2017/18:232 s. 85-86).
Genetiska uppgifter är enligt 1 kap. 6 § brottsdatalagen personuppgifter som rör en persons nedärvda eller förvärvade genetiska kännetecken och som härrör från analys av ett spår eller ett prov av personen i fråga. Det är framför allt fråga om information som kan tas fram vid dna-analyser, men även motsvarande information som tas fram vid andra analyser omfattas (prop. 2017/18:232 s. 86-87).
Sökförbud
4 § Det är förbjudet att göra sökningar i syfte att få fram ett urval av personer grundat på personuppgifter som avslöjar ras, etniskt ursprung, politiska åsikter, religiös eller filosofisk övertygelse eller medlemskap i fackförening eller som rör sexualliv eller sexuell läggning.
Paragrafen innehåller ett sökförbud avseende vissa känsliga personuppgifter. Övervägandena finns i avsnitt 6.3.13.
Enligt paragrafen är det förbjudet att göra sökningar i syfte att få fram ett urval av personer grundat på personuppgifter som avslöjar ras, etniskt ursprung, politiska åsikter, religiös eller filosofisk övertygelse eller medlemskap i fackförening eller som rör sexualliv eller sexuell läggning. Förbudet gäller de känsliga personuppgifter som anges i 2 kap. 11 § brottsdatalagen med undantag för uppgifter om hälsa. Det är således inte förbjudet att göra sökningar i syfte att få fram ett urval av personer grundat på uppgifter om hälsa. Det är inte heller förbjudet att göra sökningar i syfte att få fram ett urval av personer grundat på biometriska uppgifter eller genetiska uppgifter. Bestämmelsen gäller i stället för bestämmelsen om sökförbud i 2 kap. 14 § brottsdatalagen.
Innebörden av sökförbudet utvecklas ytterligare i författningskommentaren till 2 kap. 3 §.
5 § Sökförbudet i 4 § hindrar inte att särskilda beteckningar för identifiering av en viss ärendetyp, brottsrubriceringar eller uppgifter som beskriver en persons utseende används som sökbegrepp.
Sökförbudet hindrar inte heller sökning i en viss handling eller i ett visst ärende.
Paragrafen innehåller undantag från sökförbudet i 4 § och innebär att vissa sökbegrepp och sökningar i en viss handling eller ärende tillåts. Övervägandena finns i avsnitt 6.3.13.
I första stycket görs undantag från sökförbudet såvitt gäller särskilda beteckningar för identifiering av en viss ärendetyp, brottsrubriceringar och uppgifter som beskriver en persons utseende. Sådana uppgifter får således, trots sökförbudet, användas som sökbegrepp vid sökningar.
Av det andra stycket framgår att ett undantag från sökförbudet i 4 § även gäller för sökning i en viss handling eller i ett visst ärende.
En närmare redogörelse för innebörden av undantagen från sökförbudet finns i författningskommentaren till 2 kap. 4 §.
Av 8 § framgår att regeringen eller den myndighet som regeringen bestämmer kan meddela föreskrifter om begränsningar av möjligheten att göra sådana sökningar som anges i paragrafen.
Sanktionsavgifter
6 § En sanktionsavgift får tas ut av den personuppgiftsansvarige vid överträdelse av bestämmelserna i
- 1 § om ändamål, eller
- 4 § om sökförbud.
En sanktionsavgift får också tas ut vid överträdelse av de föreskrifter som anges i 8 § 1.
Sanktionsavgiften ska bestämmas till högst 10 000 000 kronor.
Paragrafen anger förutsättningarna för att ta ut sanktionsavgifter av Rättsmedicinalverket enligt lagen. Övervägandena finns i avsnitt 6.3.16.
Enligt första stycket får sanktionsavgift tas ut om Rättsmedicinalverket överträder bestämmelserna om tillåtna ändamål i 1 § och om sökförbud i 4 §. Bestämmelserna i 6 kap. brottsdatalagen om tillsyn och om förfarandet vid uttagande av sanktionsavgifter gäller även för överträdelser av denna lag.
I andra stycket anges att sanktionsavgift också får tas ut av Rättsmedicinalverket vid överträdelser av föreskrifter om begränsningar av möjligheten att göra sökningar i syfte att få fram ett urval av personer grundat på uppgifter om hälsa, biometriska uppgifter och genetiska uppgifter och vid överträdelser av föreskrifter som begränsar möjligheten att göra sådana sökningar som anges i 5 §. En upplysning om rätten att meddela föreskrifter om sådana begränsningar finns i 8 § 1.
I tredje stycket anges att sanktionsavgiften ska bestämmas till högst 10 000 000 kr.
Skadestånd
7 § Bestämmelsen om skadestånd i 7 kap. 1 § brottsdatalagen (2018:1177) ska tillämpas vid behandling av personuppgifter i strid med denna lag eller föreskrifter som har meddelats i anslutning till den.
I paragrafen regleras den registrerades rätt till skadestånd för behandling av personuppgifter på brottsdatalagens område i strid med denna lag eller föreskrifter som har meddelats i anslutning till den. Övervägandena finns i avsnitt 6.3.17.
Enligt paragrafen ska 7 kap. 1 § brottsdatalagen tillämpas vid behandling av personuppgifter på brottsdatalagens område i strid med denna lag eller föreskrifter som har meddelats i anslutning till den. Det innebär att den personuppgiftsansvarige ska ersätta den registrerade för den skada och kränkning av den personliga integriteten som behandlingen av personuppgifter har orsakat. Med skada avses personskada, sakskada eller ren förmögenhetsskada. Med kränkning avses ideell skada som består i att den enskildes integritet kränkts genom behandlingen. Se vidare prop. 2017/18:232 s. 486-487.
I 7 kap. 1 § dataskyddslagen finns en upplysning om att rätten till skadestånd enligt dataskyddsförordningen även gäller vid överträdelser av författningar som, liksom denna, kompletterar dataskyddsförordningen.
Rätt att meddela föreskrifter
8 § Regeringen eller den myndighet som regeringen bestämmer kan med stöd av 8 kap. 7 § regeringsformen
1. meddela föreskrifter om begränsningar av möjligheten att göra sökningar i syfte att få fram ett urval av personer grundat på uppgifter om hälsa, biometriska uppgifter och genetiska uppgifter samt sökningar som anges i 5 §, och
2. meddela närmare föreskrifter om tillgången till personuppgifter.
I paragrafen upplyses om att regeringen eller den myndighet som regeringen bestämmer, med stöd av 8 kap. 7 § regeringsformen, kan meddela vissa föreskrifter. Övervägandena finns i avsnitt 6.3.15.
Enligt paragrafen kan regeringen eller den myndighet som regeringen bestämmer meddela föreskrifter om begränsningar av möjligheten att dels göra sökningar i syfte att få fram ett urval av personer grundat på uppgifter om hälsa, biometriska uppgifter eller genetiska uppgifter, dels att som sökbegrepp använda särskilda beteckningar för identifiering av en viss ärendetyp, brottsrubriceringar och uppgifter som beskriver en persons utseende, dels att göra sökningar i en viss handling eller i ett visst ärende. Vidare finns en upplysning om att närmare föreskrifter om tillgången till personuppgifter kan meddelas. I 2 kap. 5 § finns en bestämmelse om tillgången till personuppgifter när Rättsmedicinalverket behandlar uppgifter på dataskyddsförordningens område. När det gäller Rättsmedicinalverkets behandling av personuppgifter på brottsdatalagens område finns motsvarande bestämmelse i 3 kap. 6 § brottsdatalagen.
Ikraftträdande- och övergångsbestämmelser
1. Denna lag träder i kraft den 1 juli 2020.
2. En sanktionsavgift enligt 3 kap. 6 § får beslutas endast för överträdelser som har skett efter ikraftträdandet.
Övervägandena finns i avsnitt 9.
Punkt 1 föreskriver när lagen ska träda i kraft.
En sanktionsavgift får enligt punkt 2 beslutas endast för överträdelser som har skett efter ikraftträdandet.
10.2 Förslaget till lag om Rättsmedicinalverkets elimineringsdatabas
Ändamål
1 § Rättsmedicinalverket får föra ett register över dna-profiler i syfte att stärka kvaliteten i den rättsgenetiska verksamheten med dna-analyser (elimineringsdatabasen) i enlighet med denna lag.
Uppgifter i elimineringsdatabasen får endast behandlas för att upptäcka och utreda kontamineringar av det som är föremål för dna-analys.
I paragrafen anges att Rättsmedicinalverket får föra ett register över dna-profiler som benämns elimineringsdatabasen och för vilka syften det får föras. Övervägandena finns i avsnitt 7.3.
Av första stycket framgår att Rättsmedicinalverket får föra en elimineringsdatabas i syfte att stärka kvaliteten i den rättsgenetiska verksamheten med dna-analyser. Elimineringsdatabasen får användas i samtliga rättsgenetiska ärenden hos Rättsmedicinalverket.
Andra stycket anger att uppgifter i elimineringsdatabasen endast får behandlas för att upptäcka och utreda kontamineringar av det som ska analyseras. Det innebär t.ex. att uppgifter i databasen aldrig får användas för att upptäcka eller utreda misstankar om brott begångna av någon vars dna-profil finns i databasen. Med kontaminering avses att det prov som ska analyseras har sammanblandats med ovidkommande dna från en i och för sig behörig person någonstans i hanteringen.
Innebörden av vissa uttryck
2 § I denna lag avses med
dna-analys: varje förfarande som kan användas för analys av deoxiribonukleinsyra i humant material, och
dna-profil: resultatet av en dna-analys som presenteras i form av siffror eller bokstäver.
I paragrafen definieras begreppen dna-analys och dna-profil. Övervägandena finns i avsnitt 7.4.
Begreppen har samma betydelse som i lagen (2018:1693) om polisens behandling av personuppgifter inom brottsdatalagens område (se prop. 2017/18:269 s. 293 och prop. 2009/10:85 s. 315). En dna-profil består av uppgifter som har tagits fram med hjälp av dna-analys, dvs. analys av deoxyribonukleinsyra i humant biologiskt material, t.ex. blod, hår eller hudceller. En dna-profil presenteras i form av siffror eller bokstäver eller en kombination av siffror och bokstäver. Därmed går det inte att identifiera en person enbart med stöd av dna-profilen.
