|
Justitieutskottets betänkande
|
Stärkt integritet i Rättsmedicinalverkets verksamhet
Sammanfattning
Utskottet föreslår att riksdagen antar regeringens förslag till två nya lagar för Rättsmedicinalverkets verksamhet, lagen om Rättsmedicinalverkets behandling av personuppgifter och lagen om Rättsmedicinalverkets elimineringsdatabas, i syfte att både stärka skyddet för den personliga integriteten och öka effektiviteten i verksamheten. De nya lagarna kommer att uppfylla kraven i både EU:s dataskyddsförordning och EU:s dataskyddsdirektiv på det brottsbekämpande området.
Lagen om Rättsmedicinalverkets behandling av personuppgifter kommer, med de undantag som uttryckligen anges i lagen, att vara tillämplig på all behandling av personuppgifter som äger rum vid Rättsmedicinalverket. Genom lagen om Rättsmedicinalverkets elimineringsdatabas införs tydliga rättsliga förutsättningar för att Rättsmedicinalverket ska kunna föra en elimineringsdatabas i syfte att stärka kvaliteten i den rättsgenetiska verksamheten med dna-analyser.
De nya lagarna föreslås träda i kraft den 1 juli 2020.
Behandlade förslag
Proposition 2019/20:106 Stärkt integritet i Rättsmedicinalverkets verksamhet.
Utskottets förslag till riksdagsbeslut
Lag om Rättsmedicinalverkets behandling av personuppgifter m.m.
Bilaga 1
Förteckning över behandlade förslag
Bilaga 2
Regeringens lagförslag
Utskottets förslag till riksdagsbeslut
|
Lag om Rättsmedicinalverkets behandling av personuppgifter m.m. |
Riksdagen antar regeringens förslag till
1. lag om Rättsmedicinalverkets behandling av personuppgifter,
2. lag om Rättsmedicinalverkets elimineringsdatabas.
Därmed bifaller riksdagen proposition 2019/20:106 punkterna 1 och 2.
Stockholm den 14 maj 2020
På justitieutskottets vägnar
Fredrik Lundh Sammeli
Följande ledamöter har deltagit i beslutet: Fredrik Lundh Sammeli (S), Adam Marttinen (SD), Ingemar Kihlström (KD), Helena Vilhelmsson (C), Mats Green (M), Johan Hultberg (M), Erik Ottoson (M), Maria Nilsson (L), Anna Johansson (S), Caroline Helmersson Olsson (S), Helene Hellmark Knutsson (S), Niklas Karlsson (S), Lorena Delgado Varas (V), Michael Rubbestad (SD), Tobias Andersson (SD), Maria Gardfjell (MP) och Camilla Brodin (KD).
Ärendet och dess beredning
I detta betänkande behandlar utskottet regeringens proposition 2029/20:106 Stärkt integritet i Rättsmedicinalverkets verksamhet. I propositionen föreslår regeringen två nya lagar för Rättsmedicinalverkets verksamhet, nämligen lagen om Rättsmedicinalverkets behandling av personuppgifter och lagen om Rättsmedicinalverkets elimineringsdatabas. Förslagen syftar till att både stärka skyddet för den personliga integriteten och öka effektiviteten i verksamheten. De nya lagarna kommer att uppfylla kraven i både EU:s dataskyddsförordning och EU:s dataskyddsdirektiv på det brottsbekämpande området.
Inga motioner har väckts med anledning av propositionen.
Regeringens förslag till riksdagsbeslut återges i bilaga 1. Regeringens lagförslag finns i bilaga 2.
Lag om Rättsmedicinalverkets behandling av personuppgifter m.m.
Utskottets förslag i korthet
Riksdagen antar regeringens förslag till lag om Rättsmedicinalverkets behandling av personuppgifter och lag om Rättsmedicinalverkets elimineringsdatabas.
Bakgrund
EU:s dataskyddsreform
Dataskyddsförordningen och dataskyddslagen
Dataskyddsförordningen (EU 2016/679) antogs den 27 april 2016. Syftet med förordningen är att skydda fysiska personers grundläggande rättigheter och friheter, särskilt deras rätt till skydd för personuppgifter, och att främja det fria flödet av personuppgifter inom unionen. Dataskyddsförordningen är direkt tillämplig i alla medlemsstater och utgör numera den generella regleringen av personuppgiftsbehandling inom EU.
Genom lagen (2018:218) med kompletterande bestämmelser till EU:s dataskyddsförordning, härefter dataskyddslagen, har förordningens tillämpningsområde utvidgats till att även omfatta behandling av personuppgifter i verksamhet som inte omfattas av unionsrätten, med vissa specifika undantag (1 kap. 2 och 3 §§ dataskyddslagen). Dataskyddsförordningen gäller inte för sådan personuppgiftsbehandling som omfattas av dataskyddsdirektivets tillämpningsområde (artikel 2.2 d).
Även om dataskyddsförordningen är direkt tillämplig och ska tillämpas precis som om den vore svensk lag, både förutsätter och medger den nationella bestämmelser som kompletterar delar av förordningen genom specificeringar eller undantag. Detta gäller särskilt sådan behandling som sker inom den offentliga sektorn.
Den 25 maj 2018 trädde dataskyddslagen i kraft och samtidigt upphävdes personuppgiftslagen (1998:204). Dataskyddslagen innehåller bestämmelser som kompletterar dataskyddsförordningen på ett generellt plan i svensk rätt. Inom ramen för det utrymme som dataskyddsförordningen ger reglerar lagen bl.a. frågor om rättslig grund för behandling av personuppgifter, känsliga personuppgifter, tillsynsmyndighetens handläggning och beslut samt skadestånd och överklagande.
