Regeringens proposition 2019/20:106

Regeringen överlämnar denna proposition till riksdagen.

Stockholm den 5 mars 2020

Stefan Löfven

Morgan Johansson (Justitiedepartementet)

Propositionens huvudsakliga innehåll

Regeringen föreslår två nya lagar för Rättsmedicinalverkets verksamhet, lagen om Rättsmedicinalverkets behandling av personuppgifter och lagen om Rättsmedicinalverkets elimineringsdatabas, i syfte att både stärka skyddet för den personliga integriteten och öka effektiviteten i verksamheten. De nya lagarna kommer att uppfylla kraven i både EU:s

dataskyddsförordning och EU:s dataskyddsdirektiv på det brottsbekämpande området.

Lagen om Rättsmedicinalverkets behandling av personuppgifter kommer, med de undantag som uttryckligen anges i lagen, att vara tillämplig på all behandling av personuppgifter som äger rum vid Rättsmedicinalverket. Genom lagen om Rättsmedicinalverkets elimineringsdatabas införs tydliga rättsliga förutsättningar för att Rättsmedicinalverket ska kunna föra en elimineringsdatabas i syfte att stärka kvaliteten i den rättsgenetiska verksamheten med dna-analyser.

De nya lagarna föreslås träda i kraft den 1 juli 2020.

1

Prop. 2019/20:106 Innehållsförteckning

2

7.2Rättsmedicinalverkets elimineringsdatabas bör

7.3Förutsättningar och ändamål för behandlingen av

10.1Förslaget till lag om Rättsmedicinalverkets

10.2Förslaget till lag om Rättsmedicinalverkets

3

Regeringens förslag:

1.Riksdagen antar regeringens förslag till lag om Rättsmedicinalverkets behandling av personuppgifter.

2.Riksdagen antar regeringens förslag till lag om Rättsmedicinalverkets elimineringsdatabas.

4

Regeringen har följande förslag till lagtext.

2.1Förslag till lag om Rättsmedicinalverkets behandling av personuppgifter

Härigenom föreskrivs följande.

1 kap. Allmänna bestämmelser Lagens tillämpningsområde

1 § Denna lag gäller vid behandling av personuppgifter i Rättsmedicinalverkets verksamhet.

Lagen gäller endast om behandlingen är helt eller delvis automatiserad eller om personuppgifterna ingår i eller kommer att ingå i ett register.

Lagens uppbyggnad

2 § I detta kapitel finns allmänna bestämmelser om behandling av personuppgifter i Rättsmedicinalverkets verksamhet.

Bestämmelserna i 2 kap. gäller vid behandling av personuppgifter inom det område som omfattas av Europaparlamentets och rådets förordning (EU) 2016/679 av den 27 april 2016 om skydd för fysiska personer med avseende på behandling av personuppgifter och om det fria flödet av sådana uppgifter och om upphävande av direktiv 95/46/EG (allmän dataskyddsförordning), här benämnd EU:s dataskyddsförordning.

Bestämmelserna i 3 kap. gäller vid behandling av personuppgifter inom det område som omfattas av brottsdatalagen (2018:1177).

Förhållandet till annan reglering

3 § Denna lag kompletterar EU:s dataskyddsförordning.

Vid behandling av personuppgifter enligt denna lag gäller lagen

(2018:218) med kompletterande bestämmelser till EU:s dataskyddsförordning och föreskrifter som har meddelats i anslutning till den lagen, om inte annat följer av denna lag eller föreskrifter som har meddelats i anslutning till lagen.

4 § När Rättsmedicinalverket i egenskap av behörig myndighet enligt 1 kap. 6 § brottsdatalagen (2018:1177) behandlar personuppgifter enligt denna lag i syfte att förebygga, förhindra eller upptäcka brottslig verksamhet, utreda eller lagföra brott eller verkställa straffrättsliga påföljder gäller brottsdatalagen och föreskrifter som har meddelats i anslutning till den lagen, om inte annat följer av denna lag eller föreskrifter som har meddelats i anslutning till lagen.

Prop. 2019/20:106 2. lagen (2003:460) om etikprövning av forskning som avser människor, eller

3. patientdatalagen (2008:355).

6 § I lagen (2020:0000) om Rättsmedicinalverkets elimineringsdatabas finns bestämmelser om Rättsmedicinalverkets behandling av personuppgifter i myndighetens elimineringsdatabas.

Uppgifter om avlidna

7 § Följande reglering ska i tillämpliga delar gälla även vid behandling av uppgifter om avlidna i Rättsmedicinalverkets verksamhet:

1.denna lag och föreskrifter som har meddelats i anslutning till den,

2.EU:s dataskyddsförordning, lagen (2018:218) med kompletterande bestämmelser till EU:s dataskyddsförordning och föreskrifter som har meddelats i anslutning till den, och

3.brottsdatalagen (2018:1177) och föreskrifter som har meddelats i anslutning till den.

Personuppgiftsansvar

8 § Rättsmedicinalverket är personuppgiftsansvarigt för behandling av personuppgifter i myndighetens verksamhet.

Elektroniskt utlämnande av personuppgifter

9 § Personuppgifter får lämnas ut elektroniskt om det inte är olämpligt. Utlämnande får dock inte ske i form av direktåtkomst.

Regeringen eller den myndighet som regeringen bestämmer kan med stöd av 8 kap. 7 § regeringsformen meddela ytterligare föreskrifter om begränsningar av möjligheten att lämna ut personuppgifter elektroniskt.

2 kap. Behandling av personuppgifter inom det område som omfattas av EU:s dataskyddsförordning

Ändamål

1 § Rättsmedicinalverket får behandla personuppgifter om det är nödvändigt för att myndigheten ska kunna utföra sina uppgifter i den rättspsykiatriska, rättskemiska, rättsmedicinska eller rättsgenetiska verksamheten.

2 § Personuppgifter som behandlas enligt 1 § får även behandlas för att fullgöra uppgiftslämnande som sker i överensstämmelse med lag eller förordning.

Personuppgifterna får behandlas även för andra ändamål, under förutsättning att uppgifterna inte behandlas på ett sätt som är oförenligt med det ändamål för vilket uppgifterna samlades in.

6

2.2 Förslag till lag om Rättsmedicinalverkets Prop. 2019/20:106 elimineringsdatabas

Härigenom föreskrivs följande.

Ändamål

1 § Rättsmedicinalverket får föra ett register över dna-profiler i syfte att stärka kvaliteten i den rättsgenetiska verksamheten med dna-analyser (elimineringsdatabasen) i enlighet med denna lag.

Uppgifter i elimineringsdatabasen får endast behandlas för att upptäcka och utreda kontamineringar av det som är föremål för dna-analys.

Innebörden av vissa uttryck

2 § I denna lag avses med

dna-analys: varje förfarande som kan användas för analys av deoxiribonukleinsyra i humant material, och

dna-profil: resultatet av en dna-analys som presenteras i form av siffror eller bokstäver.

Förhållandet till annan dataskyddsreglering

3 § Vid behandling av personuppgifter enligt denna lag gäller lagen (2020:000) om Rättsmedicinalverkets behandling av personuppgifter och föreskrifter som har meddelats i anslutning till den lagen, om inte annat följer av denna lag eller föreskrifter som har meddelats i anslutning till lagen.

Personuppgiftsansvar

4 § Rättsmedicinalverket är personuppgiftsansvarigt för behandling av personuppgifter i elimineringsdatabasen.

Innehåll

5 § Elimineringsdatabasen får innehålla dna-profiler från personer som anges i 6 och 7 §§ och som genom att komma i kontakt med material eller prover som ska bli föremål för dna-analys eller lokaler där sådana analyser utförs riskerar att kontaminera dessa. Databasen får också innehålla dnaprofiler som har påträffats vid en dna-analys och som inte kan hänföras till en identifierad person.

En dna-profil som registreras i databasen får endast ge information om identitet och inte om personliga egenskaper.

Utöver dna-profiler får elimineringsdatabasen innehålla uppgifter om vem dna-profilen avser.

Provtagning

6 § Anställda vid Rättsmedicinalverket och andra som återkommande kan komma i kontakt med och därigenom riskerar att kontaminera material

som används vid dna-analys, prover som ska bli föremål för dna-analys

9

Prop. 2019/20:106 eller lokaler där sådana analyser utförs, är skyldiga att lämna prov för dnaanalys i syfte att dna-profilen ska registreras i elimineringsdatabasen. Provet tas i form av salivprov.

7 § För att få tillträde till en lokal där dna-prover hanteras eller förvaras är även den som inte omfattas av 6 § men som riskerar att kontaminera lokalen, prover som ska bli föremål för dna-analys eller material som används för dna-analys skyldig att lämna prov för dna-analys i syfte att dna-profilen ska registreras i elimineringsdatabasen. Provet tas i form av salivprov.

8 § Ett prov för dna-analys som har tagits med stöd av 6 eller 7 § får inte användas för något annat ändamål än det som provet togs för och ska förstöras senast sex månader efter det att provet togs.

Användning av elimineringsdatabasen

9 § Dna-profiler i elimineringsdatabasen får endast användas för jämförelser med

1.dna-profiler från prov som analyseras vid Rättsmedicinalverket, och

2.dna-profiler som har tagits fram för att kvalitetssäkra den rättsgenetiska verksamheten med dna-analyser.

Längsta tid för behandling

10 § Uppgifter i elimineringsdatabasen får behandlas så länge de behövs för att upptäcka och utreda om en persons dna kan ha kontaminerat material, prover eller lokaler, dock som längst den tid som anges i andra– fjärde styckena.

Uppgifter som rör anställda vid Rättsmedicinalverket får inte behandlas längre än två år efter det att det förhållande som grundade skyldigheten att lämna prov upphörde.

Uppgifter som har registrerats med stöd av 7 § får inte behandlas längre än ett år efter det att uppgifterna registrerades.

Uppgifter som rör andra än de som anges i andra och tredje styckena får inte behandlas längre än ett år efter det att det förhållande som grundade skyldigheten att lämna prov upphörde.

Bestämmelsen i 2 kap. 17 § andra stycket brottsdatalagen (2018:1177) gäller inte vid tillämpning av denna paragraf.

Skadestånd

11 § Inom det område som omfattas av brottsdatalagen (2018:1177) ska bestämmelsen om skadestånd i 7 kap. 1 § brottsdatalagen tillämpas vid behandling av personuppgifter i strid med denna lag eller föreskrifter som har meddelats i anslutning till den.

Rätt att meddela föreskrifter

12 § Regeringen eller den myndighet som regeringen bestämmer kan med stöd av 8 kap. 7 § regeringsformen

10

Den EU-rättsliga dataskyddsregleringen har genomgått en genomgripande reform. Efter reformen består regelverket av i huvudsak dels Europaparlamentets och rådets förordning (EU) 2016/679 av den 27 april 2016 om skydd för fysiska personer med avseende på behandling av personuppgifter och om det fria flödet av sådana uppgifter och om upphävande av direktiv 95/46/EG (allmän dataskyddsförordning), kallad EU:s dataskyddsförordning, dels Europaparlamentets och rådets direktiv (EU) 2016/680 av den 27 april 2016 om skydd för fysiska personer med avseende på behöriga myndigheters behandling av personuppgifter för att förebygga, förhindra, utreda, avslöja eller lagföra brott eller verkställa straffrättsliga påföljder, och det fria flödet av sådana uppgifter och om upphävande av rådets rambeslut 2008/977/RIF, kallat dataskyddsdirektivet. EU:s dataskyddsförordning började tillämpas den 25 maj 2018. Dataskyddsdirektivet har i huvudsak genomförts genom brottsdatalagen (2018:1177) som trädde i kraft den 1 augusti 2018.