Förhållandet till annan dataskyddsreglering
3 § Vid behandling av personuppgifter enligt denna lag gäller lagen (2020:000) om Rättsmedicinalverkets behandling av personuppgifter och föreskrifter som har meddelats i anslutning till den lagen, om inte annat följer av denna lag eller föreskrifter som har meddelats i anslutning till lagen.
I paragrafen behandlas lagens förhållande till lagen om Rättsmedicinalverkets behandling av personuppgifter. Övervägandena finns i avsnitt 7.5.
Av paragrafen framgår att lagen om Rättsmedicinalverkets behandling av personuppgifter och dess föreskrifter gäller för personuppgiftsbehandlingen som sker i elimineringsdatabasen i den mån särbestämmelser inte finns i den aktuella lagen eller föreskrifter meddelade i anslutning till den. Detta innebär bl.a. att dataskyddsförordningen, dataskyddslagen och brottsdatalagen ska tillämpas vid behandlingen av personuppgifter i elimineringsdatabasen på det sätt som framgår av lagen om Rättsmedicinalverkets personuppgiftsbehandling. Det är syftet med behandlingen som avgör om den faller inom dataskyddsförordningens eller brottsdatalagens tillämpningsområde. Om det är fråga om personuppgiftsbehandling som Rättsmedicinalverket utför i egenskap av behörig myndighet för sådana syften som anges i 1 kap. 4 § lagen om Rättsmedicinalverkets behandling av personuppgifter är brottsdatalagen tillämplig. För annan personuppgiftsbehandling gäller dataskyddsförordningens och dataskyddslagens bestämmelser.
Personuppgiftsansvar
4 § Rättsmedicinalverket är personuppgiftsansvarigt för behandling av personuppgifter i elimineringsdatabasen.
Paragrafen reglerar personuppgiftsansvaret för Rättsmedicinalverkets elimineringsdatabas. Övervägandena finns i avsnitt 7.6.
Av paragrafen framgår att Rättsmedicinalverket är personuppgiftsansvarigt för behandling av personuppgifter i elimineringsdatabasen.
Innehåll
5 § Elimineringsdatabasen får innehålla dna-profiler från personer som anges i 6 och 7 §§ och som genom att komma i kontakt med material eller prover som ska bli föremål för dna-analys eller lokaler där sådana analyser utförs riskerar att kontaminera dessa. Databasen får också innehålla dna-profiler som har påträffats vid en dna-analys och som inte kan hänföras till en identifierad person.
En dna-profil som registreras i databasen får endast ge information om identitet och inte om personliga egenskaper.
Utöver dna-profiler får elimineringsdatabasen innehålla uppgifter om vem dna-profilen avser.
I paragrafen regleras innehållet i elimineringsdatabasen. Övervägandena finns i avsnitt 7.7.
I första stycket anges att elimineringsdatabasen får innehålla dna-profiler från personer som genom att komma i kontakt med material eller prover som ska bli föremål för dna-analys eller lokaler där sådana analyser utförs riskerar att kontaminera dessa. Av 6 och 7 §§ framgår vilka personer som avses och att dessa är skyldiga att lämna prov till databasen. Vidare klargörs det att elimineringsdatabasen även får innehålla dna-profiler som härrör från s.k. okända kontamineringar, dvs. profiler som har påträffats vid en analys och som inte härrör från den person vars dna analyseras och inte heller sedan tidigare finns i elimineringsdatabasen.
Andra stycket föreskriver att dna-profiler som registreras endast får ge information om identitet och inte om den registrerades personliga egenskaper. Att dna-profilerna endast får ge information om identitet innebär att de bara får ge den information som är tillräcklig för att särskilja personen från andra personer. Med personliga egenskaper avses exempelvis sjukdomsbenägenhet. Kön är däremot inte en sådan personlig egenskap som avses i bestämmelsen. Det är därför tillåtet att det från dna-profilen går att utläsa om det i profilen ingår X- eller Y-kromosomer, vilket ger information om kön.
Av tredje stycket framgår att elimineringsdatabasen får innehålla uppgifter om vem dna-profilen avser.
Provtagning
6 § Anställda vid Rättsmedicinalverket och andra som återkommande kan komma i kontakt med och därigenom riskerar att kontaminera material som används vid dna-analys, prover som ska bli föremål för dna-analys eller lokaler där sådana analyser utförs, är skyldiga att lämna prov för dna-analys i syfte att dna-profilen ska registreras i elimineringsdatabasen. Provet tas i form av salivprov.
Paragrafen reglerar, tillsammans med 7 §, vilka personkategorier som är skyldiga att lämna dna-prov till elimineringsdatabasen. Övervägandena finns i avsnitt 7.8.
Skyldigheten att lämna prov till elimineringsdatabasen gäller för anställda vid Rättsmedicinalverket och andra personer som återkommande kan komma i kontakt med och därigenom riskera att kontaminera material som används vid dna-analys, prover som ska bli föremål för dna-analys eller lokaler där sådana analyser utförs. Skyldigheten att lämna prov gäller inte för samtliga av myndighetens anställda utan är begränsad till de personer som kan komma i kontakt med och därigenom riskerar att kontaminera material, prover eller lokaler. Dessa anställda ska lämna prov för registrering i elimineringsdatabasen oavsett vilken befattning inom Rättsmedicinalverket de har och oberoende av vilken organisatorisk tjänsteplacering de har.
Utöver anställda vid Rättsmedicinalverket omfattas även andra som återkommande kan komma i kontakt med material, prover eller lokaler av en skyldighet att lämna prov till elimineringsdatabasen. Det rör sig exempelvis om lokalvårdare och hantverkare som vistas i Rättsmedicinalverkets lokaler. Avgörande för vilka av dessa personer som ska ingå i databasen är om det finns en risk för kontaminering.
Prov ska tas i form av salivprov.
Av 12 § framgår att regeringen eller den myndighet som regeringen bestämmer kan meddela närmare föreskrifter om vilka anställda och andra personkategorier som ska vara skyldiga att lämna prover för dna-analys till elimineringsdatabasen.
7 § För att få tillträde till en lokal där dna-prover hanteras eller förvaras är även den som inte omfattas av 6 § men som riskerar att kontaminera lokalen, prover som ska bli föremål för dna-analys eller material som används för dna-analys skyldig att lämna prov för dna-analys i syfte att dna-profilen ska registreras i elimineringsdatabasen. Provet tas i form av salivprov.
Paragrafen reglerar, tillsammans med 6 §, vilka personkategorier som är skyldiga att lämna dna-prov till elimineringsdatabasen. Övervägandena finns i avsnitt 7.8.
Bestämmelsen innebär att även andra än de som omfattas av 6 § kan vara skyldiga att lämna dna-prov i syfte att dna-profilen ska registreras i elimineringsdatabasen. Paragrafen tar sikte på personer som mer tillfälligt kommer i kontakt med de lokaler vid Rättsmedicinalverket där dna-prover hanteras eller förvaras. Det kan exempelvis gälla representanter från myndigheter som ska inspektera lokalerna eller personer som i utbildningssyfte förevisas det rättsgenetiska laboratoriet. Rättsmedicinalverket kan som villkor för tillträde till vissa av verkets lokaler besluta att en person ska lämna prov till databasen. Prov ska tas i form av salivprov.
Av 12 § framgår att regeringen eller den myndighet som regeringen bestämmer kan meddela närmare föreskrifter om vilka anställda och andra personkategorier som ska vara skyldiga att lämna prover för dna-analys till elimineringsdatabasen.
8 § Ett prov för dna-analys som har tagits med stöd av 6 eller 7 § får inte användas för något annat ändamål än det som provet togs för och ska förstöras senast sex månader efter det att provet togs.
Paragrafen reglerar användningen av prov som har tagits för dna-analys i syfte att dna-profilen ska registreras i elimineringsdatabasen. Övervägandena finns i avsnitt 7.8.
Av paragrafen framgår att ett prov som har tagits med stöd av 6 eller 7 § inte får användas för något annat ändamål än det som det togs för, dvs. för att dna-profilen ska registreras i elimineringsdatabasen. Senast sex månader efter det att provet togs ska det förstöras.
Användning av elimineringsdatabasen
9 § Dna-profiler i elimineringsdatabasen får endast användas för jämförelser med
1. dna-profiler från prov som analyseras vid Rättsmedicinalverket, och
2. dna-profiler som har tagits fram för att kvalitetssäkra den rättsgenetiska verksamheten med dna-analyser.
I paragrafen regleras hur dna-profiler i elimineringsdatabasen får användas. Övervägandena finns i avsnitt 7.9.
Av paragrafen framgår att dna-profiler i elimineringsdatabasen får användas för jämförelser med dna-profiler från prov som är föremål för Rättsmedicinalverkets analys. Jämförelsen får endast göras i det syfte som lagens ändamålsbestämmelse slår fast. Uppgifterna i elimineringsdatabasen får således endast användas för att genomföra jämförelser som syftar till att upptäcka och utreda kontamineringar av det som är föremål för dna-analys. Annan användning av elimineringsdatabasen är inte tillåten, se 1 §. Vidare framgår att jämförelser får göras mellan dna-profiler i elimineringsdatabasen och sådana dna-profiler som har tagits fram för att kvalitetssäkra den rättsgenetiska verksamheten med dna-analyser. Sådana jämförelser är ett viktigt led i Rättsmedicinalverkets kvalitetsarbete. Även för sådana jämförelser gäller att uppgifterna i elimineringsdatabasen endast får användas för det övergripande syftet med lagen, nämligen att stärka kvaliteten i den rättsgenetiska verksamheten med dna-analyser.
Längsta tid för behandling
10 § Uppgifter i elimineringsdatabasen får behandlas så länge de behövs för att upptäcka och utreda om en persons dna kan ha kontaminerat material, prover eller lokaler, dock som längst den tid som anges i andra-fjärde styckena.
Uppgifter som rör anställda vid Rättsmedicinalverket får inte behandlas längre än två år efter det att det förhållande som grundade skyldigheten att lämna prov upphörde.
Uppgifter som har registrerats med stöd av 7 § får inte behandlas längre än ett år efter det att uppgifterna registrerades.
Uppgifter som rör andra än de som anges i andra och tredje styckena får inte behandlas längre än ett år efter det att det förhållande som grundade skyldigheten att lämna prov upphörde.
Bestämmelsen i 2 kap. 17 § andra stycket brottsdatalagen (2018:1177) gäller inte vid tillämpning av denna paragraf.