Dataskyddsdirektivet och brottsdatalagen
Dataskyddsdirektivet (2008/977/RIF) innehåller bestämmelser om skydd för fysiska personer med avseende på behandling av personuppgifter som utförs av behöriga myndigheter i syfte att förebygga, förhindra, utreda, avslöja eller lagföra brott eller verkställa straffrättsliga påföljder, inklusive att skydda mot samt förebygga och förhindra hot mot den allmänna säkerheten (artikel 1.1). Direktivet ska tillämpas på behandling av personuppgifter som utförs av behöriga myndigheter för de ändamål som anges i artikel 1.1 (artikel 2.1). Ett bakomliggande syfte med dataskyddsdirektivets bestämmelser är att uppnå effektivitet på det straffrättsliga området, samtidigt som en enhetlig och hög skyddsnivå för fysiska personers personuppgifter ska upprätthållas.
Dataskyddsdirektivet hindrar inte medlemsstaterna från att föreskriva starkare skyddsåtgärder än de som fastställs i direktivet för skyddet av den registrerades rättigheter och friheter med avseende på behöriga myndigheters behandling av personuppgifter (artikel 1.3).
Dataskyddsdirektivet har genomförts i huvudsak genom att en ny ramlag har införts, brottsdatalagen (2018:1177), som trädde i kraft den 1 augusti 2018. Vidare har nya och anpassade registerförfattningar för bl.a. de brottsbekämpande myndigheterna och domstolarna tagits fram (prop. 2017/18:269). Brottsdatalagen gäller således för behandling av personuppgifter som utförs av behöriga myndigheter i syfte att förebygga, förhindra eller upptäcka brottslig verksamhet, utreda eller lagföra brott eller verkställa straffrättsliga påföljder. Brottsdatalagen är, liksom dataskyddslagen, subsidiär.
Rättsmedicinalverkets organisation och uppdrag
Rättsmedicinalverket ansvarar enligt förordningen (2007:976) med instruktion för Rättsmedicinalverket för rättspsykiatrisk, rättskemisk, rättsmedicinsk och rättsgenetisk verksamhet i den utsträckning sådana frågor inte ska handläggas av någon annan statlig myndighet. Rättsmedicinalverket bedriver verksamhet på sex olika orter runt om i landet, med ett gemensamt huvudkontor. Verksamheten är indelad i tre avdelningar – avdelningen för rättsgenetik och rättskemi, avdelningen för rättsmedicin och avdelningen för rättspsykiatri – men består av fyra verksamhetsområden, nämligen rättspsykiatri, rättskemi, rättsmedicin och rättsgenetik.
En viktig uppgift för verket är att avge sakkunnigutlåtanden till rättsväsendets myndigheter. Främst rör det sig om utredningar i form av analyser och utlåtanden till polis, allmän åklagare och domstol. Utredningarna från Rättsmedicinalverket är ofta en viktig del i brottsutredningar. Det kan exempelvis vara fråga om utredningar av onaturliga dödsfall eller bedömningar av om en person har begått ett brott under påverkan av en allvarlig psykisk störning. Verksamheten innefattar också uppdrag som inte har anknytning till brottsbekämpning. Det rör sig bl.a. om uppdrag från socialnämnderna som gäller fastställande av faderskap.
Av 2 § i instruktionen framgår att Rättsmedicinalverket särskilt ska ansvara för bl.a. rättspsykiatriska undersökningar i brottmål och läkarintyg som avses i 7 § lagen (1991:2041) om särskild personutredning i brottmål, m.m. (personutredningslagen), rättsmedicinska obduktioner och andra om rättsintyg i anledning av brott, rättsmedicinsk medverkan på begäran av domstol, allmän åklagare, Polismyndigheten eller Säkerhetspolisen, rättskemiska och rättsgenetiska undersökningar, rättsmedicinska åldersbedömningar samt utredningar om risk för återfall i brottslighet enligt lagen (2006:45) om omvandling av fängelse på livstid. Rättsmedicinalverket får därutöver i enlighet med 3 § i instruktionen utföra uppdrag inom sitt ansvarsområde om verksamheten i övrigt medger det.
Gemensamt för i princip samtliga ärenden är att de innefattar behandling av personuppgifter som i många fall medför särskilda risker för den personliga integriteten, exempelvis uppgifter om enskildas hälsa eller om misstanke om brott. Uppgifterna kommer bl.a. från Polismyndigheten, Åklagarmyndigheten och Migrationsverket, men det kommer också uppgifter från andra myndigheter liksom från enskilda. På vissa av myndighetens verksamhetsområden förekommer särskild lagstiftning.
I dag finns inte någon särskild lag om behandling av personuppgifter vid Rättsmedicinalverket.
Propositionen
Rättsmedicinalverkets behandling av personuppgifter
Regeringen konstaterar inledningsvis att vid Rättsmedicinalverket behandlas i stor utsträckning personuppgifter som är särskilt integritetskänsliga, bl.a. genetiska uppgifter och uppgifter om hälsa. De personuppgifter som behandlas vid Rättsmedicinalverket är till stor del samma uppgifter som behandlas vid de uppdragsgivande myndigheterna. Antingen får Rättsmedicinalverket del av uppgifterna i samband med att uppdraget lämnas till verket, eller så genereras personuppgifterna vid Rättsmedicinalverket och lämnas ut till uppdragsgivaren i samband med att Rättsmedicinalverkets utredningsarbete är färdigt och uppdraget redovisas. Det kan konstateras att samtliga myndigheter som lämnar uppdrag till Rättsmedicinalverket har registerförfattningar som reglerar behandlingen av personuppgifter. Skyddet för personuppgifter bör som utgångspunkt inte vara mindre omfattande vid Rättsmedicinalverket än vid de uppdragsgivande myndigheterna.
Enligt regeringens bedömning är EU:s dataskyddsförordning och den kompletterande dataskyddslagen som utgångspunkt tillämpliga på behandlingen av personuppgifter vid Rättsmedicinalverket. När Rättsmedicinalverket fullgör ett uppdrag i syfte att stödja sådan brottsutredande och liknande verksamhet som avses i dataskyddsdirektivet är i stället brottsdatalagen tillämplig för verkets behandling av personuppgifter.