Regeringen beslutade den 1 september 2016 att tillkalla en särskild utredare, med uppdrag att föreslå hur regelverket för Rättsmedicinalverket ska anpassas så att verksamheten kan bedrivas med effektiva arbetsformer och stor hänsyn tagen till människors integritet (dir. 2016:75). I uppdraget ingick att se över frågor om personuppgiftsreglering, humanbiologiskt material, uppgiftsinhämtning och uppdrag från enskilda. Utredningen antog namnet Utredningen om dataskydd vid Rättsmedicinalverket (Ju 2016:18).

I oktober 2017 överlämnade utredningen betänkandet Stärkt integritet i Rättsmedicinalverkets verksamhet (SOU 2017:80). I denna proposition behandlas utredningens förslag om att införa en särskild personuppgiftsreglering för Rättsmedicinalverket och att författningsreglera Rättsmedicinalverkets elimineringsdatabas. Regeringen kommer att i ett annat sammanhang återkomma till de övriga förslagen i betänkandet. En sammanfattning av betänkandet och utredningens lagförslag i relevanta delar finns i bilagorna 1 och 2. Betänkandet har remissbehandlats. En förteckning över remissinstanserna finns i bilaga 3. Remissyttrandena finns tillgängliga i Justitiedepartementet (dnr Ju2017/08254/Å).

Lagrådet

Regeringen beslutade den 30 januari 2020 att inhämta Lagrådets yttrande över de lagförslag som finns i bilaga 4. Lagrådets yttrande finns i bilaga 5. Lagrådet har lämnat förslagen utan erinran. Vissa språkliga och redaktionella ändringar har gjorts i förhållande till lagrådsremissens förslag.

12

uppdrag

Rättsmedicinalverket bildades 1991, som central förvaltningsmyndighet för rättspsykiatrisk undersökningsverksamhet, rättsmedicin, rättskemi och rättsgenetik. Rättsmedicinalverket bedriver verksamhet på sex olika orter runt om i landet, med ett gemensamt huvudkontor. Verksamheten är indelad i tre avdelningar – avdelningen för rättsgenetik och rättskemi, avdelningen för rättsmedicin och avdelningen för rättspsykiatri – men består av fyra verksamhetsområden, nämligen rättspsykiatri, rättskemi, rättsmedicin och rättsgenetik.

En viktig uppgift för verket är att avge sakkunnigutlåtanden till rättsväsendets myndigheter. Främst rör det sig om utredningar i form av analyser och utlåtanden till polis, allmän åklagare och domstol. Utredningarna från Rättsmedicinalverket är ofta en viktig del i brottsutredningar. Det kan exempelvis vara fråga om utredningar av onaturliga dödsfall eller bedömningar av om en person har begått ett brott under påverkan av en allvarlig psykisk störning. Verksamheten innefattar också uppdrag som inte har anknytning till brottsbekämpning. Det rör sig bl.a. om uppdrag från socialnämnderna gällande fastställande av faderskap. Vid Rättsmedicinalverket bedrivs också utvecklings- och forskningsarbete.

Rättsmedicinalverkets uppgifter framgår av myndighetens instruktion. Enligt 1 § förordningen (2007:976) med instruktion för Rättsmedicinalverket ansvarar verket för rättspsykiatrisk, rättskemisk, rättsmedicinsk och rättsgenetisk verksamhet i den utsträckning sådana frågor inte ska handläggas av någon annan statlig myndighet. Av 2 § i instruktionen framgår att Rättsmedicinalverket särskilt ska ansvara för bl.a. rättspsykiatriska undersökningar i brottmål och läkarintyg som avses i 7 § lagen (1991:2041) om särskild personutredning i brottmål, m.m. (personutredningslagen), rättsmedicinska obduktioner och andra rättsmedicinska undersökningar, utfärdande av intyg enligt lagen (2005:225) om rättsintyg i anledning av brott, rättsmedicinsk medverkan på begäran av domstol, allmän åklagare, Polismyndigheten eller Säkerhetspolisen, rättskemiska och rättsgenetiska undersökningar, rättsmedicinska åldersbedömningar samt utredningar om risk för återfall i brottslighet enligt lagen (2006:45) om omvandling av fängelse på livstid. Rättsmedicinalverket får därutöver i enlighet med 3 § i instruktionen utföra uppdrag inom sitt ansvarsområde om verksamheten i övrigt medger det.

Vid Rättsmedicinalverket förekommer således en rad olika ärendetyper. Gemensamt för i princip samtliga ärenden är att de innefattar behandling av personuppgifter som i många fall medför särskilda risker för den personliga integriteten, exempelvis uppgifter om enskildas hälsa eller om misstanke om brott. Uppgifterna kommer bl.a. från Polismyndigheten, åklagarmyndigheterna och Migrationsverket, men det kommer också uppgifter från andra myndigheter liksom från enskilda. På vissa av myndighetens verksamhetsområden förekommer särskild lagstiftning.

13

Prop. 2019/20:106 Någon särskild lag om behandling av personuppgifter vid Rättsmedicinalverket finns dock inte.

5 Dataskyddsregleringen

5.1 Dataskyddsförordningen och dataskyddslagen

Dataskyddsförordningen antogs den 27 april 2016. Syftet med förordningen är att skydda fysiska personers grundläggande rättigheter och friheter, särskilt deras rätt till skydd för personuppgifter, och att främja det fria flödet av personuppgifter inom unionen. Dataskyddsförordningen, som är direkt tillämplig i alla medlemsstater, ersatte från och med den 25 maj 2018 1995 års dataskyddsdirektiv och utgör numera den generella regleringen av personuppgiftsbehandling inom EU.

Det materiella tillämpningsområdet för dataskyddsförordningen omfattar sådan behandling av personuppgifter som helt eller delvis företas på automatisk väg samt annan behandling av personuppgifter som ingår i eller kommer att ingå i ett register (artikel 2.1). Vissa undantag från tillämpningsområdet görs dock. Exempelvis ska behandling av personuppgifter som utgör ett led i en verksamhet som inte omfattas av unionsrätten inte heller omfattas av förordningens bestämmelser (artikel 2.2 a). Genom lagen (2018:218) med kompletterande bestämmelser till EU:s dataskyddsförordning, härefter dataskyddslagen, har dock förordningens tillämpningsområde utvidgats till att även omfatta behandling av personuppgifter i verksamhet som inte omfattas av unionsrätten, med vissa specifika undantag (1 kap. 2 och 3 §§

Prop. 2019/20:106 Som framgår av den bedömning regeringen har gjort i propositionen Ny dataskyddslag innebär detta att förordningen ger medlemsstaterna möjlighet att i lagar på nationell nivå föreskriva vissa anpassade bestämmelser (prop. 2017/18:105 s. 21–23). Principen om unionsrättens företräde innebär dock att bestämmelser i sådana författningar måste vara förenliga med dataskyddsförordningen.

Den 25 maj 2018 trädde dataskyddslagen i kraft och samtidigt upphävdes personuppgiftslagen (1998:204). Dataskyddslagen innehåller bestämmelser som kompletterar dataskyddsförordningen på ett generellt plan i svensk rätt. Inom ramen för det utrymme som dataskyddsförordningen ger reglerar lagen bl.a. frågor om rättslig grund för behandling av personuppgifter, känsliga personuppgifter, tillsynsmyndighetens handläggning och beslut samt skadestånd och överklagande. Dataskyddslagen är, på samma sätt som personuppgiftslagen var, subsidiär i förhållande till annan lag eller förordning. Det gör det möjligt att även fortsättningsvis ha från dataskyddslagen avvikande bestämmelser i sektorsspecifika registerförfattningar.

5.2Dataskyddsdirektivet och brottsdatalagen

Dataskyddsdirektivet innehåller bestämmelser om skydd för fysiska personer med avseende på behandling av personuppgifter som utförs av behöriga myndigheter i syfte att förebygga, förhindra, utreda, avslöja eller lagföra brott eller verkställa straffrättsliga påföljder, inklusive att skydda mot samt förebygga och förhindra hot mot den allmänna säkerheten (artikel 1.1). Direktivet ska tillämpas på behandling av personuppgifter som utförs av behöriga myndigheter för de ändamål som anges i artikel

1.1(artikel 2.1). Det är tillämpligt på behandling av personuppgifter som helt eller delvis företas på automatiserad väg samt på annan behandling än automatiserad behandling av personuppgifter som ingår i eller kommer att ingå i ett register (artikel 2.2). Direktivet är däremot inte tillämpligt på behandling av personuppgifter som utgör ett led i en verksamhet som inte omfattas av unionsrätten eller som utförs av unionens institutioner, organ och byråer (artikel 2.3). Ett bakomliggande syfte med dataskyddsdirektivets bestämmelser är att uppnå effektivitet på det straffrättsliga området, samtidigt som en enhetlig och hög skyddsnivå för fysiska personers personuppgifter ska upprätthållas. I direktivet framhålls att det är av avgörande betydelse för att säkerställa ett effektivt straffrättsligt samarbete och polissamarbete att man kan upprätthålla en enhetlig och hög skyddsnivå för fysiska personers personuppgifter och underlätta utbytet av personuppgifter mellan behöriga myndigheter i medlemsstaterna (skäl 7).

Dataskyddsdirektivet hindrar inte medlemsstaterna från att föreskriva starkare skyddsåtgärder än de som fastställs i direktivet för skyddet av den registrerades rättigheter och friheter med avseende på behöriga myndigheters behandling av personuppgifter (artikel 1.3).

Dataskyddsdirektivet har genomförts i huvudsak genom införandet av

en ny ramlag, brottsdatalagen (2018:1177), som trädde i kraft den 1 augusti 2018. Vidare har nya och anpassade registerförfattningar för bl.a.

16

de brottsbekämpande myndigheterna och domstolarna tagits fram (prop. Prop. 2019/20:106 2017/18:269). Brottsdatalagen gäller således för behandling av personuppgifter som utförs av behöriga myndigheter i syfte att förebygga,

förhindra eller upptäcka brottslig verksamhet, utreda eller lagföra brott eller verkställa straffrättsliga påföljder. Den gäller också för behandling av personuppgifter som en behörig myndighet utför i syfte att upprätthålla allmän ordning och säkerhet (1 kap. 2 §). Brottsdatalagen är, liksom dataskyddslagen, subsidiär. I den mån det för en myndighet som bedriver verksamhet inom brottsdatalagens tillämpningsområde finns en författning med bestämmelser som avviker från brottsdatalagen, ska därför den författningen tillämpas (1 kap. 5 § brottsdatalagen).

5.3Dataskyddsregleringens tillämpning i Rättsmedicinalverkets verksamhet

Rättsmedicinalverket bedriver verksamhet som kan omfattas av både dataskyddsförordningens och dataskyddsdirektivets tillämpningsområde. Enligt artikel 2.2 d i dataskyddsförordningen undantas behandling som omfattas av dataskyddsdirektivets tillämpningsområde från data-

skyddsförordningens tillämpningsområde. I den utsträckning Rättsmedicinalverkets personuppgiftsbehandling inte omfattas av

dataskyddsdirektivets, och därmed även brottsdatalagens, tillämpningsområde omfattas den alltså av bestämmelserna i dataskyddsförordningen och dataskyddslagen samt andra författningar med för Rättsmedicinalverket tillämplig särreglering som förordningen medger. Syftet med behandlingen är avgörande för vilket regelverk som är tillämpligt. Regeringen behandlar frågan om gränsdragning mellan tillämpliga personuppgiftsregleringar närmare i avsnitt 6.2.