Paragrafen innehåller bestämmelser om hur länge uppgifter i elimineringsdatabasen får behandlas. Övervägandena finns i avsnitt 7.10.
I paragrafens första stycke slås fast att uppgifter i elimineringsdatabasen bara får behandlas så länge de behövs för att upptäcka och utreda om en persons dna kan ha kontaminerat material, prover eller lokaler. När uppgifterna inte längre behövs för det ändamålet ska de raderas. Så kan vara fallet när en anställd byter arbetsuppgifter och inte längre kommer i kontakt med hantering av dna eller när en anställd är tjänstledig under en längre tid för exempelvis studier. Vidare framgår att uppgifter i elimineringsdatabasen under alla förhållanden inte får behandlas längre än vad som anges i andra-fjärde styckena.
En uttrycklig bortre gräns för hur länge uppgifter som rör anställda får behandlas anges i andra stycket. Anställda kan under lång tid regelbundet ha kommit i kontakt med dna-analyser och kan ha kontaminerat material, prov och lokaler. Uppgifter om anställda kan därför behöva sparas under en förhållandevis lång tid. Uppgifterna får dock inte sparas längre än två år efter det att det förhållande som grundade skyldigheten att lämna prov upphörde.
Av paragrafens tredje stycke framgår att, för personer som har lämnat dna-prover enligt 7 §, dvs. tillfälliga besökare, får uppgifterna i elimineringsdatabasen inte behandlas längre än ett år efter det att uppgifterna registrerades.
Fjärde stycket reglerar den längsta tiden för behandling av uppgifter som andra än anställda har lämnat med stöd av 6 §, dvs. personer som utan att vara anställda återkommande riskerar att kontaminera material, prover och lokaler. Det kan exempelvis röra sig om hantverkare eller lokalvårdare. Uppgifter i databasen som rör dessa personer får inte behandlas längre än ett år efter det att det förhållande som grundade skyldigheten att lämna prov upphörde.
Enligt femte stycket gäller inte bestämmelsen om arkivlagstiftningens företräde i 2 kap. 17 § andra stycket brottsdatalagen vid tillämpningen av denna paragraf. Det innebär att all behandling av personuppgifterna ska upphöra när de tider som anges i paragrafen har löpt ut.
Skadestånd
11 § Inom det område som omfattas av brottsdatalagen (2018:1177) ska bestämmelsen om skadestånd i 7 kap. 1 § brottsdatalagen tillämpas vid behandling av personuppgifter i strid med denna lag eller föreskrifter som har meddelats i anslutning till den.
Paragrafen innehåller bestämmelser om skadestånd. Övervägandena finns i avsnitt 7.11.
I paragrafen föreskrivs att skadeståndsbestämmelserna i brottsdatalagen ska gälla vid personuppgiftsbehandling på brottsdatalens område i strid med denna lag eller föreskrifter som har meddelats i anslutning till den.
När det gäller behandling inom dataskyddsförordningens tillämpningsområde finns en upplysning i 7 kap. 1 § dataskyddslagen om att rätten till skadestånd enligt förordningen gäller även vid överträdelser av bestämmelser i föreskrifter som kompletterar dataskyddsförordningen (se även artikel 82 och skäl 146 i dataskyddsförordningen). Förordningens reglering om skadestånd gäller alltså även vid överträdelser av denna lag eller föreskrifter som har meddelats i anslutning till den.
Rätt att meddela föreskrifter
12 § Regeringen eller den myndighet som regeringen bestämmer kan med stöd av 8 kap. 7 § regeringsformen
1. meddela närmare föreskrifter om vilka personalkategorier vid Rättsmedicinalverket och vilka andra personkategorier enligt 6 och 7 §§ som är skyldiga att lämna prover för dna-analys till elimineringsdatabasen,
2. meddela närmare föreskrifter om tillgången till uppgifter i elimineringsdatabasen, och
3. meddela föreskrifter om förfarandet vid överensstämmelse mellan en dna-profil i elimineringsdatabasen och en annan dna-profil.
I paragrafen upplyses om att regeringen eller den myndighet som regeringen bestämmer, med stöd av 8 kap. 7 § regeringsformen, kan meddela vissa föreskrifter. Övervägandena finns i avsnitt 7.12.
Enligt paragrafen kan regeringen eller den myndighet som regeringen bestämmer meddela närmare föreskrifter dels om skyldigheten att lämna prover till elimineringsdatabasen, dels om tillgången till uppgifter i elimineringsdatabasen. När det gäller tillgången till personuppgifter finns bestämmelser om detta, när det gäller behandling på dataskyddsförordningens område, i 2 kap. 5 § lagen om Rättsmedicinalverkets behandling av personuppgifter och, när det gäller behandling på brottsdatalagens område, i 3 kap. 6 § i sistnämnda lag. Vidare framgår att regeringen eller den myndighet som regeringen bestämmer kan meddela föreskrifter om förfarandet vid överensstämmelse mellan en dna-profil i elimineringsdatabasen och en annan dna-profil.
Ikraftträdande- och övergångsbestämmelser
1. Denna lag träder i kraft den 1 juli 2020.
2. En dna-profil som har registrerats före den 1 juli 2020 i syfte att upptäcka och utreda kontamineringar av det som är föremål för dna-analys, får registreras i elimineringsdatabasen om den registrerade godtar det. De dna-profiler som inte registreras i elimineringsdatabasen ska gallras senast den 1 januari 2021.
Övervägandena finns i avsnitt 9.
Punkt 1 föreskriver när lagen ska träda i kraft.
Punkt 2 föreskriver att en dna-profil som har registrerats före lagens ikraftträdande i syfte att upptäcka och utreda kontamineringar av det som är föremål för dna-analys, får registreras i elimineringsdatabasen om den registrerade godtar det. De dna-profiler som inte registreras i elimineringsdatabasen ska gallras senast den 1 januari 2021.
Sammanfattning av betänkandet Stärkt integritet i Rättsmedicinalverkets verksamhet (SOU 2017:80)
Uppdraget
Vårt uppdrag har varit att föreslå hur regelverket för Rättsmedicinalverket (RMV) ska anpassas så att verksamheten kan bedrivas med effektiva arbetsformer och stor hänsyn tagen till människors integritet.
I uppdraget har ingått att ta ställning till möjligheten och behovet av att införa en särskild personuppgiftsreglering för RMV. Uppdraget i den delen har bestått i att identifiera de integritetsintressen och övriga intressen som har betydelse för RMV:s personuppgiftsbehandling och behandling av uppgifter om avlidna personer. Vi har dessutom haft till uppgift att analysera möjligheten och behovet av att införa en särskild registerlagstiftning för RMV och ta ställning till i vilken utsträckning denna i så fall bör ha lagform. En särskild fråga har varit om det behövs ett starkare skydd för uppgifter om avlidna. I vårt uppdrag har också ingått att anpassa våra förslag till det pågående reformarbetet inom Europeiska unionen när det gäller att reglera behandlingen av personuppgifter.
Inom RMV:s rättsgenetiska verksamhetsområde förs en elimineringsdatabas, som används för att upptäcka och utreda kontamineringar i samband med rättsgenetiska dna-analyser. Vi har haft i uppdrag att ta ställning till behovet av att författningsreglera elimineringsdatabasen.
Vid RMV hanteras humanbiologiskt material (ben, blod, vävnad, hår, saliv, tänder, urin, dna och andra samlingar av celler från människokroppen) från både levande och avlidna för olika undersökningsändamål. I vårt uppdrag har ingått att analysera hur denna hantering bör se ut och föreslå en reglering för RMV:s hantering av humanbiologiskt material.
Till ledning för valet av påföljd i ett brottmål genomför RMV rättspsykiatriska undersökningar enligt lagen (1991:1137) om rättspsykiatrisk undersökning och undersökningar för att utfärda läkarintyg enligt 7 § lagen (1991:2041) om särskild personutredning i brottmål, m.m. (personutredningslagen). Vi har haft i uppdrag att ta ställning till vilka uppgifter som RMV i sin rättspsykiatriska undersökningsverksamhet behöver ha tillgång till för att de utlåtanden som lämnas ska hålla tillräckligt hög kvalitet. Inom det rättspsykiatriska verksamhetsområdet har vi också tagit ställning till vissa frågor som rör ordning och säkerhet i samband med rättspsykiatriska undersökningar och provtagning av utredningsskäl i anslutning till undersökningarna. Dessutom har vi behandlat vissa frågor om sekretess inom RMV för bl.a. uppgift om åtgärd som har till syfte att hindra rymning eller fritagning i RMV:s rättspsykiatriska undersökningsverksamhet.
RMV får enligt sin instruktion (se 3 § förordningen [2007:976] med instruktion för Rättsmedicinalverket), utöver sitt huvuduppdrag, utföra uppdrag inom sitt ansvarsområde om verksamheten i övrigt medger det. Vi har haft i uppdrag att ta ställning till hur myndigheten ska bedriva sin uppdragsverksamhet.
En datalag för Rättsmedicinalverket
Det finns ett behov av en registerförfattning för Rättsmedicinalverket
RMV bedriver verksamhet av central betydelse för rättsväsendet. Verket ansvarar för rättspsykiatrisk, rättskemisk, rättsmedicinsk och rättsgenetisk verksamhet och en huvuduppgift för myndigheten är att lämna sakkunnigutlåtanden till rättsväsendets myndigheter. Främst rör det sig om utredningar i form av analyser och utlåtanden till polis, allmän åklagare och domstol. Utredningarna är ofta viktiga beståndsdelar i brottsutredningar, men verksamheten innefattar också uppdrag som inte rör brottsbekämpande eller liknande verksamhet. Ett exempel på sådan verksamhet är fastställande av faderskap eller annat släktskap, liksom rättsmedicinska åldersbedömningar på begäran av Migrationsverket.
Vid RMV förekommer en rad olika ärendetyper. Gemensamt för i princip samtliga ärenden är att de innefattar behandling av personuppgifter som i många fall är känsliga ur integritetshänseende. Uppgifterna kommer från bl.a. Polismyndigheten, Åklagarmyndigheten och Migrationsverket, men det förekommer också uppgifter från andra myndigheter liksom från enskilda personer. En mängd uppgifter genereras också vid RMV:s utredningsarbete i de olika ärendetyperna.