Behandling av personuppgifter i verksamhet som omfattas av unionsrätten faller sålunda antingen inom tillämpningsområdet för dataskyddsdirektivet, vilket huvudsakligen genomförs genom brottsdatalagen, eller inom tillämpningsområdet för dataskyddsförordningen. Brottsdatalagen och dataskyddsförordningen kan inte vara tillämpliga på samma behandling för samma syfte. Har samma behandling däremot flera olika syften kan regelverken vara tillämpliga parallellt. Det bör då betraktas som två olika behandlingar av personuppgifter som var och en måste ha stöd i och följa gällande regelverk (prop. 2017/18:232 s. 101).
Rättsmedicinalverket kommer, liksom andra myndigheter som bedriver verksamhet som kan omfattas av både dataskyddsförordningens och dataskyddsdirektivets regelverk, att ställas inför vissa gränsdragningsproblem. Rättsmedicinalverket utför vissa uppgifter som i normalfallet inte har något samband med att förebygga, förhindra eller upptäcka brottslig verksamhet, utreda eller lagföra brott eller verkställa straffrättsliga påföljder. Det gäller exempelvis arbetet med släktskaps- eller faderskapsanalyser på det rättsgenetiska verksamhetsområdet. För sådan behandling, som inte faller inom dataskyddsdirektivets tillämpningsområde, ska dataskyddsförordningen tillämpas.
En lag om behandling av personuppgifter i Rättsmedicinalverkets verksamhet
Bestämmelserna i regeringsformen
Regeringen föreslår att de huvudsakliga bestämmelserna om behandling av personuppgifter i Rättsmedicinalverkets verksamhet ska tas in i en ny lag om Rättsmedicinalverkets behandling av personuppgifter.
I 2 kap. 6 § andra stycket regeringsformen anges att var och en gentemot det allmänna är skyddad mot betydande intrång i den personliga integriteten, om det sker utan samtycke och innebär övervakning eller kartläggning av den enskildes personliga förhållanden. Enligt 2 kap. 20 § regeringsformen får skyddet under vissa förutsättningar begränsas genom lag.
Vid Rättsmedicinalverket förekommer en rad olika ärendetyper och verket behandlar många olika slag av uppgifter. I samtliga ärendetyper förekommer regelmässigt uppgifter för att identifiera den person som ärendet gäller. I stor utsträckning behandlar verket även mycket integritetskänsliga uppgifter, exempelvis uppgifter om enskildas hälsa eller misstankar om brott. Regeringens bedömning är att den personuppgiftsbehandling som sker inom ramen för Rättsmedicinalverkets verksamhet får anses innefatta en sådan kartläggning av enskildas personliga förhållanden som avses i 2 kap. 6 § andra stycket regeringsformen, även om syftet med behandlingen är ett annat.
Den avgörande frågan är då om det intrång i den personliga integriteten som behandlingen kan innebära är betydande.
När Rättsmedicinalverket har fullgjort ett uppdrag redovisas detta till uppdragsgivaren, t.ex. när en rättspsykiatrisk undersökning redovisas till en domstol, varvid personuppgifter lämnas ut till uppdragsgivaren. Rättsmedicinalverket agerar då ofta i sin roll som stödfunktion för den brottsbekämpande och lagförande verksamhet som sker inom rättsväsendet. Med beaktande av främst dessa förhållanden, dvs. uppgifternas karaktär, ändamålet med behandlingen och det omfattande utlämnandet av känsliga uppgifter, gör regeringen bedömningen att i vart fall en stor del av Rättsmedicinalverkets personuppgiftsbehandling innebär ett sådant betydande intrång som avses i 2 kap. 6 § andra stycket regeringsformen.
Av 2 kap. 20–21 §§ regeringsformen följer bl.a. att enskildas skydd mot sådana intrång får begränsas genom lag endast för att tillgodose ändamål som är godtagbara i ett demokratiskt samhälle.
Rättsmedicinalverket fullgör viktiga samhällsuppgifter, bl.a. som en betydelsefull aktör i samhällets strävan att utreda och lagföra brott, och för att kunna utföra dessa uppgifter behöver verket behandla personuppgifter. En begränsning av skyddet i 2 kap. 6 § andra stycket regeringsformen för ändamålet att Rättsmedicinalverket ska kunna fullgöra sina åligganden är enligt regeringen godtagbart i ett demokratiskt samhälle. Genom den aktuella lagen säkerställs att den tillåtliga behandlingen av personuppgifter inte går längre än vad som är nödvändigt för att uppnå detta ändamål. Sammanfattningsvis innebär det att den föreslagna regleringen är förenlig med regeringsformens krav.
Utgångspunkter för den nya lagen
Ramarna för Rättsmedicinalverkets personuppgiftsbehandling måste slås fast i lag. Även de bestämmelser som är av central betydelse för integritetsskyddet bör ges lagform. Det finns dock alltjämt utrymme att reglera viss annan personuppgiftsbehandling på lägre normgivningsnivå. Det anges att lagen ska gälla vid behandling av personuppgifter i Rättsmedicinalverkets verksamhet.
Det införs också bestämmelser som anger att dataskyddslagen och brottsdatalagen och föreskrifter som har meddelats i anslutning till dessa lagar gäller, om inte annat följer av den nu föreslagna lagen eller föreskrifter som har meddelats i anslutning till den.
Lagen ska innehålla en bestämmelse som upplyser om att det finns bestämmelser om Rättsmedicinalverkets behandling av personuppgifter i elimineringsdatabasen i den föreslagna lagen om Rättsmedicinalverkets elimineringsdatabas. Lagen föreslås gälla även för den behandling av personuppgifter i Rättsmedicinalverkets verksamhet som sker genom kamerabevakning.
Dataskyddsregleringen ska i tillämpliga delar även gälla vid behandling av uppgifter om avlidna
Regeringen föreslår att lagen om Rättsmedicinalverkets behandling av personuppgifter, EU:s dataskyddsförordning, dataskyddslagen, brottsdatalagen och föreskrifter som meddelats i anslutning till dessa lagar i tillämpliga delar ska gälla även vid behandling av uppgifter om avlidna i Rättsmedicinalverkets verksamhet. Varken dataskyddsförordningen eller dataskyddsdirektivet gäller avlidna personer (skäl 27 i förordningen och 1 kap. 6 § brottsdatalagen). Medlemsstaterna får dock enligt förordningen fastställa bestämmelser för behandling av uppgifter även rörande avlidna. Samma rätt torde vara förbehållen medlemsstaterna även inom direktivets tillämpningsområde.