6En lag om Rättsmedicinalverkets behandling av personuppgifter

6.1Behovet av en särskild reglering av behandlingen av personuppgifter i Rättsmedicinalverkets verksamhet

Regeringens bedömning: En särskild författning om Rättsmedicinalverkets behandling av personuppgifter bör införas.

Utredningens bedömning överensstämmer med regeringens. Remissinstanserna: Flertalet remissinstanser, bl.a. Justitiekanslern,

Kammarrätten i Stockholm och Polismyndigheten, är positiva till eller lämnar inga synpunkter på bedömningen. Riksförbundet för social och mental hälsa (RSMH) delar inte bedömningen och anför att det i stället för en ny registerförfattning vore bättre att förtydliga de lagar som redan är

17

Prop. 2019/20:106 tillämpliga på Rättsmedicinalverkets verksamhet. Dataskydd.net anser att förslaget leder till en onödig dubbelreglering.

Skälen för regeringens bedömning: Vid Rättsmedicinalverket behandlas i stor utsträckning personuppgifter som är särskilt integritetskänsliga, bl.a. genetiska uppgifter och uppgifter om hälsa. De personuppgifter som behandlas vid Rättsmedicinalverket är till stor del samma uppgifter som behandlas vid de uppdragsgivande myndigheterna. Antingen får Rättsmedicinalverket del av uppgifterna i samband med att uppdraget lämnas till verket, eller så genereras personuppgifterna vid Rättsmedicinalverket och lämnas ut till uppdragsgivaren i samband med att Rättsmedicinalverkets utredningsarbete är färdigt och uppdraget redovisas. Det kan konstateras att samtliga de myndigheter som lämnar uppdrag till Rättsmedicinalverket har registerförfattningar som reglerar behandlingen av personuppgifter. Skyddet för personuppgifter bör som utgångspunkt inte vara mindre omfattande vid Rättsmedicinalverket än vid de uppdragsgivande myndigheterna. Det kan bäst säkerställas genom en särskild reglering för personuppgiftsbehandlingen vid Rättsmedicinalverket. Genom en sådan reglering är det även möjligt att ta hänsyn till de särskilda behov som föreligger i Rättsmedicinalverkets verksamhet samtidigt som ett starkt skydd för enskildas personliga integritet upprätthålls.

För delar av Rättsmedicinalverkets personuppgiftsbehandling gäller dataskyddsförordningen, som på generell nivå kompletteras av dataskyddslagen. När Rättsmedicinalverket behandlar personuppgifter för sådana syften som anges i brottsdatalagen är den lagen i stället tillämplig. På vissa områden finns dessutom särlagstiftning med bestämmelser om personuppgiftsbehandling som ska tillämpas i vissa fall, exempelvis patientdatalagen (2008:355) som gäller då Rättsmedicinalverket är att betrakta som vårdgivare. För enskilda registrerade som vill göra gällande sina rättigheter enligt det dataskyddsrättsliga regelverket är det viktigt att förhållandet mellan de olika regleringarna framgår på ett så begripligt och överblickbart sätt som möjligt. Även för Rättsmedicinalverket och de enskilda tjänstemän som ska tillämpa bestämmelserna är detta naturligtvis av stort värde, särskilt eftersom det minskar risken för att personuppgifter behandlas på ett felaktigt sätt. Detta uppnås, enligt regeringens mening, bäst genom att behandlingen av personuppgifter vid Rättsmedicinalverket regleras av särskilda bestämmelser. Till skillnad från RSMH och Dataskydd.net anser regeringen sammanfattningsvis därför att övervägande skäl talar för att en särskild författning som reglerar behandlingen av personuppgifter i Rättsmedicinalverkets verksamhet bör införas.

18

Regeringens bedömning: EU:s dataskyddsförordning och den kompletterande dataskyddslagen är som utgångspunkt tillämpliga på behandlingen av personuppgifter vid Rättsmedicinalverket. När Rättsmedicinalverket fullgör ett uppdrag i syfte att stödja sådan brottsutredande och liknande verksamhet som avses i dataskyddsdirektivet är i stället brottsdatalagen tillämplig för verkets behandling av personuppgifter.

Utredningens bedömning överensstämmer i huvudsak med regeringens. Utredningen anser att drogfrihetsanalyser på begäran av Kriminalvården som avser en person som får en straffrättslig påföljd verkställd bör anses falla inom dataskyddsdirektivets tillämpningsområde.

Remissinstanserna: Rättsmedicinalverket anför att samtliga drogfrihetsanalyser som inbegriper verkställighet av straffrättslig påföljd bör falla inom dataskyddsdirektivets tillämpningsområde. Övriga remissinstanser yttrar sig inte särskilt i denna del.

Skälen för regeringens bedömning

Två parallella regelverk – syftet med behandlingen avgör vilket som ska tillämpas

För regeringens överväganden och förslag om hur en författning som reglerar Rättsmedicinalverkets behandling av personuppgifter bör utformas är det av avgörande betydelse hur de EU-rättsliga dataskyddsbestämmelserna ska tillämpas på personuppgiftsbehandlingen vid Rättsmedicinalverket. Behandling av personuppgifter i verksamhet som omfattas av unionsrätten faller antingen inom tillämpningsområdet för dataskyddsdirektivet, vilket huvudsakligen genomförs genom brottsdatalagen, eller inom tillämpningsområdet för dataskyddsförordningen. Brottsdatalagen och dataskyddsförordningen kan inte vara tillämpliga på samma behandling för samma syfte. Har samma behandling däremot flera olika syften kan regelverken vara tillämpliga parallellt. Det bör då betraktas som två olika behandlingar av personuppgifter som var och en måste ha stöd i och följa gällande regelverk (prop. 2017/18:232 s. 101). En konsekvens av att det är syftet med behandlingen som avgör vilket regelverk som är tillämpligt för en viss personuppgiftsbehandling, är att om detta syfte ändras, kan också andra bestämmelser bli tillämpliga. Det är således nödvändigt för den som behandlar personuppgifter att ha syftet med behandlingen klart för sig för att kunna veta vilket regelverk som är tillämpligt.

I förarbetena till brottsdatalagen redogör regeringen för ett antal allmänna principer som bör gälla för gränsdragningsfrågor som kan uppkomma (prop. 2017/18:232 s. 109–113).

En tudelad verksamhet

Rättsmedicinalverket kommer, liksom andra myndigheter som bedriver verksamhet som kan omfattas av både dataskyddsförordningens och dataskyddsdirektivets regelverk, att ställas inför vissa gränsdragnings-

19

Prop. 2019/20:106 problem. Rättsmedicinalverket utför vissa uppgifter som i normalfallet inte har något samband med att förebygga, förhindra eller upptäcka

Regeringens förslag: De huvudsakliga bestämmelserna om behandling av personuppgifter i Rättsmedicinalverkets verksamhet ska tas in i en ny lag om Rättsmedicinalverkets behandling av personuppgifter.

Utredningens förslag överensstämmer i huvudsak med regeringens. Utredningen föreslår att lagen ska benämnas Rättsmedicinalverkets datalag.

Remissinstanserna: Ingen remissinstans yttrar sig särskilt i denna del.

Skälen för regeringens förslag

Allmänt om bestämmelserna i regeringsformen

de förutsättningar som anges i 2 kap. 21 § regeringsformen. Skyddet får Prop. 2019/20:106 således inte begränsas genom förordning.

Omfattas behandlingen av personuppgifter i Rättsmedicinalverkets verksamhet av 2 kap. 6 § andra stycket regeringsformen?

Inledningsvis kan det konstateras att de uppgifter som behandlas i Rättsmedicinalverkets verksamhet rör enskildas personliga förhållanden i den mening som avses i 2 kap. 6 § andra stycket regeringsformen. Begreppet har samma innebörd som i sekretesslagstiftningen och omfattar bl.a. namn och andra identifikationsuppgifter, adress, familjeförhållanden, hälsa och vandel. Även fotografisk bild omfattas av uttrycket (prop. 2009/10:80 s. 177).

Av förarbetena till grundlagsbestämmelsen framgår också att begreppet samtycke bör bedömas på samma sätt som motsvarande krav enligt bestämmelsen om förbud mot åsiktsregistrering i 2 kap. 3 § första stycket regeringsformen. Vidare uttalas att de krav på ett samtycke som följde av personuppgiftslagstiftningen kunde tjäna som vägledning (prop. 2009/10:80 s. 179). Som regeringen konstaterar i avsnitt 6.3.9 är möjligheten för en myndighet att på dataskyddsförordningens område använda sig av samtycke som grund för behandling av personuppgifter begränsad. Enligt dataskyddsdirektivet är inte samtycke en laglig grund för behandling (se artikel 8). Merparten av Rättsmedicinalverkets personuppgiftsbehandling måste anses ske utan ett sådant samtycke från den enskilde som avses i 2 kap. 6 § andra stycket regeringsformen.

Avgörande för bedömningen av om en åtgärd ska anses innebära övervakning eller kartläggning i den mening som avses i 2 kap. 6 § andra stycket regeringsformen är inte det huvudsakliga syftet utan åtgärdens effekt. Vad som avses med övervakning respektive kartläggning får bedömas utifrån vad som enligt normalt språkbruk läggs i dessa begrepp. Enligt förarbetena till 2 kap. 6 § andra stycket regeringsformen är uppgifter i myndighetsspecifika verksamhetsregister och databaser med information som är knuten till en myndighets ärendehantering i många fall tillgängliga för myndigheten på ett sådant sätt att lagringen och behandlingen av uppgifterna kan sägas innebära att enskilda kartläggs, även om det huvudsakliga ändamålet med behandlingen är ett helt annat (prop. 2009/10:80 s. 180 och 250).

Vid Rättsmedicinalverket förekommer en rad olika ärendetyper och verket behandlar många olika slag av uppgifter. I samtliga ärendetyper förekommer regelmässigt uppgifter för att identifiera den person som ärendet gäller. I stor utsträckning behandlar verket även mycket integritetskänsliga uppgifter, exempelvis uppgifter om enskildas hälsa eller misstankar om brott. Dessa kommer till stor del från olika myndigheter inom rättsväsendet som Rättsmedicinalverket arbetar på uppdrag av, t.ex. Polismyndigheten och Åklagarmyndigheten. Även bl.a. Migrationsverket, socialnämnder och Statens institutionsstyrelse lämnar integritetskänsliga uppgifter om bl.a. narkotikaanvändning och sjukdomar till Rättsmedicinalverket. Inte endast uppgifter om de personer som är föremål för Rättsmedicinalverkets undersökningar eller analyser förekommer, utan även uppgifter om anhöriga till dessa personer.

Rättsmedicinalverket använder sig av ett flertal olika informationsstöd i

23

Prop. 2019/20:106 sin ärendehandläggning, bl.a. olika register och databaser. Regeringens bedömning är att den personuppgiftsbehandling som sker inom ramen för

Ramarna för Rättsmedicinalverkets personuppgiftsbehandling måste Prop. 2019/20:106 slås fast i lag. Även de bestämmelser som är av central betydelse för integritetsskyddet bör ges lagform. Det finns dock alltjämt utrymme att

reglera viss annan personuppgiftsbehandling på lägre normgivningsnivå. Den lag med bestämmelser om Rättsmedicinalverkets personuppgifts-

behandling som nu föreslås bör ha ett enkelt och tydligt namn. Som framhålls i avsnitt 6.3.2 är det viktigt att så långt som möjligt eftersträva en likartad systematik i alla de lagar och förordningar som relegerar personuppgiftsbehandling. Mot bakgrund av de namn som registerförfattningarna på närliggande områden givits anser regeringen att lagen bör benämnas lag om Rättsmedicinalverkets behandling av personuppgifter (se prop. 2017/18:269).