Merparten av den personuppgiftsbehandling som sker vid RMV i dag regleras av personuppgiftslagens (1998:204) bestämmelser. Någon särskild lag om behandling av personuppgifter vid RMV finns inte. I syfte att åstadkomma ett starkare integritetsskydd för enskilda, samtidigt som RMV:s behov av en ändamålsenlig reglering av personuppgiftsbehandling tillgodoses, föreslår vi att en författning om behandling av personuppgifter vid RMV införs. Vi föreslår att författningen ska ha lagform och heta Rättsmedicinalverkets datalag.
De EU-rättsliga dataskyddsbestämmelsernas tillämpning på Rättsmedicinalverkets personuppgiftsbehandling
Behandlingen av personuppgifter är föremål för ett omfattande unionsrättsligt reformarbete. Grunden för generell personuppgiftsbehandling inom EU utgörs enligt reformen av Europaparlamentets och rådets förordning (EU) 2016/679 om skydd för fysiska personer med avseende på behandling av personuppgifter och om det fria flödet av sådana uppgifter och om upphävande av direktiv 95/46/EG (allmän dataskyddsförordning), nedan kallad dataskyddsförordningen. Förordningen är direkt tillämplig i Sverige och ska tillämpas från och med den 25 maj 2018. Det finns ett visst utrymme för kompletterande nationella bestämmelser. Dataskyddsutredningen har i sitt betänkande Ny dataskyddslag. Kompletterande bestämmelser till EU:s dataskyddsförordning, SOU 2017:39, lämnat förslag till lag med kompletterande bestämmelser till EU:s dataskyddsförordning (data skyddslagen).
Dataskyddsförordningen omfattar inte behandling av personuppgifter i myndigheters brottsförebyggande och brottsutredande verksamhet. På det området gäller i stället Europaparlamentets och rådets direktiv (EU) 2016/680 om skydd för fysiska personer med avseende på behöriga myndigheters behandling av personuppgifter för att förebygga, förhindra, utreda, avslöja eller lagföra brott eller verkställa straffrättsliga påföljder, och det fria flödet av sådana uppgifter och om upphävande av rådets rambeslut 2008/977/RIF, nedan kallat dataskyddsdirektivet. Utredningen om 2016 års dataskyddsdirektiv har haft regeringens uppdrag att föreslå hur dataskyddsdirektivet ska genomföras i svensk rätt. I sitt betänkande Brottsdatalag, SOU 2017:29, har utredningen föreslagit att dataskyddsdirektivet i huvudsak ska genomföras genom en ny ramlag, brottsdatalagen.
De båda EU-rättsliga regelkomplexen på dataskyddsområdet kommer att tillämpas parallellt vid RMV. För behandling av personuppgifter vid verket kommer som utgångspunkt dataskyddsförordningen att gälla. När RMV som behörig myndighet fullgör ett uppdrag i syfte att stödja sådan brottsutredande och liknande verksamhet som avses i dataskyddsdirektivet, är i stället brottsdatalagen tillämplig. Syftet med personuppgiftsbehandlingen avgör vilka regler som ska tillämpas.
Huvuddragen i förslaget till Rättsmedicinalverkets datalag
Rättsmedicinalverkets datalag ska, med några uttryckligt angivna undantag, vara tillämplig på all behandling av personuppgifter vid RMV. Lagen gäller utöver brottsdatalagen och i stället för dataskyddslagen. Bestämmelserna är fördelade i tre kapitel, där 1 kap. innehåller allmänna regleringar, 2 kap. innehåller bestämmelser om behandling av personuppgifter inom det område som omfattas av brottsdatalagen och 3 kap. bestämmelser om personuppgiftsbehandling på dataskyddsförordningens område. Lagen gäller i tillämpliga delar även vid behandling av uppgifter om avlidna personer.
På dataskyddsdirektivets område innehåller Rättsmedicinalverkets datalag bestämmelser som kompletterar brottsdatalagen. Det rör sig om bestämmelser om de tillåtna rättsliga grunderna för personuppgiftsbehandling, om sökning i personuppgifter, elektroniskt utlämnande av personuppgifter, administrativa sanktionsavgifter och skadestånd.
För RMV:s personuppgiftsbehandling på dataskyddsförordningens område ska vissa bestämmelser i dataskyddslagen vara tillämpliga. Rättsmedicinalverkets datalag innehåller därutöver bestämmelser om rättslig grund för personuppgiftsbehandling, behandling av känsliga personuppgifter i bild, sökning i personuppgifter, tillgången till personuppgifter, anmälningsskyldighet för dataskyddsombud, elektroniskt utlämnande av personuppgifter och rätt till information.
En lag om Rättsmedicinalverkets elimineringsdatabas
Vid RMV:s rättsgenetiska enhet genomförs dna-analyser. Sådana genetiska analyser är normalt sett mycket tillförlitliga, men det finns en risk att dna-prov kontamineras. Resultatet av en dna-analys kan därigenom bli felaktigt och missvisande. För att upptäcka och utreda kontamineringar för RMV en elimineringsdatabas. Möjligheten att genom jämförelser med dna-profiler i en elimineringsdatabas upptäcka och utreda kontamineringar är av avgörande betydelse för att RMV:s arbete med dna-analyser ska hålla fullgod kvalitet.
Grunden för registrering i databasen är i dag samtycke från de personer vars dna-profiler registreras. Det kan ifrågasättas om detta är en tillräcklig rättslig grund för förandet av databasen. Rättsliga förutsättningar för att RMV ska kunna föra en elimineringsdatabas bör införas och vi föreslår därför en lag om Rättsmedicinalverkets elimineringsdatabas.
I lagen slås fast att RMV får föra en elimineringsdatabas i syfte att stärka kvaliteten i den rättsgenetiska verksamheten med dna-analyser. Databasen får innehålla dna-profiler från personer som genom att komma i kontakt med material eller prover som ska bli föremål för dna-analys eller lokaler där sådana analyser utförs riskerar att kontaminera dessa. Den får också innehålla dna-profiler som har påträffats vid en dna-analys och som inte kan hänföras till en identifierad person. En profil från ett dna-prov som analyserats vid RMV får jämföras med dna-profiler i elimineringsdatabasen. Jämförelser får också göras mellan dna-profiler som har tagits fram för att kvalitetssäkra dna-analyser och dna-profiler i databasen.
Anställda vid RMV och andra som återkommande kan komma i kontakt med och därigenom riskera att kontaminera material som används vid dna-analys, prover som ska bli föremål för dna-analys eller lokaler där sådana analyser utförs, ska vara skyldiga att lämna prov för dna-analys i syfte att dna-profilen ska registreras i elimineringsdatabasen. Detsamma ska gälla även för andra personer, om de ska få tillträde till en lokal där RMV hanterar eller förvarar dna- prover som ska analyseras. Uppgifter i elimineringsdatabasen får inte behandlas när de inte längre behövs för att utreda om en persons dna kan ha kontaminerat material, prover eller lokaler.
En lag om hanteringen av humanbiologiskt material vid Rättsmedicinalverket
Hanteringen av humanbiologiskt material är mycket betydelsefull för merparten av verksamheten vid RMV. Materialet innehåller ofta integritetskänslig information och den lagreglering som finns på området är inte tillräcklig. Vi har därför lämnat ett förslag till lag om hantering av humanbiologiskt material vid Rättsmedicinalverket.
Lagen omfattar frågor om bevarande, utlämnande och förstöring av prov som utgör humanbiologiskt material. Med humanbiologiskt material avses i sammanhanget mänskligt biologiskt material som har tagits från en levande eller avliden person eller ett foster.
Humanbiologiskt material får enligt den föreslagna lagen som huvudregel hanteras även om den enskilde, eller närstående till en avliden, motsätter sig hanteringen. Vid sådana uppdrag som RMV har åtagit sig som förutsätter den enskildes samtycke, får däremot hantering av humanbiologiskt material endast ske om den från vilken provet härrör samtycker till en sådan hantering. Om ett lämnat samtycke återkallas, ska materialet förstöras.
Bestämmelser om när RMV får ta emot, ta, undersöka och analysera prov av humanbiologiskt material regleras i andra författningar. Genom lagen ges RMV därutöver en rätt att bevara, undersöka och analysera prover av humanbiologiskt material för systematisk utvärdering, utveckling och säkring av kvaliteten, utbildning i undersökningsverksamheten samt forskning inom verket.
Lagen innehåller en bestämmelse om i vilka situationer RMV, utöver när det framgår av annan lag, får lämna ut prover av humanbiologiskt material som verket har tagit eller tagit emot för undersökning och analys.
Prover av humanbiologiskt material har olika hållbarhet och behovet av att spara proverna varierar. Hur länge materialet ska bevaras och vad som ska gälla för förstöring av prover, ska regleras av regeringen eller den myndighet som regeringen bestämmer.
Uppgifter till rättspsykiatriska undersökningar
I RMV:s rättspsykiatriska undersökningsverksamhet är det av stor vikt att myndigheten har ett fullgott underlag för att kunna lämna ett utlåtande till ledning för domstolens påföljdsbestämning. Uppgifter som kan vara betydelsefulla vid utredningarna på det rättspsykiatriska området finns framför allt inom hälso- och sjukvården samt socialtjänsten. Den person som utredningen avser kan också ha haft kontakt med ett antal myndigheter, som kan ha viktig information att lämna. Främst rör det sig om uppgifter från Migrationsverket, Kriminalvården, Arbetsförmedlingen, Försäkringskassan och Totalförsvarets rekryteringsmyndighet.
Vid genomförandet av rättspsykiatriska undersökningar och s.k. § 7-undersökningar begär RMV regelmässigt in uppgifter från hälso- och sjukvården samt socialtjänsten, liksom från en del av de nyssnämnda myndigheterna. Lagen om rättspsykiatrisk undersökning och personutredningslagen innehåller bestämmelser som gör det möjligt för RMV att få del av uppgifter från offentligt bedriven hälso- och sjukvård samt socialtjänst. Med stöd av främst dessa bestämmelser, men även av 10 kap. 27 § offentlighets- och sekretesslagen (2009:400) får RMV i varierande omfattning även del av uppgifter från några av de aktuella myndigheterna. Uppgiftsinhämtning från enskilt bedriven hälso- och sjukvård samt socialtjänst som drivs av privata utförare förutsätter dock som regel den undersöktes samtycke. Det är vanligt förekommande att den person som ska genomgå en rättspsykiatrisk undersökning eller en § 7-undersökning inte lämnar något sådant samtycke.