Vid Rättsmedicinalverket förekommer uppgifter om avlidna personer i relativt stor utsträckning. Det rör sig ofta om uppgifter som är särskilt känsliga, t.ex. uppgifter om personer som utsatts för grov brottslighet. Det förekommer också uppgifter om enskildas psykiska eller fysiska hälsa, vilket kan innefatta information om exempelvis allvarlig sjukdom. För efterlevande kan det vara betydelsefullt att sådana uppgifter skyddas.
Rättslig grund och ändamål för behandling av personuppgifter på dataskyddsförordningens tillämpningsområde
De uppdrag som Rättsmedicinalverket har att utföra och dess befogenheter framgår av myndighetens instruktion. Instruktionen utgör en tydlig, precis och förutsägbar rättslig grund som uppfyller kraven i artikel 6 i dataskyddsförordningen. Regeringen föreslår att Rättsmedicinalverket ska få behandla personuppgifter om det är nödvändigt för att utföra myndighetens uppgifter i den rättspsykiatriska, rättskemiska, rättsmedicinska och rättsgenetiska verksamheten.
De uppdrag som Rättsmedicinalverket har att utföra och dess befogenheter framgår av 3 § i myndighetens instruktion som anger att Rättsmedicinalverket får utföra uppdrag inom sitt ansvarsområde om verksamheten i övrigt medger det. När Rättsmedicinalverket behandlar personuppgifter enligt sitt uppdrag sker detta således för att utföra uppgifter av allmänt intresse eller som ett led i myndighetsutövning (artikel 6.1 e) som följer av lag eller annan författning.
Personuppgifter ska även få behandlas för andra ändamål, under förutsättning att uppgifterna inte behandlas på ett sätt som är oförenligt med det ändamål för vilket uppgifterna samlades in. Det kan enligt propositionen gälla behandling för arkivändamål av allmänt intresse, vetenskapliga eller historiska forskningsändamål eller statistiska ändamål enligt 89.1 i dataskyddsförordningen.
Rättslig grund och ändamål för behandling av personuppgifter på brottsdatalagens tillämpningsområde
Regeringen föreslår att Rättsmedicinalverket ska få behandla personuppgifter om det är nödvändigt för att myndigheten ska kunna utföra följande uppgifter:
- förebygga, förhindra eller upptäcka brottslig verksamhet
- utreda eller lagföra brott
- verkställa straffrättsliga påföljder eller
- fullgöra förpliktelser som följer av internationella åtaganden.
Arbetsuppgiften ska enligt 2 kap. 1 § brottsdatalagen (2018:1177) framgå av en lag, en förordning eller ett särskilt beslut i vilket regeringen uppdragit åt den behöriga myndigheten att ansvara för en sådan uppgift. Personuppgifter får dessutom behandlas om det är nödvändigt för diarieföring, eller om uppgifterna har lämnats till en behörig myndighet i en anmälan, ansökan eller liknande och behandlingen är nödvändig för myndighetens handläggning (2 kap. 2 § brottsdatalagen). Begreppet nödvändig är ett EU-rättsligt begrepp som betyder att behandlingen leder till effektivitetsvinster (prop. 2017/18:105 s. 189 och prop. 2017/18:232 s. 117).
I 1–3 §§ förordningen (2007:976) med instruktion för Rättsmedicinal-verket anges vilka uppgifter Rättsmedicinalverket ansvarar för. De uppgifter för vilka det är nödvändigt att Rättsmedicinalverket behandlar personuppgifter inom brottsdatalagens område är av olika slag, men i merparten av fallen består uppgiften antingen i att agera stödfunktion för att utreda eller lagföra brott eller att verkställa en straffrättslig påföljd.
Betydligt mer sällan torde det förekomma behandling av personuppgifter för att Rättsmedicinalverket ska kunna utföra en uppgift att förebygga, förhindra eller upptäcka brottslig verksamhet. I Rättsmedicinalverkets roll som stödfunktion för brottsutredande och annan verksamhet kan det dock inte uteslutas att personuppgiftsbehandling för sådana ändamål skulle kunna aktualiseras.
I likhet med vad som gäller enligt flera andra registerförfattningar på brottsdatalagens område, bör fullgörande av internationella förpliktelser vara en tillåten rättslig grund för Rättsmedicinalverkets personuppgiftsbehandling.
Det ska framgå genom en hänvisning till brottsdatalagen att personuppgifter som behandlas med stöd av lagen ska få behandlas för nya ändamål enligt de förutsättningar som anges i brottsdatalagen.
En behörig myndighet får också behandla personuppgifter för vetenskapliga, statistiska eller historiska ändamål.
Behandling av känsliga personuppgifter inom dataskyddsförordningens tillämpningsområde
I dataskyddsförordningens artikel 9.1 stadgas ett principiellt förbud mot att behandla känsliga personuppgifter, dvs. uppgifter som avslöjar ras eller etniskt ursprung, politiska åsikter, religiös eller filosofisk övertygelse eller medlemskap i fackförening och behandling av genetiska uppgifter, biometriska uppgifter för att entydigt identifiera en fysisk person, uppgifter om hälsa eller uppgifter om en fysisk persons sexualliv eller sexuella läggning.
Från förbudet görs en rad undantag som tillåter behandling av känsliga personuppgifter under vissa förutsättningar, t.ex. om behandlingen är nödvändig för arkivändamål av allmänt intresse, vetenskapliga eller historiska forskningsändamål eller statistiska ändamål (artikel 9.2 j). Ytterligare ett undantag gäller behandling som är nödvändig av hänsyn till ett viktigt allmänt intresse på grundval av unionsrätten eller medlemsstaternas nationella rätt, vilken ska stå i proportion till det eftersträvade syftet m.m. (artikel 9.2 g). Det är möjligt för medlemsstaterna att i nationell rätt införa mer specifika bestämmelser även när det gäller känsliga personuppgifter (artikel 6.2 och skäl 10). Medlemsstater får också behålla eller införa ytterligare villkor, även begränsningar, för behandlingen av genetiska eller biometriska uppgifter eller uppgifter om hälsa.