6.3.2Förhållandet till den allmänna dataskyddsregleringen och till brottsdatalagen

Regeringens förslag: I lagen införs en bestämmelse som klargör att den kompletterar EU:s dataskyddsförordning.

Det införs också en bestämmelse som anger att dataskyddslagen och föreskrifter som har meddelats i anslutning till den lagen gäller, om inte annat följer av den nu föreslagna lagen eller föreskrifter som har meddelats i anslutning till den.

Det införs vidare en bestämmelse som klargör att när Rättsmedicinalverket i egenskap av behörig myndighet enligt brottsdatalagen behandlar personuppgifter i syfte att förebygga, förhindra eller upptäcka brottslig verksamhet, utreda eller lagföra brott eller verkställa straffrättsliga påföljder, gäller brottsdatalagen och föreskrifter som har meddelats i anslutning till den, om inte annat följer av den nu föreslagna lagen eller föreskrifter som har meddelats i anslutning till lagen.

Regeringens bedömning: Behandling av personuppgifter i syfte att upprätthålla allmän ordning och säkerhet förekommer inte i Rättsmedicinalverkets verksamhet. Lagen bör därför inte innehålla några bestämmelser om personuppgiftsbehandling som sker i sådant syfte.

Utredningens förslag och bedömning överensstämmer i huvudsak med regeringens. Utredningen föreslår att lagen ska gälla i stället för dataskyddslagen och att det i lagen särskilt ska anges vilka bestämmelser i dataskyddslagen som ska gälla.

Remissinstanserna: Justitiekanslern påpekar att det är av vikt att så långt det är möjligt eftersträva en likartad systematik i alla de lagar och förordningar som reglerar personuppgiftsbehandling. I övrigt yttrar sig ingen remissinstans i sak över förslaget eller bedömningen.

25

dataskyddslagen ska gälla vid behandling av personuppgifter enligt lagen Prop. 2019/20:106 om inte annat följer av den eller anslutande föreskrifter.

Även i de fall det inte finns avvikande bestämmelser i den nu föreslagna lagen, kan vissa bestämmelser i dataskyddslagen sakna betydelse för myndigheternas behandling av personuppgifter. Den av utredningen utpekade bestämmelsen om behandling för arkivändamål av personuppgifter som rör lagöverträdelser, 3 kap. 8 § andra stycket, är exempelvis inte relevant för Rättsmedicinalverket eftersom den tar sikte på behandling som utförs av andra än myndigheter, se prop. 2017/18:105 s. 117. Sådana bestämmelser blir därmed inte aktuella för Rättsmedicinalverket att tillämpa, även om detta inte uttryckligen regleras i lagen.

Registerförfattningarna för bl.a. domstolarna, Kriminalvården, Polismyndigheten, Kustbevakningen, åklagarväsendet, Tullverket och Skatteverket har utformats på så sätt att de gäller utöver brottsdatalagen. Regeringen instämmer i utredningens förslag att även den nu föreslagna lagen enbart bör innehålla bestämmelser som innebär preciseringar, undantag eller avvikelser från brottsdatalagen. För att uppnå större enhetlighet i förhållande till den bestämmelse som anger hur lagen förhåller sig till dataskyddslagen anser regeringen dock att en delvis annan lagteknisk lösning bör väljas. Denna har i stort utformats på samma sätt som motsvarande bestämmelse i lagen (2006:444) om passagerarregister.

Brottsdatalagen omfattar, som nämns ovan, bl.a. personuppgiftsbehandling som en behörig myndighet utför i syfte att upprätthålla allmän ordning och säkerhet (1 kap. 2 § brottsdatalagen). Det är framför allt Polismyndigheten som har i uppdrag att skydda allmänheten mot hot mot den allmänna säkerheten. Rättsmedicinalverket utför inga uppdrag i syfte att upprätthålla allmän ordning och säkerhet. Tillämpningsområdet för lagen bör inte vara mer vidsträckt än nödvändigt och inte omfatta fler situationer än som i praktiken kan uppstå. Lagen bör därför inte innehålla några bestämmelser om behandling av personuppgifter i syfte att upprätthålla allmän ordning och säkerhet.

6.3.3Förhållandet till andra författningar

Regeringens förslag: Lagen ska inte tillämpas när personuppgifter behandlas med stöd av lagen om rättspsykiatriskt forskningsregister, lagen om etikprövning av forskning som avser människor eller patientdatalagen. Lagen ska innehålla en bestämmelse som upplyser om att det finns bestämmelser om Rättsmedicinalverkets behandling av personuppgifter i elimineringsdatabasen i den föreslagna lagen om Rättsmedicinalverkets elimineringsdatabas.

Regeringens bedömning: Den föreslagna lagen ska gälla även för den behandling av personuppgifter i Rättsmedicinalverkets verksamhet som sker genom kamerabevakning.

Utredningens förslag överensstämmer delvis med regeringens förslag. Utredningen föreslår att den föreslagna lagen inte ska tillämpas när personuppgifter behandlas med stöd av kameraövervakningslagen

(2013:460). Vidare föreslår utredningen inte någon

27

Prop. 2019/20:106 upplysningsbestämmelse angående lagen om Rättsmedicinalverkets elimineringsdatabas.

Remissinstanserna: Ingen remissinstans yttrar sig särskilt i denna del.

Skälen för regeringens förslag och bedömning: Bestämmelser om behandling av personuppgifter finns i lagen (1999:353) om rättspsykiatriskt forskningsregister, lagen (2003:460) om etikprövning av forskning som avser människor och patientdatalagen (2008:355). Rättsmedicinalverket kan inom ramen för sitt uppdrag utföra åtgärder som omfattas av nämnda lagars tillämpningsområde. När så är fallet bör dessa lagar, som är utformade för sitt specifika område, tillämpas i stället för den nu föreslagna lagen, som är av mer generell karaktär.

Den kamerabevakning som förekommer vid Rättsmedicinalverket, t.ex. vid verkets utredningsenheter på det rättspsykiatriska verksamhetsområdet, får anses utgöra en integrerad del av myndighetens verksamhet. Kameraövervakningslagen har ersatts av kamerabevakningslagen (2018:1200) som trädde i kraft den 1 augusti 2018. Kameraövervakningslagen gällde i stället för den tidigare generella dataskyddsregleringen i personuppgiftslagen och innehöll en mer omfattande reglering än den nuvarande kamerabevakningslagen. Den sistnämnda lagen kompletterar i stället övrig dataskyddsreglering. Mot den bakgrunden anser regeringen att den föreslagna lagen bör tillämpas även för den behandling av personuppgifter som sker vid kamerabevakning i Rättsmedicinalverkets verksamhet.

Av tydlighetsskäl bör lagen vidare innehålla en bestämmelse som upplyser om att det i lagen om Rättsmedicinalverkets elimineringsdatabas finns bestämmelser om den behandling av personuppgifter som sker i databasen.

6.3.4Utgångspunkter för den nya lagen

Regeringens bedömning: Bestämmelserna om behandling av personuppgifter i Rättsmedicinalverkets verksamhet bör samlas i en lag, som omfattar både den personuppgiftsbehandling som faller inom dataskyddsförordningens tillämpningsområde och den behandling som faller inom brottsdatalagens tillämpningsområde.

Den terminologi som används i lagen bör så långt det är möjligt stämma överens med de uttryck och begrepp som används i dataskyddsförordningen, dataskyddslagen, dataskyddsdirektivet och brottsdatalagen.

Utredningens bedömning överensstämmer med regeringens. Remissinstanserna: Polismyndigheten anför att den omständigheten att

lagen tar ett helhetsgrepp och förhåller sig till såväl dataskyddsförordningen som dataskyddsdirektivet förhoppningsvis kommer att underlätta i rättstillämpningen. Justitiekanslern framhåller att det är viktigt att så långt som möjligt eftersträva en likartad systematik i alla de lagar och förordningar som reglerar personuppgiftsbehandling. I övrigt yttrar sig ingen remissinstans särskilt över bedömningen.

28

En sammanhållen lag

Den EU-rättsliga dataskyddsreformen ger upphov till ett regelkomplex som till sin struktur kan uppfattas som relativt komplicerat. Så är särskilt fallet för myndigheter som Rättsmedicinalverket, där både dataskyddsförordningens och dataskyddsdirektivets bestämmelser är tillämpliga. För en del av de myndigheter vars verksamhet till stor del faller under direktivets tillämpningsområde har det införts två separata registerförfattningar (prop. 2017/18:269). En lag reglerar då personuppgiftsbehandlingen på förordningens område och en annan innehåller motsvarande bestämmelser på direktivets område.

Frågan är om de bestämmelser som nu föreslås bör vara intagna i en och samma lag eller om de i stället bör delas upp i en brottsdatalag för Rättsmedicinalverket och en lag om övrig behandling av personuppgifter för Rättsmedicinalverket. Av betydelse vid den bedömningen är att de särbestämmelser som behövs i Rättsmedicinalverkets verksamhet till viss del är desamma, oavsett om det är fråga om behandling av personuppgifter på dataskyddsförordningens eller dataskyddsdirektivets tillämpningsområde. Av det skälet kan det vara en fördel med en lag, i stället för två som i så fall delvis skulle behöva vara likalydande. De båda EU-rättsliga dataskyddsregleringarna kommer dock också att kräva överväganden som i vissa avseenden skiljer sig åt beroende på i vilket syfte personuppgiftsbehandlingen sker. Sådana särregleringar kan emellertid, som utredningen föreslår, lämpligen placeras i ett kapitel för bestämmelser som gäller på dataskyddsförordningens område och ett annat för bestämmelser på brottsdatalagens. Regeringen bedömer att en sammanhållen registerförfattning med en sådan struktur är det lämpligaste alternativet.

Terminologi

Som Justitiekanslern framhåller är en likartad systematik i författningarna på dataskyddsområdet önskvärd. Detta underlättar tillämpningen av regleringen. Av den anledningen bör uttryck och begrepp i den lag för personuppgiftsbehandling vid Rättsmedicinalverket som nu föreslås så långt det är möjligt anpassas till den terminologi som används i dataskyddsförordningen, dataskyddslagen, dataskyddsdirektivet och brottsdatalagen.

6.3.5Lagens syfte

Regeringens bedömning: Det saknas behov av att införa en särskild bestämmelse om lagens syfte.

Utredningens förslag överensstämmer inte med regeringens bedömning. Utredningen föreslår att lagen ska innehålla en särskild syftesbestämmelse.

Remissinstanserna: Datainspektionen påpekar att formuleringen av syftet avviker något från dataskyddsdirektivets formulering och menar att

det bör övervägas att i lagen tydliggöra att ett syfte med lagen särskilt ska

29

all behandling av personuppgifter i Rättsmedicinalverkets verksamhet. Prop. 2019/20:106 Om inte annat anges ska lagen således tillämpas på personuppgiftsbehandling inom verkets samtliga verksamhetsområden

och ärendeslag. Även behandling av en utomstående aktör som Rättsmedicinalverket gett i uppdrag att utföra en uppgift som åvilar verket anses ske i verkets verksamhet och faller således inom lagens tillämpningsområde. I dessa situationer agerar uppdragstagaren som personuppgiftsbiträde i förhållande till Rättsmedicinalverket (se vidare avsnitt 6.3.8).