Eftersom hälso- och sjukvård samt socialtjänstverksamhet i allt större utsträckning bedrivs i privat regi och det finns ett berättigat behov för RMV att få del av uppgifter därifrån, ska RMV ges möjlighet att hämta in uppgifter från dessa aktörer. Lagen om rättspsykiatrisk undersökning och personutredningslagen föreslås därför kompletteras med bestämmelser som innebär att uppgifter som behövs för en rättspsykiatrisk undersökning respektive ett läkarintyg enligt 7 § personutredningslagen, ska lämnas från enskilt bedriven hälso- och sjukvård samt socialtjänst. Skyldigheten att lämna uppgifter som behövs för en rättspsykiatrisk undersökning, dock inte en § 7-undersökning, ska dessutom utvidgas på så sätt att uppgifter, med vissa begränsningar, ska lämnas från Arbetsförmedlingen, Försäkringskassan, Kriminalvården, Migrationsverket och Totalförsvarets rekryteringsmyndighet.
Uppdrag från enskilda
RMV har möjlighet att, inom sitt ansvarsområde och i den mån verksamheten i övrigt medger det, utföra uppdrag på begäran av enskilda. Verket har kritiserats för att det inte i tillräckligt stor utsträckning utför sådana uppdrag och Advokatsamfundet har (se skrivelse till Justitiedepartementet, Ju2002/06579/Å) begärt att RMV ska ha en skyldighet att åta sig rättsmedicinska uppdrag från enskilda. I dag utför RMV i begränsad omfattning uppdrag från enskilda. Det sker främst på det rättsgenetiska området och i princip aldrig på det rättsmedicinska verksamhetsområdet.
Det behov av förändrade bestämmelser som Advokatsamfundet framför allt har gjort gällande, består i att det borde vara möjligt för en misstänkt eller tilltalad att vända sig till RMV med en begäran om undersökning och utlåtande, utan att detta kommer till Polismyndighetens, Åklagarmyndighetens eller domstolens kännedom.
Enligt vår mening är de bestämmelser som i dag reglerar enskilds möjlighet att få tillgång till RMV:s sakkunskap tillräckliga. Det är inte lämpligt med en ordning där enskilda kan vända sig till RMV med uppdrag som är hemliga för polis, åklagare och domstol. Detta skulle vara oförenligt med RMV:s roll som oberoende expertmyndighet med uppdrag från rättsväsendets aktörer. Vi föreslår därför inte några förändrade bestämmelser om RMV:s uppdragsverksamhet.
Bestämmelser om bl.a. ordning och säkerhet i den rättspsykiatriska verksamheten
Under utredningens gång har tre frågor av betydelse för RMV:s rättspsykiatriska undersökningsverksamhet visat sig angelägna att behandla. Frågorna har sådant nära sammanhang med utredningsuppdraget i övrigt, att de bedömts kunna rymmas inom uppdraget.
När RMV genomför rättspsykiatriska undersökningar är vissa bestämmelser i häkteslagen (2010:611) tillämpliga. I de fall då Socialstyrelsens Rättsliga råd genomför kompletteringar av en rättspsykiatrisk undersökning, kan den misstänkte vistas vid en undersökningsenhet vid RMV. Enligt vår mening bör de bestämmelser i häkteslagen som är tillämpliga när RMV genomför en rättspsykiatrisk undersökning också vara tillämpliga då den undersökte vistas vid RMV i samband med Rättsliga rådets kompletteringar. Vi föreslår därför att lagen om rättspsykiatrisk undersökning ändras så att dessa bestämmelser i häkteslagen blir tillämpliga även i den nyssnämnda situationen.
RMV kan ta bl.a. urin- och blodprov på en person som ska genomgå en rättspsykiatrisk undersökning eller en § 7-undersökning, om detta är påkallat av ordnings- och säkerhetsskäl. Sådan provtagning föreslås, om inte annat motiveras av medicinska eller liknande skäl, få ske även om det behövs för att vid undersökningen kunna bedöma den enskildes psykiatriska eller medicinska tillstånd. Kompletterande bestämmelser av denna innebörd föreslås i lagen om rättspsykiatrisk undersökning och i personutredningslagen.
Det finns, enligt vår mening, behov av att utöka sekretesskyddet för vissa uppgifter vid RMV. Sekretess ska gälla inom RMV för uppgift om åtgärd som har till syfte att hindra rymning eller fritagning, om det kan antas att syftet med åtgärden motverkas om uppgiften röjs. Detsamma ska gälla för uppgifter om åtgärder som har till syfte att upprätthålla ordningen och säkerheten i RMV:s rättspsykiatriska undersökningsverksamhet. Kompletterande bestämmelser med denna innebörd föreslås därför i offentlighets- och sekretesslagen.
Konsekvenser av förslagen
Förslagen på det dataskyddsrättsliga området är del av den pågående unionsrättsliga dataskyddsreformen. Konsekvenserna av reformen i sin helhet är inte föremål för vår bedömning.
För RMV kommer förslagen att kräva vissa utbildningsinsatser.
Kostnaderna härför bedöms rymmas inom befintliga anslag.
Förslagen bedöms förbättra skyddet för enskildas personliga integritet. Förutsättningarna för ett välfungerande informationsutbyte mellan RMV och de brottsbekämpande och brottsutredande myndigheter som lämnar uppdrag till verket bedöms bli bättre genom de nya dataskyddsbestämmelserna. Detta kan få positiva effekter för det brottsförebyggande och brottsutredande arbetet.
Några konsekvenser i övrigt förväntas förslagen inte få.
Betänkandets lagförslag
Förslag till Rättsmedicinalverkets datalag (2018:000)
Härigenom föreskrivs följande.
1 kap. Allmänna bestämmelser
Lagens syfte
1 § Syftet med denna lag är att ge Rättsmedicinalverket möjlighet att behandla personuppgifter på ett ändamålsenligt sätt i sin verksamhet och att skydda fysiska personer mot att deras personliga integritet kränks vid sådan behandling.
Lagens tillämpningsområde
2 § Denna lag gäller vid behandling av personuppgifter i Rättsmedicinalverkets verksamhet.
Lagen gäller för sådan behandling av personuppgifter som är helt eller delvis automatiserad och för annan behandling av personuppgifter som ingår i eller är avsedda att ingå i en strukturerad samling av personuppgifter som är tillgängliga för sökning eller sammanställning enligt särskilda kriterier.
Förhållandet till annan reglering om personuppgiftsbehandling
3 § För behandling av personuppgifter som utförs av Rättsmedicinalverket som behörig myndighet i syfte att förebygga, förhindra eller upptäcka brottslig verksamhet, utreda eller lagföra brott eller verkställa straffrättsliga påföljder, gäller brottsdatalagen (2018:000).
4 § För behandling av personuppgifter i sådant syfte som anges i 3 §, ska denna lag tillämpas utöver brottsdatalagen (2018:000).
5 § För annan behandling av personuppgifter vid Rättsmedicinalverket än som avses i 3 §, ska Europaparlamentets och rådets förordning (EU) 2016/679 av den 27 april 2016 om skydd för fysiska personer med avseende på behandling av personuppgifter och om det fria flödet av sådana uppgifter och om upphävande av direktiv 95/46/EG (allmän dataskyddsförordning) tillämpas.
Kompletterande bestämmelser till Europaparlamentets och rådets förordning (EU) 2016/679 finns i lagen (2018:000) med kompletterande bestämmelser till EU:s dataskyddsförordning.
6 § Om inte något annat anges i 3 kap. 1 § gäller denna lag i stället för lagen (2018:000) med kompletterande bestämmelser till EU:s dataskyddsförordning.
7 § Denna lag gäller inte då personuppgifter behandlas med stöd av
1.lagen (1999:353) om rättspsykiatriskt forskningsregister,
2.lagen (2003:460) om etikprövning av forskning som avser människor,
3.patientdatalagen (2008:355), eller
4.kameraövervakningslagen (2013:460).
Uppgifter om avlidna
8 § Denna lag gäller i tillämpliga delar även vid behandling av uppgifter om avlidna personer. För Rättsmedicinalverkets behandling av uppgifter om avlidna personer, ska Europaparlamentets och rådets förordning (EU) 2016/679, lagen (2018:000) med kompletterande bestämmelser till EU:s dataskyddsförordning och brottsdatalagen (2018:000) gälla, på samma sätt som enligt denna lag gäller för behandling av personuppgifter avseende personer som är i livet.
Personuppgiftsansvar
9 § Rättsmedicinalverket är personuppgiftsansvarig för den behandling av personuppgifter som myndigheten utför.
Lagens uppbyggnad
10 § Bestämmelserna i 1 kap. denna lag gäller för all behandling av personuppgifter vid Rättsmedicinalverket.
För sådan behandling av personuppgifter som utförs av Rättsmedicinalverket inom det område som omfattas av brottsdatalagen (2018:000) gäller, utöver vad som framgår av första stycket, bestämmelserna i 2 kap.
För annan behandling av personuppgifter än som avses i andra stycket gäller, utöver vad som framgår av första stycket, bestämmelserna i 3 kap.
2 kap. Behandling av personuppgifter inom det område som omfattas av brottsdatalagen
Tillåtna rättsliga grunder för behandling av personuppgifter
1 § Personuppgifter får behandlas om det är nödvändigt för att Rättsmedicinalverket, i syfte att förebygga, förhindra eller upptäcka brottslig verksamhet, utreda eller lagföra brott, verkställa straffrättsliga påföljder eller fullgöra förpliktelser som följer av internationella åtaganden, ska kunna utföra en arbetsuppgift i sin rättspsykiatriska, rättskemiska, rättsmedicinska eller rättsgenetiska verksamhet.
Arbetsuppgiften ska framgå av en bindande unionsrättsakt eller av en lag, en förordning eller ett särskilt beslut i vilket regeringen uppdragit åt Rättsmedicinalverket att ansvara för en sådan uppgift.
2 § Förutsättningarna för att behandla personuppgifter, som behandlas med stöd av 1 §, för nya ändamål regleras i 2 kap. 4 och 22 §§ brottsdatalagen (2018:000).
Sökning
3 § Sökförbudet i 2 kap. 14 § brottsdatalagen (2018:000) gäller inte vid sökningar som omfattas av bestämmelserna i detta kapitel. I stället gäller vid sökning i personuppgifter bestämmelserna i 4 och 5 §§ och i föreskrifter som meddelats med stöd av denna lag.