Rättsmedicinalverkets uppdrag framgår i huvudsak av 1–3 §§ i myndighetens instruktion. När Rättsmedicinalverket behandlar känsliga personuppgifter som är nödvändiga för att utföra de uppgifter som framgår av dess instruktion rör det sig om en sådan behandling som avses i artikel 9.2 g i dataskyddsförordningen. Därvid uppställer dataskyddsförordningen även ett krav på lämpliga och särskilda åtgärder för att säkerställa den registrerades grundläggande rättigheter och intressen. I 3 kap. 3 § andra stycket dataskyddslagen har det införts ett förbud att utföra sökningar i syfte att få fram ett urval av personer grundat på känsliga personuppgifter.
I Rättsmedicinalverkets verksamhet utgör känsliga personuppgifter en betydande del av den totala mängden personuppgifter som behandlas. En begränsning av hur känsliga personuppgifter får behandlas, exempelvis när det gäller sökning, skulle få en stor effekt i Rättsmedicinalverkets verksamhet och stärka skyddet för enskildas personliga integritet.
Regeringen föreslår mot den bakgrunden förbud mot att göra sökningar i syfte att få fram ett urval av personer grundat på personuppgifter som avslöjar ras, etniskt ursprung, politiska åsikter, religiös eller filosofisk övertygelse eller medlemskap i fackförening eller som rör sexualliv eller sexuell läggning. Sökförbudet ska inte hindra att särskilda beteckningar för identifiering av en viss ärendetyp, brottsrubriceringar och uppgifter som beskriver en persons utseende används som sökbegrepp. Sökförbudet ska inte heller hindra sökning i en viss handling eller i ett visst ärende.
Rättsmedicinalverkets behandling av känsliga personuppgifter i övrigt bör enligt regeringen inte särregleras i lagförslaget.
Med genetiska uppgifter avses enligt artikel 4.13 i dataskyddsförordningen alla personuppgifter som rör nedärvda eller förvärvade genetiska kännetecken för en fysisk person, vilka ger unik information om denna fysiska persons fysiologi eller hälsa och vilka framför allt härrör från en analys av ett biologiskt prov från den fysiska personen i fråga. Biometriska uppgifter är personuppgifter som erhållits genom en särskild teknisk behandling som rör en fysisk persons fysiska, fysiologiska eller beteendemässiga kännetecken och som möjliggör eller bekräftar identifieringen av denna fysiska person, såsom ansiktsbilder eller fingeravtrycksuppgifter (artikel 4.14).
I Rättsmedicinalverkets verksamhet finns ett stort behov av sökningar som rör uppgifter om hälsa samt biometriska och genetiska uppgifter. Dessa behövs bl.a. vid dna-analyser i ärenden om uppehållstillstånd på grund av familjeanknytning som utförs på uppdrag av Migrationsverket liksom vid faderskapsutredningar. Sökförbudet bör därför inte omfatta sökningar i syfte att få fram ett urval av personer grundat på dessa uppgifter. Eftersom det finns ett påtagligt behov för Rättsmedicinalverket att göra den aktuella typen av sökningar bör det tillåtas. Regeringen bedömer att en sådan reglering är förenlig med dataskyddsförordningen.
Den föreslagna bestämmelsen om sökförbud i föregående avsnitt gäller alltså inte alla slags känsliga personuppgifter. Sökningar i syfte att få fram ett urval av personer grundat på uppgifter om hälsa, biometriska uppgifter eller genetiska uppgifter omfattas inte.
I framför allt identifieringsärenden vid Rättsmedicinalverket kan det vara nödvändigt att som sökbegrepp använda uppgifter om en persons utseende. En sådan uppgift utgör många gånger inte en känslig personuppgift men kan i vissa fall t.ex. avslöja information om en persons etniska ursprung. Det finns därför skäl att införa en reglering som gör det möjligt att som sökbegrepp använda uppgifter om en persons utseende också i sådana fall som annars skulle träffas av det föreslagna sökförbudet.
Behandling av känsliga personuppgifter inom brottsdatalagens tillämpningsområde
För behandling av känsliga personuppgifter ställer dataskyddsdirektivet upp ytterligare villkor, utöver de krav som gäller för behandling av personuppgifter i allmänhet. Av artikel 10 i direktivet framgår att behandling av personuppgifter som avslöjar ras eller etniskt ursprung, politiska åsikter, religiös eller filosofisk övertygelse eller medlemskap i fackförening, samt behandling av genetiska uppgifter, biometriska uppgifter för att unikt identifiera en fysisk person eller uppgifter om hälsa eller uppgifter om en fysisk persons sexualliv eller sexuella läggning endast är tillåten om det är absolut nödvändigt och under förutsättning att det finns lämpliga skyddsåtgärder för den registrerades rättigheter och friheter. Dessutom krävs det att behandlingen är tillåten enligt unionsrätten eller medlemsstaternas nationella rätt m.m.
Brottsdatalagens regler om behandling av känsliga personuppgifter är strängare än vad dataskyddsdirektivet kräver. 2 kap. 11 § brottsdatalagen föreskriver som huvudregel att dessa personuppgifter inte får behandlas. Om andra uppgifter om en person behandlas, får dessa dock kompletteras med sådana känsliga personuppgifter när det är absolut nödvändigt för ändamålet med behandlingen. Känsliga personuppgifter får dock alltid behandlas med stöd av 2 kap. 2 §, dvs. om det är nödvändigt för diarieföring eller om uppgifterna har lämnats till en behörig myndighet i en anmälan, ansökan eller liknande och behandlingen är nödvändig för myndighetens handläggning (2 kap. 13 §).