Den föreslagna lagen bör i likhet med den EU-rättsliga dataskyddsregleringen endast vara tillämplig vid helt eller delvis automatiserad behandling av personuppgifter samt icke-automatiserad behandling som avser vissa strukturerade uppgiftssamlingar. Utredningen föreslår att uttrycket ”en strukturerad samling av personuppgifter som är tillgängliga för sökning eller sammanställning enligt särskilda kriterier” ska användas för att beteckna dessa uppgiftssamlingar. Detta uttryck används bl.a. i 1 kap. 3 § brottsdatalagen. I dataskyddsförordningen (artiklarna 2.1 och 4.6) och i dataskyddsdirektivet (artiklarna 2.2 och 3.6) används emellertid begreppet ”register” för uppgiftssamlingar av detta slag. Registerbegreppet återfinns också i flera registerförfattningar främst på dataskyddsförordningens område, t.ex. vägtrafikdatalagen (2019:369).

Eftersom den föreslagna lagen ska gälla både inom dataskyddsförordningens och brottsdatalagens område talar övervägande skäl för att detta begrepp bör användas. Lagen bör alltså gälla för sådan behandling av personuppgifter som är helt eller delvis automatiserad och för annan behandling av personuppgifter som ingår i eller kommer att ingå i ett register. Detta innebär inte någon skillnad i sak i förhållande till utredningens förslag.

6.3.7Dataskyddsregleringen ska i tillämpliga delar även gälla vid behandling av uppgifter om avlidna

Regeringens förslag: I tillämpliga delar ska lagen om Rättsmedicinalverkets behandling av personuppgifter, EU:s

dataskyddsförordning, dataskyddslagen, brottsdatalagen och föreskrifter som meddelats i anslutning till dessa lagar gälla även vid behandling av uppgifter om avlidna i Rättsmedicinalverkets verksamhet.

Utredningens förslag överensstämmer i huvudsak med regeringens. Remissinstanserna: Endast ett fåtal remissinstanser yttrar sig i denna

del. Datainspektionen tillstyrker förslaget, men efterfrågar att det tydligare i lagtexten anges vilka delar av lagen som ska gälla för avlidna. Kammarrätten i Stockholm påpekar att förslaget kan komma att innebära att uppgifter om avlidna omfattas av det integritetsskyddande regelverket vid Rättsmedicinalverket men sedan inte skyddas på motsvarande sätt när de efter att ha förts över av verket behandlas av andra myndigheter och väcker frågan om det är en lämplig ordning. Polismyndigheten efterfrågar ett förtydligande avseende huruvida förslaget innebär någon förändring av

hur länge Rättsmedicinalverket kan behandla uppgifter om avlidna.

31

ska finnas en rättslig grund för varje behandling av uppgifter och de Prop. 2019/20:106 principer som följer av artikel 4 i dataskyddsdirektivet (jfr 2 kap. 3–8 §§ brottsdatalagen) och artikel 5 i dataskyddsförordningen även vid

behandling av uppgifter om avlidna. På samma sätt förhåller det sig med bestämmelser om tillsyn och sanktionsavgifter. Regeringen anser inte, till skillnad från Datainspektionen, att det krävs något ytterligare förtydligande om vilka delar av lagen som ska gälla för avlidna. Den lagtekniska lösningen är också i linje med t.ex. patientdatalagen (2008:355) där tillämpningsområdet utsträckts till att även omfatta personer som inte längre är i livet.

Polismyndigheten efterfrågar ett förtydligande avseende huruvida förslaget innebär någon förändring av hur länge Rättsmedicinalverket kan behandla uppgifter om avlidna. Vidare framhåller myndigheten att uppgifter om exempelvis dna från en avliden person som behandlas hos Rättsmedicinalverket många gånger kan vara av stor betydelse i polisiära utredningar för att kunna knyta den avlidne till brott och samtidigt avskriva misstankar mot personer som är i livet. Genom den föreslagna bestämmelsen kommer uppgifter om avlidna att, till skillnad från tidigare ordning, omfattas av det skydd för personuppgifter som gäller vid Rättsmedicinalverket och skyddet för uppgifter om avlidna utvidgas alltså jämfört med vad som gäller i dag. Brottsdatalagen gäller när Rättsmedicinalverket behandlar uppgifter för brottsbekämpande syften om inte annat följer av den föreslagna lagen. Enligt brottsdatalagen får uppgifter inte behandlas under en längre tid än vad som är nödvändigt med hänsyn till ändamålet med behandlingen (2 kap. 17 § första stycket). En bestämmelse av motsvarande innebörd finns i artikel 5.1 e i dataskyddsförordningen. Innebörden av dessa bestämmelser torde vara att Rättsmedicinalverket även fortsättningsvis kommer att kunna behandla nödvändiga uppgifter om avlidna som har betydelse för exempelvis olösta mordfall eller resningsförfaranden.

6.3.8Rättsmedicinalverket ska vara personuppgiftsansvarigt

Regeringens förslag: Rättsmedicinalverket ska vara personuppgiftsansvarigt för behandling av personuppgifter i myndighetens verksamhet.

Regeringens bedömning: Det behövs inga bestämmelser om personuppgiftsbiträden. Bestämmelserna i dataskyddsförordningen och brottsdatalagen är tillräckliga.

Utredningens förslag och bedömning överensstämmer med regeringens.

Remissinstanserna: Ingen remissinstans yttrar sig särskilt i denna del.

33

personuppgiftsansvarige är ansvarig för all behandling av personuppgifter Prop. 2019/20:106 som utförs under dennes ledning eller på dennes vägnar.

Vid Rättsmedicinalverket förekommer i ett antal olika delar av verksamheten att personuppgiftsbiträden anlitas. Så är exempelvis fallet när det gäller rättsmedicinska åldersbedömningar. Fristående leverantörer genomför, efter Rättsmedicinalverkets upphandling, de undersökningar som ligger till grund för verkets utlåtande i åldersfrågan. Utöver avtal som reglerar själva uppdraget ingår Rättsmedicinalverket också s.k. personuppgiftsbiträdesavtal med dessa leverantörer.

Att personuppgiftsbiträden och personer som utför arbete under den personuppgiftsansvariges eller personuppgiftsbiträdets överinseende, och som får tillgång till personuppgifter, endast får behandla dessa uppgifter på instruktion från den personuppgiftsansvarige, såvida han eller hon inte är skyldig att göra det enligt unionsrätten eller medlemsstaternas nationella rätt, framgår av artikel 29 i dataskyddsförordningen. Om en behandling ska genomföras på en personuppgiftsansvarigs vägnar, ska den personuppgiftsansvarige endast anlita personuppgiftsbiträden som ger tillräckliga garantier om att genomföra lämpliga tekniska och organisatoriska åtgärder på ett sådant sätt att behandlingen uppfyller kraven i förordningen och säkerställer att den registrerades rättigheter skyddas (artikel 28.1). Personuppgiftsbiträdets hantering av personuppgifter för den personuppgiftsansvariges räkning, ska regleras genom ett avtal eller annan rättsakt som är bindande för biträdet (artikel 28.3, som också innehåller närmare föreskrifter om vad ett sådant avtal eller en sådan bindande rättsakt ska reglera).

Motsvarande bestämmelser på dataskyddsdirektivets område finns i bl.a. artikel 23, som anger att medlemsstaterna ska föreskriva att ett personuppgiftsbiträde och personer som utför arbete under den personuppgiftsansvariges eller personuppgiftsbiträdets överinseende, och som får tillgång till personuppgifter, endast får behandla dessa uppgifter enligt instruktion från den personuppgiftsansvarige, såvida han eller hon inte är skyldig att göra det enligt unionsrätten eller medlemsstaternas nationella rätt. Likaså finns i direktivet bestämmelser om anlitande av personuppgiftsbiträden och vad som ska gälla för avtal mellan den personuppgiftsansvarige och ett sådant biträde (artikel 22). Direktivets bestämmelser om personuppgiftsbiträden har genomförts genom 3 kap.

16–19 §§ brottsdatalagen.

De bestämmelser i dataskyddsförordningen och brottsdatalagen som reglerar vad som gäller när en personuppgiftsansvarig anlitar ett personuppgiftsbiträde är enligt regeringens mening tillräckliga. Något behov av att i den nu föreslagna lagen införa bestämmelser om personuppgiftsbiträden finns därför inte.

35

Prop. 2019/20:106 av riksdagen beslutad lag. Däremot måste grunden vara fastställd i laga ordning på ett konstitutionellt korrekt sätt (prop. 2017/18:105 s. 51). Av skäl 41 följer vidare att den rättsliga grunden bör vara tydlig, precis och förutsägbar.

De uppdrag som Rättsmedicinalverket har att utföra och dess befogenheter framgår av myndighetens instruktion. Instruktionen utgör en tydlig, precis och förutsägbar rättslig grund som uppfyller kraven i artikel 6 i dataskyddsförordningen. Detta får anses gälla även 3 § i instruktionen, som anger att Rättsmedicinalverket får utföra uppdrag inom sitt ansvarsområde om verksamheten i övrigt medger det. Relevant för att avgöra vilka ärendetyper och uppdrag som kan hänföras till 3 § är 1 § i instruktionen, som anger att Rättsmedicinalverket ansvarar för rättspsykiatrisk, rättskemisk, rättsmedicinsk och rättsgenetisk verksamhet i den utsträckning sådana frågor inte ska handläggas av någon annan statlig myndighet. De båda bestämmelserna sätter alltså ramarna för vilka uppdrag Rättsmedicinalverket med stöd av 3 § i instruktionen kan åta sig

När Rättsmedicinalverket behandlar personuppgifter enligt sitt uppdrag sker detta för att utföra uppgifter av allmänt intresse eller som ett led i myndighetsutövning (artikel 6.1 e) som följer av lag eller annan författning. Även artikel 6.1 c om behandling för att fullgöra en rättslig förpliktelse kan vara tillämplig. Eftersom artikel 6.1 i dataskyddsförordningen är direkt tillämplig anser regeringen, till skillnad från utredningen, inte att det behövs någon upplysning om att personuppgifter får behandlas i Rättsmedicinalverkets verksamhet under förutsättning att minst ett av de villkor som anges i artikel 6.1 i förordningen är uppfyllt.

Datainspektionen instämmer, med åberopande av beaktandesatserna 43 och 47 i dataskyddsförordningen, inte i utredningens uppfattning att Rättsmedicinalverket ska kunna använda samtycke enligt artikel 6.1 a och intresseavvägning enligt artikel 6.1 f som stöd för behandling av personuppgifter i sin verksamhet. Regeringen konstaterar att det enligt förordningen inte är tillåtet för myndigheter att, när de fullgör sina uppgifter, behandla personuppgifter med stöd av den rättsliga grund som utgår från en avvägning mellan den ansvariges berättigade intressen och den registrerades rättigheter och intressen (artikel 6.1 andra stycket). När det gäller samtycke framhåller utredningen att den grunden för behandling kan vara tillämplig i de fall då Rättsmedicinalverket genomför utredningar på uppdrag av enskilda personer, exempelvis i faderskapsärenden som initierats av de inblandade parterna själva. I skäl 43 i dataskyddsförordningen uttrycks att samtycke inte bör anses ha lämnats frivilligt och därmed kunna utgöra en giltig rättslig grund i fall där det råder betydande ojämlikhet mellan den registrerade och den personuppgiftsansvarige, särskilt om den personuppgiftsansvarige är en offentlig myndighet och det därför är osannolikt att samtycket har lämnats frivilligt när det gäller alla förhållanden som denna särskilda situation omfattar. Utrymmet för offentliga myndigheter att använda sig av samtycke som rättslig grund för behandling av personuppgifter (artikel 6.1

a)får därför anses vara begränsat. I Rättsmedicinalverkets instruktion, där myndighetens uppdrag och befogenheter fastslås, uttrycks bl.a. särskilt

uppgiften att utföra rättsgenetiska undersökningar. Även Rättsmedicinalverkets uppdragsverksamhet i form av utredningar på

38

uppdrag av enskilda personer utgör därför, som konstateras ovan, en Prop. 2019/20:106 verksamhet av allmänt intresse.