4 § Det är förbjudet att göra sökningar som grundar sig på ras, etniskt ursprung, politiska åsikter, religiös eller filosofisk övertygelse eller medlemskap i fackförening eller som rör sexualliv eller sexuell läggning.
Användning av särskilda beteckningar för identifiering av en viss ärendetyp som sökbegrepp omfattas inte av förbudet i första stycket.
Förbudet i första stycket gäller inte vid sökning i en viss handling eller i ett visst ärende.
5 § Sökningar som grundar sig på hälsa, biometriska uppgifter som används för att identifiera en person eller genetiska uppgifter är tillåtna.
Det är också tillåtet att göra sökningar som rör brott eller misstanke om brott. Sökförbudet i 4 § första stycket hindrar inte att uppgifter som beskriver en persons utseende används vid sökning.
Elektroniskt utlämnande av personuppgifter
6 § Personuppgifter får lämnas ut elektroniskt, om det inte är olämpligt. Utlämnande får dock inte ske i form av direktåtkomst.
Administrativa sanktionsavgifter
7 § Sanktionsavgift får tas ut av Rättsmedicinalverket vid överträdelse av bestämmelserna i 1 § om tillåtna rättsliga grunder för behandling av personuppgifter eller 3-5 §§ om sökning.
Sanktionsavgift får också tas ut om Rättsmedicinalverket överträder de föreskrifter om sökning som meddelats med stöd av denna lag.
Sanktionsavgiften ska vara lägst 50 000 kronor och högst 20 000 000 kronor.
Skadestånd
8 § Bestämmelsen i 7 kap. 1 § brottsdatalagen (2018:000) om skadestånd ska tillämpas på motsvarande sätt vid behandling av personuppgifter i strid med denna lag eller föreskrifter som har meddelats i anslutning till den.
Föreskrifter
9 § Regeringen eller den myndighet som regeringen bestämmer kan med stöd av 8 kap. 7 § regeringsformen meddela föreskrifter om ytterligare begränsningar av
1.möjligheten att använda de uppgifter som anges i 5 § vid sökning i personuppgifter, och
2.möjligheterna enligt 6 § att lämna ut personuppgifter elektroniskt.
3 kap. Behandling av personuppgifter inom det område som omfattas av Europaparlamentets och rådets förordning (EU) 2016/679
Tillämpliga bestämmelser i lagen (2018:000) med kompletterande bestämmelser till EU:s dataskyddsförordning
1 § För behandling av personuppgifter som vid Rättsmedicinalverket omfattas av Europaparlamentets och rådets förordning (EU) 2016/679 ska följande bestämmelser i lagen (2018:000) med kompletterande bestämmelser till EU:s dataskyddsförordning gälla:
1.1 kap. 4 § första stycket om förhållandet till tryck- och yttrandefriheten,
2.2 kap. 1, 3 och 4 §§ om rättslig grund,
3.3 kap. 1-3 §§, 5 §, 6 § första stycket och 7 § om känsliga personuppgifter,
4.3 kap. 11 § om behandling för arkivändamål av personuppgifter som rör lagöverträdelser,
5.5 kap. 1 § första stycket och 2 § om undantag från rätten till information och tillgång till personuppgifter,
6.6 kap. 1 §, 2 § första och andra styckena och 3-5 §§ om tillsynsmyndighetens handläggning och beslut,
7.7 kap. 1, 3 och 4 §§ om administrativa sanktionsavgifter,
8.8 kap. 1 § om skadestånd, och
9.8 kap. 2-6 §§ om överklagande.
Rättslig grund
2 § Personuppgifter får, under förutsättning att minst ett av de vill- kor som anges i artikel 6.1 i Europaparlamentets och rådets förordning (EU) 2016/679 är uppfyllt, behandlas i Rättsmedicinalverkets rättspsykiatriska, rättskemiska, rättsmedicinska och rättsgenetiska verksamhet.
3 § Personuppgifter som behandlas enligt 2 § får även behandlas om det behövs
1.för att fullgöra uppgiftslämnande som sker i överensstämmelse med lag eller förordning, eller
2.för arkivändamål av allmänt intresse, vetenskapliga eller historiska forskningsändamål eller statistiska ändamål i enlighet med artikel 89.1 i Europaparlamentets och rådets förordning (EU) 2016/679. Att personuppgifter även får behandlas för andra ändamål framgår av artiklarna 5.1 b och 6.4 i Europaparlamentets och rådets förordning (EU) 2016/679.
4 § Personuppgifter får även behandlas för de ändamål som fram- går av 3 § första stycket när de vid Rättsmedicinalverket behandlas eller har behandlats med stöd av brottsdatalagen (2018:000) eller 2 kap. denna lag.
Känsliga personuppgifter
5 § Känsliga personuppgifter i bild får, utöver vad som framgår av 1 § 3, behandlas i Rättsmedicinalverkets verksamhet.
Sökning
6 § Vid sökning i personuppgifter är det förbjudet att som sökbegrepp använda uppgifter som avslöjar sådana känsliga personuppgifter som anges i artikel 9.1 i Europaparlamentets och rådets förordning (EU) 2016/679.
Användning av särskilda beteckningar för identifiering av en viss ärendetyp som sökbegrepp omfattas inte av förbudet i första stycket.
Förbudet i första stycket gäller inte vid sökning i en viss handling eller i ett visst ärende.
7 § Förbudet i 6 § första stycket gäller inte vid Rättsmedicinalverkets sökningar som grundar sig på hälsa, biometriska uppgifter som används för att identifiera en person eller genetiska uppgifter.
Det är också tillåtet att göra sökningar som rör brott eller misstanke om brott. Sökförbudet i 6 § första stycket hindrar inte att uppgifter som beskriver en persons utseende används vid sökning.
Tillgången till personuppgifter
8 § Tillgången till personuppgifter ska begränsas till det som varje tjänsteman behöver för att kunna fullgöra sina arbetsuppgifter.
Dataskyddsombud
9 § Om den personuppgiftsansvarige bryter mot bestämmelser för behandling av personuppgifter och rättelse inte vidtas, ska dataskyddsombudet anmäla det till tillsynsmyndigheten.
Elektroniskt utlämnande av personuppgifter
10 § Personuppgifter får lämnas ut elektroniskt, om det inte är olämpligt. Utlämnande får dock inte ske i form av direktåtkomst.
Avgiftsfri information
11 § Om någon begär information och uppgifter enligt artikel 15 i Europaparlamentets och rådets förordning (EU) 2016/679 oftare än en gång per år, får Rättsmedicinalverket ta ut en rimlig avgift eller avslå begäran.
Begränsning av rätten till information
12 § Bestämmelserna om den registrerades rätt enligt artikel 34 i Europaparlamentets och rådets förordning (EU) 2016/679 att få information om en personuppgiftsincident, gäller inte om Rättsmedicinalverket, enligt lag eller annan författning eller enligt beslut som har meddelats med stöd av författning, inte får lämna ut uppgifter till den registrerade.
Föreskrifter
13 § Regeringen eller den myndighet som regeringen bestämmer kan med stöd av 8 kap. 7 § regeringsformen meddela närmare föreskrifter om
1.begränsningar av möjligheten att använda de uppgifter som anges i 7 § vid sökning i personuppgifter,
2.tillgången till personuppgifter enligt 8 §, och
3.begränsningar av möjligheterna enligt 10 § att lämna ut personuppgifter elektroniskt.
1. Denna lag träder i kraft den 25 maj 2018.
2. Sanktionsavgift enligt 2 kap. 7 § och 3 kap. 1 § 7 får beslutas endast för överträdelser som har begåtts efter ikraftträdandet.
3. Bestämmelsen om skadestånd i 48 § personuppgiftslagen (1998:204) gäller fortfarande för skada som har orsakats vid behandling av personuppgifter före ikraftträdandet.
Förslag till lag (2018:000) om Rättsmedicinalverkets elimineringsdatabas
Härigenom föreskrivs följande.
Lagens ändamål
1 § Rättsmedicinalverket får föra ett register över dna-profiler i syfte att stärka kvaliteten i den rättsgenetiska verksamheten med dna-analyser (elimineringsdatabasen) i enlighet med denna lag.
Uppgifter i elimineringsdatabasen får endast behandlas för att upptäcka och utreda kontamineringar vid dna-analyser.
Innebörden av vissa uttryck
2 § I denna lag avses med
dna-analys: varje förfarande som kan användas för analys av deoxiribonukleinsyra i humant material, och
dna-profil: resultatet av en dna-analys som presenteras i form av siffror eller bokstäver.
Förhållandet till Rättsmedicinalverkets datalag (2018:000) och annan personuppgiftsreglering
3 § Denna lag gäller utöver Rättsmedicinalverkets datalag (2018:000).
Europaparlamentets och rådets förordning (EU) 2016/679 av den 27 april 2016 om skydd för fysiska personer med avseende på behandling av personuppgifter och om det fria flödet av sådana uppgifter och om upphävande av direktiv 95/46/EG (allmän dataskyddsförordning), lagen (2018:000) med kompletterande bestämmelser till EU:s dataskyddsförordning och brottsdatalagen (2018:000), ska för Rättsmedicinalverkets elimineringsdatabas tillämpas på motsvarande sätt som enligt Rättsmedicinalverkets datalag gäller för övrig personuppgiftsbehandling vid myndigheten.
Personuppgiftsansvar
4 § Rättsmedicinalverket är personuppgiftsansvarig för behandling av personuppgifter i elimineringsdatabasen.
Databasens innehåll
5 § Elimineringsdatabasen får innehålla dna-profiler från personer som anges i 6 och 7 §§ och som genom att komma i kontakt med material eller prover som ska bli föremål för dna-analys eller lokaler där sådana analyser utförs riskerar att kontaminera dessa.
En dna-profil som registreras i databasen får endast ge information om identitet. Utöver dna-profiler får elimineringsdatabasen innehålla uppgifter om vem dna-profilen avser.
Databasen får också innehålla dna-profiler som har påträffats vid en dna-analys och som inte kan hänföras till en identifierad person.
Provtagning
6 § Anställda vid Rättsmedicinalverket och andra som återkommande kan komma i kontakt med och därigenom riskerar att kontaminera material som används vid dna-analys, prover som ska bli föremål för dna-analys eller lokaler där sådana analyser utförs, är skyldiga att lämna prov för dna-analys i syfte att dna-profilen ska registreras i elimineringsdatabasen. Provet tas i form av salivprov.