För genetiska uppgifter och biometriska uppgifter innehåller brottsdatalagen specialbestämmelser. Med genetiska uppgifter avses enligt 1 kap. 6 § brottsdatalagen personuppgifter som rör en persons nedärvda eller förvärvade genetiska kännetecken och som härrör från analys av ett spår av eller ett prov från personen i fråga. Främst rör det sig om information som kan tas fram vid dna-analyser. Behandlingen kan avse genetiska uppgifter från såväl identifierade som oidentifierade personer. Själva dna-profilen är endast en siffer- eller bokstavskombination, vilket innebär att profilen i sig inte är en genetisk uppgift. Den är i stället en biometrisk uppgift. Biometriska uppgifter är personuppgifter som erhållits genom en särskild teknisk behandling som rör en fysisk persons fysiska, fysiologiska eller beteendemässiga kännetecken och som möjliggör eller bekräftar unik identifiering av denna fysiska person, såsom vissa ansiktsbilder eller fingeravtrycksuppgifter (1 kap. 6 §). Av brottsdatalagen framgår att biometriska och genetiska uppgifter får behandlas endast om det är särskilt föreskrivet och det är absolut nödvändigt för ändamålet med behandlingen (2 kap. 12 §).
Om det inte rör sig om nödvändig diarieföring eller handläggning i anslutning till en anmälan, ansökan eller liknande får alltså känsliga personuppgifter enligt brottsdatalagen bara behandlas om uppgifter om personen behandlas av annat skäl och om behandlingen är absolut nödvändig.
Eftersom genetiska och biometriska uppgifter kan innehålla oidentifierade avtryck eller spår fungerar huvudregeln, att känsliga personuppgifter endast får behandlas om någon annan uppgift om den aktuella personen också behandlas, inte i dessa fall. Detta är den bakomliggande anledningen till särregleringen för genetiska respektive biometriska uppgifter i brottsdatalagen (prop. 2017/18:232 s. 153–154).
Rättsmedicinalverket behandlar i stor utsträckning känsliga personuppgifter. Det rör sig framför allt om uppgifter om hälsa (exempelvis i rättsmedicinska ärenden, men även inom rättspsykiatrin) och genetiska respektive biometriska uppgifter. Behandlingen kan vara nödvändig för diarieföring eller för myndighetens handläggning i anslutning till en anmälan, ansökan eller liknande, på det sätt som anges i 2 kap. 2 § brottsdatalagen.
Att känsliga personuppgifter kan behandlas är en förutsättning för att Rättsmedicinalverket ska kunna fullgöra sitt uppdrag och den behandling av känsliga personuppgifter som i dag sker när verket utför sina uppgifter bör, som en utgångspunkt, enligt regeringen anses vara absolut nödvändig. Bestämmelserna om behandling av känsliga personuppgifter i brottsdatalagen ger således i stor utsträckning stöd för den behandling av känsliga personuppgifter som Rättsmedicinalverket har behov av.
För att genetiska och biometriska uppgifter ska få behandlas krävs dock, förutom att det är absolut nödvändigt för ändamålet, att det är särskilt föreskrivet (2 kap. 12 § brottsdatalagen). För att ge Rättsmedicinalverket ett tydligt stöd för den behandling av genetiska och biometriska uppgifter som är absolut nödvändig föreslår regeringen att det bör införas en bestämmelse i lagen som uttryckligen medger sådan behandling.
Som framgått kräver dataskyddsdirektivet att det finns lämpliga skyddsåtgärder för den registrerades rättigheter och friheter för att känsliga personuppgifter ska få behandlas (artikel 10). Enligt regeringens bedömning bör, precis som på dataskyddsförordningens område, ett sökförbud gälla vid behandling av personuppgifter inom brottsdatalagens tillämpningsområde enligt den nu föreslagna lagen.
Regeringen föreslår sålunda att det ska vara förbjudet att göra sökningar i syfte att få fram ett urval av personer grundat på personuppgifter som avslöjar ras, etniskt ursprung, politiska åsikter, religiös eller filosofisk övertygelse eller medlemskap i fackförening eller som rör sexualliv eller sexuell läggning. Sökförbudet ska inte hindra att särskilda beteckningar för identifiering av en viss ärendetyp, brottsrubriceringar eller uppgifter som beskriver en persons utseende används som sökbegrepp. Förbudet ska inte heller hindra sökningar i en viss handling eller i ett visst ärende.
Sökförbudet i brottsdatalagen som avser känsliga personuppgifter ska således inte gälla för Rättsmedicinalverket. I stället ska bestämmelserna om sökförbud i den föreslagna lagen gälla. Med undantag för vad som ska gälla för behandling av biometriska och genetiska uppgifter samt sökning som rör känsliga personuppgifter bör inte några särbestämmelser införas när det gäller Rättsmedicinalverkets behandling av känsliga personuppgifter.
Att Rättsmedicinalverket har tillgång till ändamålsenliga sökfunktioner är viktigt för att myndigheten på ett effektivt sätt ska kunna fullgöra sina uppgifter. Som utgångspunkt bör sökningar i syfte att få fram ett urval av personer grundat på känsliga personuppgifter inte vara tillåtna samtidigt som sökningar som är nödvändiga för att Rättsmedicinalverket ska kunna fullgöra sitt uppdrag bör tillåtas.
Bestämmelsen om sökförbud ska alltså inte gälla alla slags känsliga personuppgifter. Sökförbudet i den föreslagna lagen bör inte omfatta sökningar som rör hälsa, biometriska och genetiska uppgifter. Vidare bör särskilda beteckningar för identifiering av en viss ärendetyp, brottsrubriceringar och uppgifter som beskriver en persons utseende få användas som sökbegrepp. För att Rättsmedicinalverket ska ges möjlighet att använda brottsrubriceringar som sökbegrepp även i de fall detta annars skulle ha omfattats av det föreslagna sökförbudet, bör ett sådant undantag införas. Inte heller sökningar i en viss handling eller i ett visst ärende bör omfattas av sökförbudet.
Elektroniskt utlämnande av personuppgifter m.m.
Regeringen föreslår att personuppgifter ska få lämnas ut elektroniskt, om det inte är olämpligt. Utlämnande ska dock inte få ske i form av direktåtkomst.