Ändamålsbestämmelser och finalitetsprincipen

Att personuppgifter bara får samlas in för särskilda, uttryckligt angivna och berättigade ändamål är en allmän dataskyddsprincip. Enligt den s.k. finalitetsprincipen får personuppgifter inte vidarebehandlas för något annat ändamål som är oförenligt med insamlingsändamålen. Dessa principer kommer till uttryck i artiklarna 5.1 b och 6.4 i dataskyddsförordningen. Ytterligare behandling för arkivändamål av allmänt intresse, vetenskapliga eller historiska forskningsändamål eller statistiska ändamål i enlighet med artikel 89.1 ska inte anses vara oförenlig med de ursprungliga ändamålen (artikel 5.1 b).

Ändamålsbestämmelser anger den yttersta ram inom vilken uppgifter får behandlas (se t.ex. 6–7 §§ domstolsdatalagen [2015:728]). I vissa författningar delas ändamålen in i sekundära och primära ändamål. Bestämmelser om primära ändamål reglerar behandling som behövs i den berörda myndighetens egen verksamhet medan sekundära ändamål bl.a. reglerar i vilken utsträckning uppgifter som behandlas för något av de primära ändamålen får vidarebehandlas för att lämnas ut till enskilda eller till andra myndigheter. Syftet med uppdelningen i primära och sekundära ändamål är att göra det tydligt hur personuppgifter dels får användas i myndighetens egen verksamhet, dels får behandlas för att lämnas ut till andra.

Ändamålsbestämmelser är sådana specifika bestämmelser som anpassar tillämpningen av dataskyddsförordningen och säkerställer en laglig och rättvis behandling och är således tillåtna i nationell rätt enligt artikel 6.2 och 6.3 i dataskyddsförordningen. Enligt artikel 23.2 a ska dessutom lagstiftning som begränsar tillämpningsområdet för förordningens rättigheter och skyldigheter innehålla specifika ändamålsbestämmelser, när så är relevant. Genom väl avvägda ändamålsbestämmelser kan Rättsmedicinalverket ges ändamålsenliga möjligheter att behandla personuppgifter i sin verksamhet samtidigt som risken för obefogade intrång i den personliga integriteten minskar.

Regeringen bedömer mot denna bakgrund att ändamålsbestämmelser bör införas i den föreslagna lagen och att dessa ska delas upp i primära och sekundära ändamålsbestämmelser. Av den primära ändamålsbestämmelsen ska framgå att Rättsmedicinalverket får behandla personuppgifter om det är nödvändigt för att utföra myndighetens uppgifter i sin rättspsykiatriska, rättskemiska, rättsmedicinska och rättsgenetiska verksamhet. Det utgör en lämplig avgränsning som beaktar både verksamhetens behov av att behandla personuppgifter och skyddet för enskildas personliga integritet. För att leva upp till dataskyddsförordningens krav på särskilda, uttryckligt angivna och berättigade ändamål kommer Rättsmedicinalverket dock normalt också att behöva formulera mer preciserade ändamål för de specifika behandlingar av personuppgifter som sker i myndighetens verksamhet. När det gäller de sekundära ändamålen bör en allmän förutsättning vara att utlämnande till andra får ske om uppgiftslämnandet sker i överenstämmelse med lag eller

förordning, dvs. med stöd av bestämmelser som påbjuder eller tillåter

39

Regeringen bedömer därför att inte heller sådan behandling av Prop. 2019/20:106 personuppgifter uttryckligen behöver regleras i lagens 3 kap. Motsvarande

bedömning har gjorts i förarbetena till lagen (2018:1698) om domstolarnas behandling av personuppgifter inom brottsdatalagens område (prop. 2017/18:269 s. 231–232).

Prop. 2019/20:106 straffrättslig påföljd eller upprätthålla allmän ordning och säkerhet. Arbetsuppgiften ska framgå av en lag, en förordning eller ett särskilt beslut i vilket regeringen uppdragit åt den behöriga myndigheten att ansvara för en sådan uppgift. Personuppgifter får dessutom behandlas om det är nödvändigt för diarieföring, eller om uppgifterna har lämnats till en behörig myndighet i en anmälan, ansökan eller liknande och behandlingen är nödvändig för myndighetens handläggning (2 kap. 2 § brottsdatalagen). Begreppet nödvändig är ett EU-rättsligt begrepp. Det innebär inte att någonting absolut fordras eller inte kan underlåtas utan att det är fråga om något som behövs för att på ett effektivt sätt kunna utföra arbetsuppgiften eller med andra ord att behandlingen leder till effektivitetsvinster (prop. 2017/18:105 s. 189 och prop. 2017/18:232 s. 117).

Regeringen har tidigare gjort bedömningen att registerförfattningar på brottsdatalagens område bör innehålla bestämmelser om tillåtna rättsliga grunder (prop. 2017/18:269 s. 151). En sådan bestämmelse bör införas även i Rättsmedicinalverkets registerförfattning. Den bör utformas med hänsyn tagen till de syften för vilka Rättsmedicinalverket behöver kunna behandla personuppgifter och på ett motsvarande sätt som i andra registerförfattningar på brottsdatalagens område (se t.ex. 2 kap. 1 § lagen [2018:1697] om åklagarväsendets behandling av personuppgifter inom brottsdatalagens område).

Prop. 2019/20:106 Behandling för nya ändamål

Innan personuppgifter får behandlas för ett nytt ändamål ska det säkerställas att det finns en tillåten rättslig grund för den nya behandlingen. Dessutom ska det vara nödvändigt och proportionerligt att personuppgifterna behandlas för det nya ändamålet (2 kap. 4 § brottsdatalagen). Motsvarande prövning ska enligt 2 kap. 22 § göras när de brottsbekämpande myndigheterna behandlar personuppgifter för nya ändamål utanför lagens tillämpningsområde. Inte i något av fallen behöver dock en prövning av om behandlingen är nödvändig och proportionerlig göras i den utsträckning en skyldighet att lämna ut uppgifter följer av lag eller förordning. En behörig myndighet får vidare behandla personuppgifter för vetenskapliga, statistiska eller historiska ändamål (2 kap. 5 §). Personuppgifter ska behandlas författningsenligt och på ett korrekt sätt (2 kap. 6 §). De ska vara korrekta och, om det är nödvändigt, uppdaterade (2 kap. 7 §). Personuppgifter som behandlas ska dessutom vara adekvata och relevanta i förhållande till ändamålen med behandlingen. Fler personuppgifter får inte behandlas än vad som är nödvändigt med hänsyn till dessa ändamål (2 kap. 8 §).

När det gäller förutsättningarna för Rättsmedicinalverkets behandling av personuppgifter för nya ändamål utgör brottsdatalagens bestämmelser en lämplig reglering enligt regeringen. För tydlighets skull bör dock en upplysning om att frågan regleras i brottsdatalagen tas in i den nu föreslagna lagen. Motsvarande lösning har använts i andra registerförfattningar på dataskyddsdirektivets område (se t.ex. 2 kap. 2 § lagen [2018:1694] om Tullverkets behandling av personuppgifter inom brottsdatalagens område).

Dataskydd.net har lagtekniska synpunkter på bestämmelserna som avser rättslig grund. De bestämmelser som föreslås av regeringen följer dock den systematik som används vid utformningen av bestämmelserna om rättslig grund i många andra registerförfattningar på brottsdatalagens område (se t.ex. 2 kap. 1 § lagen [2018:1695] om Kustbevakningens behandling av personuppgifter inom brottsdatalagens område). Eftersom det är angeläget att eftersträva en så likartad lagstiftningsteknik som möjligt på detta område, finner inte regeringen skäl att utforma regleringen av personuppgiftsbehandlingen vid Rättsmedicinalverket på något annat sätt.

eftersom denna term tydligare talar om vad det är för slags uppgifter som Prop. 2019/20:106 avses (se prop. 2017/18:105 s. 74 och prop. 2017/18:232 s. 150.) Av

samma skäl bör uttrycket känsliga personuppgifter, i samma betydelse som i brottsdatalagen och dataskyddslagen, användas i lagen i stället för uttrycket särskilda kategorier av personuppgifter.

6.3.12Behandling av känsliga personuppgifter inom dataskyddsförordningens tillämpningsområde

Regeringens förslag: Det ska vara förbjudet att göra sökningar i syfte att få fram ett urval av personer grundat på personuppgifter som avslöjar ras, etniskt ursprung, politiska åsikter, religiös eller filosofisk övertygelse eller medlemskap i fackförening eller som rör sexualliv eller sexuell läggning.

Sökförbudet ska inte hindra att särskilda beteckningar för identifiering av en viss ärendetyp, brottsrubriceringar och uppgifter som beskriver en persons utseende används som sökbegrepp.

Sökförbudet ska inte heller hindra sökning i en viss handling eller i ett visst ärende.

Regeringens bedömning: Rättsmedicinalverkets behandling av känsliga personuppgifter i övrigt bör inte särregleras i den lag som nu föreslås.

Det behövs ingen bestämmelse som uttryckligen anger att känsliga personuppgifter i bild får behandlas i Rättsmedicinalverkets verksamhet.

Utredningens förslag och bedömning överensstämmer i huvudsak med regeringens. Utredningen föreslår en bestämmelse som anger att känsliga personuppgifter i bild får behandlas i Rättsmedicinalverkets verksamhet. Utredningen föreslår en annan lagteknisk utformning av sökförbudet.

Remissinstanserna: Datainspektionen och Diskrimineringsombudsmannen efterfrågar ett förtydligande av undantaget gällande användningen av särskilda beteckningar för identifiering av en viss ärendetyp som sökbegrepp och menar att det med föreslagen lydelse finns en risk för kringgående av sökförbudet. RSMH avstyrker förslaget i stort och i synnerhet att det ska vara tillåtet för Rättsmedicinalverket att göra sökningar avseende känsliga personuppgifter som rör hälsa då det står i direkt strid med artikel 9.1 i dataskyddsförordningen. Dataskydd.net ifrågasätter behovet av bestämmelserna om sökbegränsningar och föreslår att de ska utgå. Övriga remissinstanser yttrar sig inte särskilt.

Skälen för regeringens förslag och bedömning

Rättsmedicinalverkets behandling av känsliga personuppgifter

I dataskyddsförordningens artikel 9.1 stadgas ett principiellt förbud mot att behandla känsliga personuppgifter. Förbudet gäller uppgifter som avslöjar ras eller etniskt ursprung, politiska åsikter, religiös eller filosofisk övertygelse eller medlemskap i fackförening och behandling av genetiska

uppgifter, biometriska uppgifter för att entydigt identifiera en fysisk

45

Prop. 2019/20:106 person, uppgifter om hälsa eller uppgifter om en fysisk persons sexualliv eller sexuella läggning. Med genetiska uppgifter avses alla

förbud att utföra sökningar i syfte att få fram ett urval av personer grundat Prop. 2019/20:106 på känsliga personuppgifter. I Rättsmedicinalverkets verksamhet utgör

känsliga personuppgifter en betydande del av den totala mängden personuppgifter som behandlas. En begränsning av hur känsliga personuppgifter får behandlas, exempelvis när det gäller sökning, skulle få en stor effekt i Rättsmedicinalverkets verksamhet och stärka skyddet för enskildas personliga integritet. Regeringen anser därför att den lag om nu förslås bör innehålla ett sökförbud som gäller när Rättsmedicinalverket behandlar känsliga personuppgifter inom dataskyddsförordningens tillämpningsområde. Regeringen behandlar frågan om utformningen av bestämmelserna om sökförbud vidare nedan.