7 § För att få tillträde till en lokal där dna-prover som ska analyseras i Rättsmedicinalverkets rättsgenetiska verksamhet hanteras eller förvaras, är även den som inte omfattas av 6 § men som riskerar att kontaminera lokalen, prover som ska bli föremål för dna-analys eller material som används för dna-analys skyldig att lämna prov för dna-analys i syfte att dna-profilen ska registreras i elimineringsdatabasen. Provet tas i form av salivprov.
8 § Ett prov för dna-analys som har tagits med stöd av 6 eller 7 § får inte användas för något annat ändamål än det som provet togs för och ska förstöras senast sex månader efter det att provet togs.
Användning av elimineringsdatabasen
9 § En dna-profil från prov som analyseras vid Rättsmedicinalverket, får jämföras med dna-profiler i elimineringsdatabasen.
En dna-profil som har tagits fram för att kvalitetssäkra dna-analyser i den rättsgenetiska verksamheten får jämföras med dna-profiler i elimineringsdatabasen.
Längsta tid för behandling
10 § Uppgifter i elimineringsdatabasen får inte behandlas när de inte längre behövs för att utreda om en persons dna kan ha kontaminerat material, prover eller lokaler.
Uppgifter som rör anställda vid Rättsmedicinalverket får inte behandlas längre än två år efter det att det förhållande som grundade skyldigheten att lämna prov upphörde. Uppgifter som har registrerats med stöd av 7 § får inte behandlas längre än ett år efter det att uppgifterna registrerades.
Uppgifter som rör andra än de som anges i andra stycket får inte behandlas längre än ett år efter det att det förhållande som grundade skyldigheten att lämna prov upphörde.
Skadestånd
11 § Bestämmelserna i 2 kap. 8 § och 3 kap. 1 § 8 Rättsmedicinalverkets datalag (2018:000) om skadestånd ska tillämpas på motsvarande sätt vid behandling av personuppgifter i strid med denna lag eller föreskrifter som har meddelats i anslutning till den.
Föreskrifter
12 § Regeringen eller den myndighet som regeringen bestämmer kan med stöd av 8 kap. 7 § regeringsformen meddela ytterligare föreskrifter om vilka personalkategorier vid Rättsmedicinalverket och vilka andra personkategorier enligt 6 och 7 §§ som är skyldiga att lämna prover för dna-analys till elimineringsdatabasen. Detsamma ska gälla för möjligheten att meddela föreskrifter om tillgången till uppgifter i elimineringsdatabasen och förfarandet vid överensstämmelse mellan en dna-profil i elimineringsdatabasen och en annan dna-profil.
1. Denna lag träder i kraft den 25 maj 2018
2. Bestämmelserna om skadestånd i 11 § ska endast tillämpas på skada som inträffat efter ikraftträdandet
3. En dna-profil som har registrerats före den 25 maj 2018 i syfte att upptäcka och utreda kontamineringar vid dna-analyser, får registreras i elimineringsdatabasen om den registrerade samtycker till det. De dna-profiler som inte registreras i elimineringsdatabasen ska gallras senast den 1 januari 2019.
Förteckning över remissinstanser
Remissyttranden över betänkandet Stärkt integritet i Rättsmedicinalverkets verksamhet (SOU 2017:80) har lämnats av Arbetsförmedlingen, Arbetsgivarverket, Arbetsmiljöverket, Barnombudsmannen, Brottsförebyggande rådet, Brottsoffermyndigheten, Datainspektionen, Dataskydd.net, Domstolsverket, Diskrimineringsombudsmannen, Ekobrottsmyndigheten, Famna - riksorganisation för idéburen vård och omsorg, Försäkringskassan, Förvaltningsrätten i Falun, Förvaltningsrätten i Luleå, Göta hovrätt, Inspektionen för vård och omsorg, Justitiekanslern, Kammarrätten i Stockholm, Kriminalvården, Kustbevakningen, Landsorganisationen i Sverige (LO), Migrationsverket, Polismyndigheten, Riksdagens ombudsmän (JO), Riksförbundet för social och mental hälsa (RSMH), Riksföreningen PAR (Patienter och Anhöriga i rättspsykiatrin), Rättsliga rådet (Socialstyrelsens råd för vissa rättsliga, sociala och medicinska frågor), Rättsmedicinalverket, Socialstyrelsen, Statens institutionsstyrelse, Svea hovrätt, Sveriges advokatsamfund, Sveriges kommuner och landsting, Säkerhetspolisen, Södertörns tingsrätt, Totalförsvarets rekryteringsmyndighet, Västmanlands tingsrätt och Åklagarmyndigheten.
Yttrande har också inkommit från Föreningen för utgivande av samhällsmagasinet Avsnitt och Sveriges läkarförbund.
Följande remissinstanser har bjudits in att yttra sig men avstått. Civil Rights Defenders, Facket för service och kommunikation (SEKO), Riksförbundet för rättigheter, frigörelse, hälsa och likabehandling (RFHL), Svenska föreningen för barn- och ungdomspsykiatri, Svenska psykiatriska föreningen, Svenska rättspsykiatriska föreningen, Svenska säkerhetsföretag (SWESEC), Svenska vård, Sveriges akademikers centralorganisation (SACO), Sveriges Psykologförbund, Tjänstemännens centralorganisation (TCO) och Vårdföretagarna.
Lagrådsremissens lagförslag
Förslag till lag om Rättsmedicinalverkets behandling av personuppgifter
Härigenom föreskrivs följande.
1 kap. Allmänna bestämmelser
Lagens tillämpningsområde
1 § Denna lag gäller vid behandling av personuppgifter i Rättsmedicinalverkets verksamhet.
Lagen gäller endast om behandlingen är helt eller delvis automatiserad eller om personuppgifterna ingår i eller kommer att ingå i ett register.
Lagens uppbyggnad
2 § I detta kapitel finns allmänna bestämmelser om behandling av personuppgifter i Rättsmedicinalverkets verksamhet.
Bestämmelserna i 2 kap. gäller vid behandling av personuppgifter inom det område som omfattas av Europaparlamentets och rådets förordning (EU) 2016/679 av den 27 april 2016 om skydd för fysiska personer med avseende på behandling av personuppgifter och om det fria flödet av sådana uppgifter och om upphävande av direktiv 95/46/EG (allmän dataskyddsförordning), här benämnd EU:s dataskyddsförordning.
Bestämmelserna i 3 kap. gäller vid behandling av personuppgifter inom det område som omfattas av brottsdatalagen (2018:1177).
Förhållandet till annan reglering
3 § Denna lag kompletterar EU:s dataskyddsförordning.
Vid behandling av personuppgifter enligt denna lag gäller lagen (2018:218) med kompletterande bestämmelser till EU:s dataskyddsförordning och föreskrifter som har meddelats i anslutning till den lagen, om inte annat följer av denna lag eller föreskrifter som har meddelats i anslutning till lagen.
4 § När Rättsmedicinalverket i egenskap av behörig myndighet enligt 1 kap. 6 § brottsdatalagen (2018:1177) behandlar personuppgifter enligt denna lag i syfte att förebygga, förhindra eller upptäcka brottslig verksamhet, utreda eller lagföra brott eller verkställa straffrättsliga påföljder gäller brottsdatalagen och föreskrifter som har meddelats i anslutning till den lagen, om inte annat följer av denna lag eller föreskrifter som har meddelats i anslutning till lagen.
5 § Denna lag gäller inte när personuppgifter behandlas med stöd av
1. lagen (1999:353) om rättspsykiatriskt forskningsregister,
2. lagen (2003:460) om etikprövning av forskning som avser människor, eller
3. patientdatalagen (2008:355).
6 § I lagen (2020:0000) om Rättsmedicinalverkets elimineringsdatabas finns bestämmelser om Rättsmedicinalverkets behandling av personuppgifter i myndighetens elimineringsdatabas.
Uppgifter om avlidna
7 § Följande reglering ska i tillämpliga delar gälla även vid behandling av uppgifter om avlidna i Rättsmedicinalverkets verksamhet:
1. denna lag och föreskrifter som har meddelats i anslutning till den,
2. EU:s dataskyddsförordning, lagen (2018:218) med kompletterande bestämmelser till EU:s dataskyddsförordning och föreskrifter som har meddelats i anslutning till den, och
3. brottsdatalagen (2018:1177) och föreskrifter som har meddelats i anslutning till den.
Personuppgiftsansvar
8 § Rättsmedicinalverket är personuppgiftsansvarigt för behandling av personuppgifter i myndighetens verksamhet.
Elektroniskt utlämnande av personuppgifter
9 § Personuppgifter får lämnas ut elektroniskt om det inte är olämpligt. Utlämnande får dock inte ske i form av direktåtkomst.
Regeringen eller den myndighet som regeringen bestämmer kan med stöd av 8 kap. 7 § regeringsformen meddela ytterligare föreskrifter om begränsningar av möjligheten att lämna ut personuppgifter elektroniskt.
2 kap. Behandling av personuppgifter inom det område som omfattas av EU:s dataskyddsförordning
Ändamål
1 § Rättsmedicinalverket får behandla personuppgifter om det är nödvändigt för att myndigheten ska kunna utföra sina uppgifter i den rättspsykiatriska, rättskemiska, rättsmedicinska eller rättsgenetiska verksamheten.
2 § Personuppgifter som behandlas enligt 1 § får även behandlas för att fullgöra uppgiftslämnande som sker i överensstämmelse med lag eller förordning.
Personuppgifterna får behandlas även för andra ändamål, under förutsättning att uppgifterna inte behandlas på ett sätt som är oförenligt med det ändamål för vilket uppgifterna samlades in.
Sökförbud
3 § Det är förbjudet att göra sökningar i syfte att få fram ett urval av personer grundat på personuppgifter som avslöjar ras, etniskt ursprung, politiska åsikter, religiös eller filosofisk övertygelse eller medlemskap i fackförening eller som rör sexualliv eller sexuell läggning.
4 § Sökförbudet i 3 § hindrar inte att särskilda beteckningar för identifiering av en viss ärendetyp, brottsrubriceringar eller uppgifter som beskriver en persons utseende används som sökbegrepp.