I propositionen föreslås att det i lagen ska upplysas om att regeringen eller den myndighet som regeringen bestämmer kan meddela föreskrifter om begränsningar av möjligheten att göra vissa sökningar som rör känsliga personuppgifter, närmare föreskrifter om tillgången till personuppgifter samt ytterligare föreskrifter om begränsningar av möjligheten att lämna ut personuppgifter elektroniskt.
En sanktionsavgift får tas ut av Rättsmedicinalverket vid överträdelser på brottsdatalagens område av bestämmelserna om ändamål eller om sökförbud.
Det krävs enligt propositionen inte några särskilda regler om tillsyn utöver regleringen i brottsdatalagen respektive dataskyddslagen.
En lag om Rättsmedicinalverkets elimineringsdatabas
Rättsmedicinalverkets elimineringsdatabas
Den kemiska benämningen på arvsmassan, som är bärare av en människas gener, är deoxiribonukleinsyra, förkortat dna. Genom att analysera dna kan man få viktig information. Vid Rättsmedicinalverket hanteras prover av dna framför allt vid verkets rättsgenetiska enhet. Med hjälp av dna-information genomförs huvudsakligen identifieringar av avlidna personer samt faderskaps- och släktskapsutredningar. När det gäller identifiering av avlidna, kan det ske både i de fall då det finns anledning att misstänka brott och när någon sådan misstanke inte finns. Genetiska analyser genomförs också i andra ärendetyper vid Rättsmedicinalverket, som exempelvis vid vissa uppdrag för hälso- och sjukvårdens räkning. Det rör sig exempelvis om ärenden om vilken betydelse genetiska faktorer har för läkemedelseffekter. Dna kan också analyseras inom ramen för brottsutredningar. Det gäller då ofta spår från brottsplatser, som analyseras bl.a. i syfte att identifiera en tänkbar gärningsman. Sådana analyser genomförs dock oftast av Nationellt forensiskt centrum (NFC) vid Polismyndigheten och inte av Rättsmedicinalverket.
Dna-analyser är ofta mycket tillförlitliga, men kompliceras av risken för kontaminering. Det innebär att dna som ska analyseras sammanblandas med annan dna, från någon som antingen hanterar dna-provet eller vars dna på annat sätt har kommit i kontakt med det dna-prov som ska analyseras. Kontamineringen kan ske i samtliga hanteringsled av ett dna-prov från det att ett prov tas, till dess att analysen är genomförd och analyssvaret föreligger. Det kan således ske redan vid provtagningen, som förutom vid Rättsmedicinalverkets rättsmedicinska enheter görs vid exempelvis någon av Migrationsverkets mottagningsenheter eller vid ett socialkontor. Kontamineringen kan också ske när de medarbetare på Rättsmedicinalverket som utför dna-analyser hanterar prover eller genom att dna från personer som tillhör andra yrkeskategorier som rör sig i den laboratoriemiljö där analyser genomförs kommer i kontakt med ett dna-prov. Kontaminering kan också ske genom att det material som används vid provtagning eller analys inte är dna-fritt, utan innehåller dna t.ex. från personer som har tillverkat eller förpackat materialet. Ytor och föremål i Rättsmedicinalverkets rättsgenetiska laboratorium kan också bära dna. Dna är mycket tidsbeständigt och risken för kontaminering från dna som finns kvar i den miljö där analyser genomförs är därför inte obetydlig.
Vid analysen av dna-prover som har kontaminerats kan provsvaren vara svårtolkade och ibland missvisande. Med hänsyn till de negativa effekter en kontaminering kan få, har Rättsmedicinalverket inrättat en elimineringsdatabas. Databasen innehåller dna-profiler från medarbetare vid Rättsmedicinalverket, vissa besökare och en del personer som annars vistas i det rättsgenetiska laboratoriet, som exempelvis lokalvårdare. Elimineringsdatabasen utgör ett dna-register och behandling av uppgifter i databasen är personuppgiftsbehandling. En sådan databas är det enda sättet att systematiskt förebygga och upptäcka kontamineringar och den fungerar som ett stöd för att öka kvaliteten på de analysresultat som fås vid dna-undersökningar och för att förhindra att felaktiga slutsatser dras av ett analysresultat där kontaminering förekommit.
Rättsmedicinalverkets elimineringsdatabas bör författningsregleras
I dag inhämtas den enskildes samtycke till provtagning, hantering av dna och behandling av personuppgifter i Rättsmedicinalverkets elimineringsdatabas. Som regeringen konstaterar i det föregående är dock utrymmet för offentliga myndigheter att använda sig av samtycke som rättslig grund för behandling av personuppgifter på dataskyddsförordningens område (artikel 6.1 a) begränsat.
Möjligheten att hantera kontamineringar genom en elimineringsdatabas är av avgörande betydelse för att Rättsmedicinalverket ska kunna få fram så korrekta resultat som möjligt vid de dna-analyser som verket genomför. Det finns därför starka skäl att skapa tydliga rättsliga förutsättningar för Rättsmedicinalverket att föra en sådan databas.
Regeringen föreslår att bestämmelser om Rättsmedicinalverkets elimineringsdatabas bör införas i en särskild lag. Den föreslagna lagen om personuppgiftsbehandlingen vid Rättsmedicinalverket kommer i stor utsträckning att tillämpas även vid den personuppgiftsbehandling som utförs i anslutning till elimineringsdatabasen.
En fråga att ta ställning till när det gäller författningsregleringen av Rättsmedicinalverkets elimineringsdatabas är regeringsformens krav på bl.a. normgivningsnivå.