Utöver bestämmelser om sökförbud innehåller den föreslagna lagen ändamålsbestämmelser som anger den yttre ramen för all behandling av personuppgifter och regler om tillgången till personuppgifter (se avsnitt 6.3.9). Därtill kommer bestämmelser om sekretess i offentlighets- och sekretesslagen (2009:400) som gäller i Rättsmedicinalverkets verksamhet. Exempelvis föreskriver 25 kap. 1 § offentlighets- och sekretesslagen att sekretess gäller i bl.a. rättsmedicinsk och rättspsykiatrisk verksamhet för uppgift om en enskilds hälsotillstånd eller andra personliga förhållanden, om det inte står klart att uppgiften kan röjas utan att den enskilde eller någon närstående till denne lider men. Sammantaget uppfyller denna reglering, enligt regeringens mening, dataskyddsförordningens krav på lämpliga och särskilda åtgärder för att säkerställa den registrerades grundläggande rättigheter och intressen.

Sammanfattningsvis bedömer regeringen att det finns stöd i artikel 9.2 g dataskyddsförordningen och 3 kap. 3 § dataskyddslagen för den behandling av känsliga personuppgifter som är nödvändig i Rättsmedicinalverkets verksamhet. Därutöver kan det, som utredningen framhåller, finnas andra undantag från förbudet att behandla känsliga personuppgifter i dataskyddsförordningen och dataskyddslagen som skulle kunna aktualiseras för Rättsmedicinalverket.

Utredningen föreslår en särreglering i förhållande till dataskyddslagen när det gäller känsliga personuppgifter i bild eftersom utredningen inte anser att bestämmelserna i 3 kap. 3 § dataskyddslagen är tillräckliga för att möjliggöra behandling av sådana uppgifter. Känsliga personuppgifter i bild förekommer i mycket stor utsträckning vid Rättsmedicinalverket. Som exempel kan nämnas digitala röntgenbilder som används vid rättsmedicinska åldersbedömningar. Sådana bilder kan bl.a. innehålla uppgifter om hälsa. Regeringens instämmer i utredningens bedömning att behandling av känsliga personuppgifter i bild är nödvändig för att Rättsmedicinalverket ska kunna utföra sitt uppdrag. I 3 kap. 3 § dataskyddslagen, såsom den slutligen kom att utformas (prop. 2017/18:105 s. 9–10), finns dock inga begränsningar som utesluter att den är tillämplig på bilder. Dataskyddsförordningen ställer inte heller upp några särskilda krav vad gäller känsliga personuppgifter i bilder. Det finns därmed inget behov av att införa en särbestämmelse för att göra det möjligt för Rättsmedicinalverket att behandla känsliga personuppgifter i bild.

47

Prop. 2019/20:106 ”våldtäkt mot barn” skulle kunna avslöja sexuella preferenser hos gärningsmän (prop. 2017/18:269 s. 212–213). I Rättsmedicinalverkets verksamhet finns behov av att som sökbegrepp kunna använda brottsrubriceringar. En möjlighet att göra det även i de fall som annars skulle omfattas av sökförbudet bör därför införas i lagen.

Som regeringen tidigare konstaterat innebär sökning bland en begränsad mängd uppgifter mindre integritetsrisker än sökning i större uppgiftsmängder (prop. 2014/15:148 s. 63–64). Samtidigt kan en möjlighet för Rättsmedicinalverket att göra sökningar i en viss handling eller i ett visst ärende antas medföra effektivitetsvinster i det dagliga arbetet. Sådana sökningar bör därför inte heller omfattas av sökförbudet.

sökbegränsningar inte behövs. Övriga remissinstanser yttrar sig inte i sak Prop. 2019/20:106 över förslagen.

Skälen för regeringens förslag och bedömning

Behandling av känsliga personuppgifter

För behandling av känsliga personuppgifter ställer dataskyddsdirektivet upp ytterligare villkor, utöver de krav som gäller för behandling av personuppgifter i allmänhet. Av artikel 10 i direktivet framgår att behandling av personuppgifter som avslöjar ras eller etniskt ursprung, politiska åsikter, religiös eller filosofisk övertygelse eller medlemskap i fackförening, samt behandling av genetiska uppgifter, biometriska uppgifter för att unikt identifiera en fysisk person eller uppgifter om hälsa eller uppgifter om en fysisk persons sexualliv eller sexuella läggning endast är tillåten om det är absolut nödvändigt och under förutsättning att det finns lämpliga skyddsåtgärder för den registrerades rättigheter och friheter. Dessutom krävs det att behandlingen är tillåten enligt unionsrätten eller medlemsstaternas nationella rätt, att den utförs för att skydda intressen som är av grundläggande betydelse för den registrerade eller en annan fysisk person, eller att behandlingen rör uppgifter som på ett tydligt sätt har offentliggjorts av den registrerade.

Brottsdatalagens regler om behandling av känsliga personuppgifter är strängare än vad dataskyddsdirektivet kräver. Således föreskriver 2 kap.

11 § brottsdatalagen att personuppgifter som avslöjar ras, etniskt ursprung, politiska åsikter, religiös eller filosofisk övertygelse eller medlemskap i fackförening eller som rör hälsa, sexualliv eller sexuell läggning som huvudregel inte får behandlas. Om andra uppgifter om en person behandlas, får dessa dock kompletteras med sådana känsliga personuppgifter när det är absolut nödvändigt för ändamålet med behandlingen.

För genetiska uppgifter och biometriska uppgifter innehåller brottsdatalagen specialbestämmelser. Med genetiska uppgifter avses enligt brottsdatalagen personuppgifter som rör en persons nedärvda eller förvärvade genetiska kännetecken och som härrör från analys av ett spår av eller ett prov från personen i fråga (1 kap. 6 §). Främst rör det sig om information som kan tas fram vid dna-analyser. Behandlingen kan avse genetiska uppgifter från såväl identifierade som oidentifierade personer. Själva dna-profilen är endast en siffer- eller bokstavskombination, vilket innebär att profilen i sig inte är en genetisk uppgift. Den är i stället en biometrisk uppgift.

Biometriska uppgifter är enligt brottsdatalagen personuppgifter som erhållits genom en särskild teknisk behandling som rör en fysisk persons fysiska, fysiologiska eller beteendemässiga kännetecken och som möjliggör eller bekräftar unik identifiering av denna fysiska person, såsom vissa ansiktsbilder eller fingeravtrycksuppgifter (1 kap. 6 §). Av brottsdatalagen framgår att biometriska och genetiska uppgifter får behandlas endast om det är särskilt föreskrivet och det är absolut nödvändigt för ändamålet med behandlingen (2 kap. 12 §). Känsliga personuppgifter får vidare alltid behandlas med stöd av 2 kap. 2 §, dvs. om det är nödvändigt för diarieföring eller om uppgifterna har lämnats till en

51

Prop. 2019/20:106 behörig myndighet i en anmälan, ansökan eller liknande och behandlingen

Prop. 2019/20:106 utlämnande är olämpligt ska bl.a. typen av personuppgifter beaktas. Den närmare innebörden av vad som ska anses vara ett sådant olämpligt utlämnande får dock utvecklas genom tillsynsmyndighetens arbete och i domstolspraxis. Det finns dessutom utrymme för regeringen eller den myndighet regeringen bestämmer att meddela ytterligare föreskrifter som begränsar möjligheten att lämna ut personuppgifter elektroniskt (se avsnitt 6.3.15). Mot denna bakgrund anser regeringen inte att det finns något behov av en reglering i lagen avseende vid vilka konkreta omständigheter det är olämpligt att lämna ut personuppgifter elektroniskt.

Föreningen för utgivande av Samhällsmagasinet Avsnitt anser att uttrycket lämnas ut elektroniskt är för vitt i förhållande till uttrycket medium för automatiserad behandling. Det har tidigare föreslagits att uttrycket utlämnande på medium för automatiserad behandling bör utmönstras och att uttrycket utlämnande i elektronisk form i stället ska användas (se Informationshanteringsutredningens slutbetänkande Myndighetsdatalag, SOU 2015:39 s. 442). Regeringen har även uttalat att ett modernare uttryckssätt än utlämnande på medium för automatiserad behandling är att föredra och att det i samband med översynen av registerförfattningarna på brottsdatalagens område är lämpligt att göra den förändringen (prop. 2017/18:269 s. 136). Den förändringen bör få genomslag även i den nu föreslagna lagen. Det kan även framhållas att en begreppsmässig modernisering avsetts men däremot inte någon ändring i sak. Även i fortsättningen bör det dock göras tydlig skillnad mellan elektroniskt utlämnande i form av direktåtkomst och elektroniskt utlämnande på annat sätt. Direktåtkomst förekommer vid en del myndigheter som lämnar uppdrag till Rättsmedicinalverket. Däremot gör Rättsmedicinalverket inte någon information tillgänglig för andra genom direktåtkomst. Det är också svårt att se att det skulle uppstå ett behov av det. Det bör därför, så som utredningen föreslår, införas en bestämmelse om att utlämnande i form av direktåtkomst inte får ske.

Avslutningsvis finner regeringen, i likhet med Kammarrätten i Stockholm, att bestämmelsen bör placeras i lagens första kapitel med allmänna bestämmelser.

6.3.15Rätt att meddela föreskrifter

Regeringens förslag: I lagen ska det upplysas om att regeringen eller den myndighet som regeringen bestämmer kan meddela föreskrifter om begränsningar av möjligheten att göra vissa sökningar avseende känsliga personuppgifter, närmare föreskrifter om tillgången till personuppgifter samt ytterligare föreskrifter om begränsningar av möjligheten att lämna ut personuppgifter elektroniskt.

Utredningens förslag överensstämmer i huvudsak med regeringens. Utredningen föreslår en bestämmelse som upplyser om att regeringen eller den myndighet som regeringen bestämmer kan meddela närmare föreskrifter om tillgången till personuppgifter på dataskyddsförordningens tillämpningsområde. Någon motsvarande bestämmelse på brottsdatalens område föreslås dock inte.

56

Remissinstanserna: Dataskydd.net anser att det inte finns något behov Prop. 2019/20:106 av de föreslagna bestämmelserna. Kammarrätten i Stockholm har

synpunkter på bestämmelsens placering. I övrigt yttrar sig ingen remissinstans särskilt över förslaget.

Skälen för regeringens förslag: Regeringen får med stöd av 8 kap. 7 § regeringsformen meddela dels föreskrifter om verkställighet av lag, dels förskrifter inom den s.k. restkompetensen, dvs. sådana föreskrifter som inte enligt grundlag ska meddelas av riksdagen. Det kan finnas behov av föreskrifter om begränsningar av möjligheten att göra sökningar avseende känsliga personuppgifter och av möjligheten att lämna ut personuppgifter elektroniskt på sådan detaljnivå att dessa inte lämpar sig att intas i lag. På samma sätt förhåller det sig när det gäller regleringen av tillgången till personuppgifter i Rättsmedicinalverkets verksamhet. Behovet av en mer detaljerad reglering av tillgången till personuppgifter är lika stort inom dataskyddsförordningens som brottsdatalagens område. Regeringen anser därför, till skillnad från utredningen, att det i den lag som nu föreslås även bör införas en bestämmelse som upplyser om möjligheten att meddela föreskrifter om tillgången till personuppgifter på brottsdatalagens område.