Sökförbudet hindrar inte heller sökning i en viss handling eller i ett visst ärende.
Tillgången till personuppgifter
5 § Tillgången till personuppgifter ska begränsas till det som var och en behöver för att kunna fullgöra sina arbetsuppgifter.
Information om personuppgiftsincidenter
6 § Den personuppgiftsansvariges skyldighet att informera den registrerade om en personuppgiftsincident enligt artikel 34 i EU:s dataskyddsförordning gäller inte sådana uppgifter som den personuppgiftsansvarige inte får lämna ut till den registrerade enligt lag eller annan författning eller enligt beslut som har meddelats med stöd av författning.
Rätt att meddela föreskrifter
7 § Regeringen eller den myndighet som regeringen bestämmer kan med stöd av 8 kap. 7 § regeringsformen
1. meddela föreskrifter om begränsningar av möjligheten att göra sökningar i syfte att få fram ett urval av personer grundat på uppgifter om hälsa, biometriska uppgifter och genetiska uppgifter samt sådana sökningar som anges i 4 §, och
2. meddela närmare föreskrifter om tillgången till personuppgifter enligt 5 §.
3 kap. Behandling av personuppgifter inom det område som omfattas av brottsdatalagen
Ändamål
1 § Rättsmedicinalverket får behandla personuppgifter om det är nödvändigt för att myndigheten ska kunna utföra följande uppgifter:
1. förebygga, förhindra eller upptäcka brottslig verksamhet,
2. utreda eller lagföra brott,
3. verkställa straffrättsliga påföljder, eller
4. fullgöra förpliktelser som följer av internationella åtaganden.
2 § Förutsättningarna för att behandla personuppgifter som behandlas med stöd av 1 § för nya ändamål regleras i 2 kap. 4 och 22 §§ brottsdatalagen (2018:1177).
Biometriska och genetiska uppgifter
3 § Rättsmedicinalverket får behandla biometriska och genetiska uppgifter om det är absolut nödvändigt för ändamålet med behandlingen.
Sökförbud
4 § Det är förbjudet att göra sökningar i syfte att få fram ett urval av personer grundat på personuppgifter som avslöjar ras, etniskt ursprung, politiska åsikter, religiös eller filosofisk övertygelse eller medlemskap i fackförening eller som rör sexualliv eller sexuell läggning.
5 § Sökförbudet i 4 § hindrar inte att särskilda beteckningar för identifiering av en viss ärendetyp, brottsrubriceringar eller uppgifter som beskriver en persons utseende används som sökbegrepp.
Sökförbudet hindrar inte heller sökning i en viss handling eller i ett visst ärende.
Sanktionsavgifter
6 § En sanktionsavgift får tas ut av den personuppgiftsansvarige vid överträdelse av bestämmelserna i
- 1 § om ändamål, eller
- 4 § om sökförbud.
En sanktionsavgift får också tas ut vid överträdelse av de föreskrifter som anges i 8 § 1.
Sanktionsavgiften ska bestämmas till högst 10 000 000 kronor.
Skadestånd
7 § Bestämmelsen om skadestånd i 7 kap. 1 § brottsdatalagen (2018:1177) ska tillämpas vid behandling av personuppgifter i strid med denna lag eller föreskrifter som har meddelats i anslutning till den.
Rätt att meddela föreskrifter
8 § Regeringen eller den myndighet som regeringen bestämmer kan med stöd av 8 kap. 7 § regeringsformen
1. meddela föreskrifter om begränsningar av möjligheten att göra sökningar i syfte att få fram ett urval av personer grundat på uppgifter om hälsa, biometriska uppgifter och genetiska uppgifter samt sökningar som anges i 5 §, och
2. meddela närmare föreskrifter om tillgången till personuppgifter.
1. Denna lag träder i kraft den 1 juli 2020.
2. En sanktionsavgift enligt 3 kap. 6 § får beslutas endast för överträdelser som har skett efter ikraftträdandet.
Förslag till lag om Rättsmedicinalverkets elimineringsdatabas
Härigenom föreskrivs följande.
Ändamål
1 § Rättsmedicinalverket får föra ett register över dna-profiler i syfte att stärka kvaliteten i den rättsgenetiska verksamheten med dna-analyser (elimineringsdatabasen) i enlighet med denna lag.
Uppgifter i elimineringsdatabasen får endast behandlas för att upptäcka och utreda kontamineringar av det som är föremål för dna-analys.
Innebörden av vissa uttryck
2 § I denna lag avses med
dna-analys: varje förfarande som kan användas för analys av deoxiribonukleinsyra i humant material, och
dna-profil: resultatet av en dna-analys som presenteras i form av siffror eller bokstäver.
Förhållandet till annan dataskyddsreglering
3 § Vid behandling av personuppgifter enligt denna lag gäller lagen (2020:000) om Rättsmedicinalverkets behandling av personuppgifter och föreskrifter som har meddelats i anslutning till den lagen, om inte annat följer av denna lag eller föreskrifter som har meddelats i anslutning till lagen.
Personuppgiftsansvar
4 § Rättsmedicinalverket är personuppgiftsansvarigt för behandling av personuppgifter i elimineringsdatabasen.
Innehåll
5 § Elimineringsdatabasen får innehålla dna-profiler från personer som anges i 6 och 7 §§ och som genom att komma i kontakt med material eller prover som ska bli föremål för dna-analys eller lokaler där sådana analyser utförs riskerar att kontaminera dessa. Databasen får också innehålla dna-profiler som har påträffats vid en dna-analys och som inte kan hänföras till en identifierad person.
En dna-profil som registreras i databasen får endast ge information om identitet och inte om personliga egenskaper.
Utöver dna-profiler får elimineringsdatabasen innehålla uppgifter om vem dna-profilen avser.
Provtagning
6 § Anställda vid Rättsmedicinalverket och andra som återkommande kan komma i kontakt med och därigenom riskerar att kontaminera material som används vid dna-analys, prover som ska bli föremål för dna-analys eller lokaler där sådana analyser utförs, är skyldiga att lämna prov för dna-analys i syfte att dna-profilen ska registreras i elimineringsdatabasen. Provet tas i form av salivprov.
7 § För att få tillträde till en lokal där dna-prover hanteras eller förvaras är även den som inte omfattas av 6 § men som riskerar att kontaminera lokalen, prover som ska bli föremål för dna-analys eller material som används för dna-analys skyldig att lämna prov för dna-analys i syfte att dna-profilen ska registreras i elimineringsdatabasen. Provet tas i form av salivprov.
8 § Ett prov för dna-analys som har tagits med stöd av 6 eller 7 § får inte användas för något annat ändamål än det som provet togs för och ska förstöras senast sex månader efter det att provet togs.
Användning av elimineringsdatabasen
9 § En dna-profil från prov som analyseras vid Rättsmedicinalverket får jämföras med dna-profiler i elimineringsdatabasen.
En dna-profil som har tagits fram för att kvalitetssäkra den rättsgenetiska verksamheten med dna-analyser får jämföras med dna-profiler i elimineringsdatabasen.
Längsta tid för behandling
10 § Uppgifter i elimineringsdatabasen får inte behandlas längre än vad som behövs för att upptäcka och utreda om en persons dna kan ha kontaminerat material, prover eller lokaler.
Uppgifter som rör anställda vid Rättsmedicinalverket får inte behandlas längre än två år efter det att det förhållande som grundade skyldigheten att lämna prov upphörde.
Uppgifter som har registrerats med stöd av 7 § får inte behandlas längre än ett år efter det att uppgifterna registrerades.
Uppgifter som rör andra än de som anges i andra och tredje styckena får inte behandlas längre än ett år efter det att det förhållande som grundade skyldigheten att lämna prov upphörde.
Bestämmelsen i 2 kap. 17 § andra stycket brottsdatalagen (2018:1177) gäller inte vid tillämpning av denna paragraf.
Skadestånd
11 § Inom det område som omfattas av brottsdatalagen (2018:1177) ska bestämmelsen om skadestånd i 7 kap. 1 § brottsdatalagen tillämpas vid behandling av personuppgifter i strid med denna lag eller föreskrifter som har meddelats i anslutning till den.
Rätt att meddela föreskrifter
12 § Regeringen eller den myndighet som regeringen bestämmer kan med stöd av 8 kap. 7 § regeringsformen
1. meddela närmare föreskrifter om vilka personalkategorier vid Rättsmedicinalverket och vilka andra personkategorier enligt 6 och 7 §§ som är skyldiga att lämna prover för dna-analys till elimineringsdatabasen,
2. meddela närmare föreskrifter om tillgången till uppgifter i elimineringsdatabasen, och
3. meddela föreskrifter om förfarandet vid överensstämmelse mellan en dna-profil i elimineringsdatabasen och en annan dna-profil.
1. Denna lag träder i kraft den 1 juli 2020.
2. En dna-profil som har registrerats före den 1 juli 2020 i syfte att upptäcka och utreda kontamineringar av det som är föremål för dna-analys, får registreras i elimineringsdatabasen om den registrerade godtar det. De dna-profiler som inte registreras i elimineringsdatabasen ska gallras senast den 1 januari 2021.
Lagrådets yttrande
Utdrag ur protokoll vid sammanträde 2020-02-12
Närvarande: F.d. justitierådet Eskil Nord samt justitieråden
Inga-Lill Askersjö och Sten Andersson
Stärkt integritet i Rättsmedicinalverkets verksamhet
Enligt en lagrådsremiss den 30 januari 2020 har regeringen (Justitiedepartementet) beslutat inhämta Lagrådets yttrande
över förslag till
1. lag om Rättsmedicinalverkets behandling av personuppgifter,
2. lag om Rättsmedicinalverkets elimineringsdatabas.
Förslagen har inför Lagrådet föredragits av kanslirådet
Manne Heimer.
Lagrådet lämnar förslagen utan erinran.
Justitiedepartementet
Utdrag ur protokoll vid regeringssammanträde den 5 mars 2020
Närvarande: statsminister Löfven, ordförande, och statsråden Johansson, Hallengren, Hultqvist, Andersson, Bolund, Damberg, Shekarabi, Ygeman, Eriksson, Linde, Ekström, Eneroth, Dahlgren, Nilsson, Ernkrans, Lindhagen, Lind, Hallberg, Nordmark, Micko
Föredragande: statsrådet Johansson
Regeringen beslutar proposition Stärkt integritet i Rättsmedicinalverkets verksamhet