Personer vars dna riskerar att kontaminera material eller prover ska vara skyldiga att lämna prov för dna-analys. Enligt 2 kap. 6 § första stycket regeringsformen är var och en gentemot det allmänna skyddad mot påtvingat kroppsligt ingrepp. En skyldighet att lämna dna-prov utgör ett sådant påtvingat kroppsligt ingrepp som omfattas av skyddet i 2 kap. 6 § regeringsformen (prop. 2005/06:29 s. 19–20). Även om det inte är fråga om något fysiskt tvång, får en dna-provtagning anses påtvingad om det finns ett krav på att den enskilde ska lämna provet och kravet är förenat med ett hot om vissa följder om provet inte lämnas (se prop. 1993/94:65 s. 111). Offentligt anställda omfattas av skyddet mot påtvingat kroppsligt ingrepp i förhållande till sin arbetsgivare. Av 2 kap. 20–21 §§ regeringsformen följer bl.a. att enskildas skydd mot sådana ingrepp endast får begränsas genom lag och för att tillgodose ändamål som är godtagbara i ett demokratiskt samhälle. Begränsningen får aldrig gå utöver vad som är nödvändigt med hänsyn till det ändamål som har föranlett den och inte heller sträcka sig så långt att den utgör ett hot mot den fria åsiktsbildningen såsom en av folkstyrelsens grundvalar.
Rättsmedicinalverkets dna-analysverksamhet är central bl.a. för många andra myndigheter och är av stor samhällelig betydelse. För att Rättsmedicinalverket ska kunna bedriva den verksamheten med hög kvalitet är det en förutsättning att relevanta dna-prover kan registreras i elimineringsdatabasen. Dna från en enda person skulle kunna leda till omfattande kontamineringar. För att databasen ska kunna användas för att effektivt avslöja kontamineringar krävs därför att de personer som riskerar att kontaminera material, prover eller lokaler verkligen lämnar dna-prov. Mot den bakgrunden utgör ett system som bygger på frivillighet inte ett möjligt alternativ. Genom den lag som föreslås begränsas skyldigheten att lämna dna-prov till de kategorier av personer som utgör en reell risk för kontaminering. Vidare föreslås bl.a. bestämmelser om på vilket sätt och under vilken tidproverna får användas.
Sammantaget konstaterar regeringen att skyldigheten för vissa personer att genomgå provtagning bör regleras i lag liksom även den fortsatta hanteringen av ett lämnat prov (jfr prop. 2013/14:110 s. 456). Den begränsning av skyddet mot påtvingade kroppsliga ingrepp som den föreslagna regleringen innebär är enligt propositionen proportionerlig och sker för ändamål som är godtagbara i ett demokratiskt samhälle.
Förutsättningar och ändamål för behandlingen av personuppgifter
Regeringen föreslår att Rättsmedicinalverket ska få föra ett register över dna-profiler i syfte att stärka kvaliteten i den rättsgenetiska verksamheten med dna-analyser (elimineringsdatabasen). Uppgifter i elimineringsdatabasen ska endast få behandlas för att upptäcka och utreda kontamineringar av det som är föremål för dna-analys.
I Rättsmedicinalverkets verksamhet behandlas personuppgifter inom både dataskyddsförordningens och brottsdatalagens tillämpningsområde. I förslaget till lag om Rättsmedicinalverkets behandling av personuppgifter återspeglas detta genom att bestämmelser som gäller specifikt inom de olika områdena behandlas i olika kapitel. Den personuppgiftsbehandling som sker i Rättsmedicinalverkets elimineringsdatabas kommer på motsvarande sätt att falla inom båda regelverken. Den föreslagna lagen om Rättsmedicinalverkets behandling av personuppgifter kommer att gälla även för den behandling av personuppgifter som sker i elimineringsdatabasen om inte annat följer av lagen om Rättsmedicinalverkets elimineringsdatabas.
Behovet av att upptäcka och utreda kontamineringar är lika stort, oavsett anledning till dna-analysen. Det saknas därför skäl att göra åtskillnad mellan behandling av uppgifter i elimineringsdatabasen som sker när det finns en misstanke om brott och behandling där sådan misstanke saknas. Däremot bör det av lagen framgå att databasen är kopplad till Rättsmedicinalverkets rättsgenetiska verksamhet och inte till myndighetens verksamhet i stort.
Ett dna-prov är inte i sig en personuppgift. Däremot går det att koppla ett dna-prov till den person som har lämnat provet eftersom en dna-profil innehåller sådan information att den kan knytas till en enskild individ. Informationen utgör därmed en personuppgift och de åtgärder som vidtas med dna-profilerna i databasen utgör personuppgiftsbehandling.
Behandlingen av personuppgifter vid Rättsmedicinalverket aktualiserar som tidigare nämnts tillämpning av såväl dataskyddsförordningen och dataskyddslagen som brottsdatalagen.
Bestämmelserna i den föreslagna lagen om Rättsmedicinalverkets behandling av personuppgifter är väl anpassade till Rättsmedicinalverkets verksamhet och kan därför lämpligen reglera behandlingen av personuppgifter även i elimineringsdatabasen, i den utsträckning inte särbestämmelser bör gälla för databasen. Detta bör framgå av den föreslagna lagen.
Elimineringsdatabasens innehåll
Regeringens förslag innebär att elimineringsdatabasen får innehålla dna-profiler från personer som genom att komma i kontakt med material eller prover som ska bli föremål för dna-analys eller lokaler där sådana analyser utförs riskerar att kontaminera dessa.
En dna-profil som registreras i databasen får endast ge information om identitet och inte om personliga egenskaper. Utöver dna-profiler får elimineringsdatabasen innehålla uppgifter om vem dna-profilen avser. Det klargörs även att elimineringsdatabasen också får innehålla dna-profiler som har påträffats vid en dna-analys och som inte kan hänföras till en identifierad person. Dna-profilerna i elimineringsdatabasen bör enligt propositionen endast få innehålla information om identitet och inte om personliga egenskaper.
Ikraftträdande
Regeringen föreslår att de nya lagarna ska träda i kraft den 1 juli 2020.
Utskottets ställningstagande
Propositionen har inte lett till några motionsyrkanden eller andra invändningar under utskottsbehandlingen. Utskottet anser att regeringens lagförslag är ändamålsenligt utformade och att de bör antas.
Bilaga 1
Förteckning över behandlade förslag
Proposition 2019/20:106 Stärkt integritet i Rättsmedicinalverkets verksamhet:
1.Riksdagen antar regeringens förslag till lag om Rättsmedicinalverkets behandling av personuppgifter.
2.Riksdagen antar regeringens förslag till lag om Rättsmedicinalverkets elimineringsdatabas.
Bilaga 2