I likhet med utredningen och till skillnad från Dataskydd.net anser regeringen därför att det bör införas bestämmelser som upplyser om att regeringen eller den myndighet som regeringen bestämmer, med stöd av 8 kap. 7 § regeringsformen, kan meddela föreskrifter med den innebörd som behandlas ovan. Regeringen finner vidare, i likhet med Kammarrätten i Stockholm, att bestämmelsen om föreskrifter avseende möjligheterna att lämna ut personuppgifter elektroniskt bör placeras i lagens första kapitel med allmänna bestämmelser.

6.3.16Tillsyn och sanktionsavgifter

Regeringens förslag: Sanktionsavgift ska få tas ut av Rättsmedicinalverket vid överträdelser på brottsdatalagens område av bestämmelserna om ändamål eller om sökförbud. Sanktionsavgift ska även få tas ut av verket vid överträdelser av föreskrifter som har meddelats i anslutning till lagen och som gäller begränsningar av möjligheten att göra sökningar avseende känsliga personuppgifter.

Sanktionsavgiften ska bestämmas till högst 10 000 000 kr. Regeringens bedömning: Dataskyddslagens bestämmelser om

sanktionsavgifter är tillämpliga på Rättsmedicinalverkets behandling av personuppgifter på dataskyddsförordningens område enligt den föreslagna lagen.

Det krävs inte några särskilda regler om tillsyn utöver regleringen i brottsdatalagen respektive dataskyddslagen.

Utredningens förslag överensstämmer delvis med regeringens. Utredningen föreslår att sanktionsavgiften ska bestämmas till högst 20 000 000 kr. Dessutom föreslår utredningen ett minimibelopp.

Remissinstanserna: Endast ett fåtal remissinstanser yttrar sig över förslaget. Justitiekanslern anför att bestämmelsen inte i alla delar överensstämmer med brottsdatalagen. Bestämmelsen ger, enligt

57

Prop. 2019/20:106 Justitiekanslern, till exempel inte besked om vem som beslutar om sanktionsavgift, hur den ska bestämmas eller om den får jämkas.

Skälen för regeringens förslag och bedömning

Vissa bestämmelser bör införas för Rättsmedicinalverkets behandling av personuppgifter på brottsdatalagens område

Bestämmelser om möjligheten att ta ut en sanktionsavgift vid vissa överträdelser av brottsdatalagen, finns i 6 kap. i nämnda lag. Enligt brottsdatalagen kan en sanktionsavgift tas ut bl.a. vid överträdelser av bestämmelser om hur personuppgifter får behandlas. Regeringen har tidigare uttalat att om en bestämmelse i en registerförfattning ersätter, preciserar eller på annat sätt kompletterar en bestämmelse i brottsdatalagen som kan föranleda sanktionsavgift, bör även överträdelser av bestämmelsen i registerförfattningen kunna föranleda sanktionsavgift (prop. 2017/18:269 s. 114). I linje med detta ställningstagande bör överträdelser av bestämmelserna på brottsdatalagens område om tillåtna ändamål och om sökförbud kunna föranleda sanktionsavgifter. Som utredningen föreslår bör motsvarande gälla vid överträdelser av föreskrifter om begränsningar av möjligheten att göra sökningar avseende känsliga personuppgifter, som har meddelats i anslutning till lagen. I övrigt finns det inte skäl att införa ytterligare bestämmelser om möjlighet att ta ut sanktionsavgift.

Regeringen delar utredningens uppfattning att sanktionsavgiftens storlek bör bestämmas i enlighet med vad som gäller för överträdelser av brottsdatalagen enligt 6 kap. 3 § andra stycket. Vid införandet av

brottsdatalagen gjorde dock regeringen bedömningen att sanktionsavgiften ska bestämmas till högst 10 000 000 kr och att något minimibelopp inte ska anges (prop. 2017/18:232 s. 325–329). Regleringarna bör inte skilja sig åt utan starka skäl. Några sådana finns inte, varför regeringen föreslår samma reglering för Rättsmedicinalverket.

Justitiekanslern anför att bestämmelsen inte ger besked om bl.a. vem som beslutar om sanktionsavgift, hur den ska bestämmas eller om den får jämkas och föreslår att en hänvisning till brottsdatalagens bestämmelser med relevant innehåll införs i lagen. I 5 kap. brottsdatalagen finns bestämmelser om tillsyn. Av 5 kap. 2 § framgår, liksom av definitionen av tillsynsmyndighet i 1 kap. 6 §, att tillsynen omfattar all personuppgiftsbehandling inom brottsdatalagens tillämpningsområde. Av 5 kap. 7 § brottsdatalagen framgår bl.a. tillsynsmyndighetens befogenhet att besluta om sanktionsavgifter. I brottsdatalagen finns det vidare bestämmelser om hur sanktionsavgiften ska bestämmas och vad som gäller i fråga om beslut om sanktionsavgift (6 kap. 3–7 §§). Den omständigheten att brottsdatalagen gäller subsidiärt i förhållande till den lag som nu föreslås innebär att de tillsyns-, handläggnings- och verkställighetsregler som finns i brottsdatalagen även gäller i de fall där sanktionsavgift tas ut för överträdelser av bestämmelser i registerförfattningarna (prop. 2017/18:269 s. 115 och prop. 2018/19:65 s. 64–68). Några bestämmelser om detta behövs därför inte i den lag som nu föreslås.

58

Inga bestämmelser behöver införas för Rättsmedicinalverkets behandling Prop. 2019/20:106 av personuppgifter på dataskyddsförordningens område

Enligt artikel 83 i dataskyddsförordningen har tillsynsmyndigheten i vissa fall möjlighet att påföra personuppgiftsansvariga och personuppgiftsbiträden administrativa sanktionsavgifter vid överträdelser av förordningens bestämmelser. Varje medlemsstat får fastställa regler för om och i vilken utsträckning sådana sanktionsavgifter kan påföras offentliga myndigheter och organ som är inrättade i medlemsstaten.

Dataskyddslagen innehåller bestämmelser som kompletterar dataskyddsförordningens reglering i dessa delar. I 6 kap. 1 § föreskrivs att de befogenheter som tillsynsmyndigheten har enligt dataskyddsförordningen även ska gälla vid tillsyn över efterlevnaden av bestämmelserna i dataskyddslagen och andra föreskrifter som kompletterar dataskyddsförordningen. I 6 kap. finns även kompletterande bestämmelser avseende tillsynsmyndighetens handläggning och beslut. Vad gäller sanktionsavgifter anges det i 6 kap. 1 § dataskyddslagen att sanktionsavgifter får tas ut av myndigheter vid vissa överträdelser av dataskyddsförordningen. Även bestämmelser om avgiftens storlek finns i

6kap.

Regeringen anser att det saknas skäl att i Rättsmedicinalverkets

registerförfattning, i den del som faller inom dataskyddsförordningens tillämpningsområde, ha ett annat förfarande för tillsyn och sanktioner än det som kommer att gälla för andra myndigheter enligt dataskyddslagen. Eftersom dataskyddslagen kommer att gälla vid Rättsmedicinalverkets behandling av personuppgifter på dataskyddsförordningens område, under förutsättning att annat inte följer av Rättsmedicinalverkets registerförfattning eller föreskrifter som har meddelats i anslutning till den, krävs det inte någon särskild reglering för att dataskyddslagens bestämmelser om tillsyn och sanktionsavgifter ska bli tillämpliga. Regeringen anser därför att det inte behöver införas några regler om tillsyn eller om sanktionsavgifter såvitt gäller personuppgiftsbehandling som omfattas av dataskyddsförordningen.

personuppgifter upprätthålls. Detta ska ske bl.a. genom lämpliga tekniska Prop. 2019/20:106 och organisatoriska åtgärder. Den personuppgiftsansvariges skyldigheter i

denna del återfinns även i de allmänna principer för personuppgiftsbehandling som framgår av artikel 5.1 f i dataskyddsförordningen.

Rättsmedicinalverket behandlar bl.a. stora mängder känsliga personuppgifter. För att minska risken för obefogade intrång i den personliga integriteten vid Rättsmedicinalverkets behandling av uppgifter anser regeringen, till skillnad från Dataskydd.net, att det bör införas en bestämmelse som uttryckligen begränsar den krets av personer som får ha

tillgång till personuppgifter. Även om skyldigheten för personuppgiftsansvariga att på olika sätt begränsa tillgången till personuppgifter kan sägas följa av dataskyddsförordningen menar regeringen att bestämmelsen utgör en sådan specificering som enligt artikel 6.2 och 6.3 är tillåten i nationell rätt. Genom en sådan bestämmelse åstadkoms också tydligare överensstämmelse mellan vad som gäller för Rättsmedicinalverkets personuppgiftsbehandling på brottsdatalagens respektive dataskyddsförordningens tillämpningsområde. Av 3 kap. 6 §

brottsdatalagen följer nämligen en skyldighet för den personuppgiftsansvarige att se till att tillgången till personuppgifter begränsas till vad var och en behöver för att kunna fullgöra sina

arbetsuppgifter följer. Denna bestämmelse gäller för

Rättsmedicinalverkets behandling av personuppgifter inom brottsdatalagens tillämpningsområde.

Sveriges Läkarförbund har inga invändningar mot förslaget i sig, men menar att bestämmelsen bör omformuleras på ett sätt som säkerställer alla aspekter på läkarnas fullgörande av arbetsuppgifter. Av bestämmelsen följer att tillgången till personuppgifter ska begränsas till det som var och en behöver för att kunna fullgöra sina arbetsuppgifter. Enligt regeringen ligger detta i linje med dataskyddsförordningens grundläggande princip om uppgiftsminimering (artikel 5.1 c) och utgör en rimlig och naturlig avvägning mellan effektivitet och integritet. Om en uppgift behövs för ett tjänsteåliggande är det rimligt att arbetstagaren får tillgång till uppgiften, men inte annars. Regeringen finner därför inte skäl att omformulera bestämmelsen och därigenom frångå den systematik som följer av ett flertal registerförfattningar på dataskyddsförordningens tillämpningsområde och av brottsdatalagen.

6.3.19Dataskyddsombud

Regeringens bedömning: Det behövs ingen bestämmelse som föreskriver en skyldighet för Rättsmedicinalverket att utse ett dataskyddsombud. Bestämmelserna i dataskyddsförordningen och brottsdatalagen är tillräckliga. Det bör inte införas en författningsreglerad skyldighet för dataskyddsombudet att anmäla till tillsynsmyndigheten om den personuppgiftsansvarige bryter mot bestämmelser för behandling av personuppgifter och rättelse inte vidtas.

Utredningens förslag och bedömning överensstämmer delvis med

regeringens bedömning. Enligt utredningens förslag ska dataskyddsombud

61

införandet av brottsdatalagen gjorde dock regeringen bedömningen att Prop. 2019/20:106 dataskyddsombuden inte bör ha en sådan författningsreglerad skyldighet

(prop. 2017/18:232 s. 205). Regeringen framhöll att någon motsvarande anmälningsskyldighet inte gäller på dataskyddsförordningens område och att det inte är motiverat att införa en sådan skyldighet endast inom brottsdatalagens tillämpningsområde. Mot denna bakgrund anser regeringen, till skillnad från utredningen men i likhet med Dataskydd.net, att det inte bör införas någon anmälningsskyldighet för dataskyddsombuden i den nu föreslagna lagen.

6.3.20Avgiftsfri information

Regeringens bedömning: Det bör inte införas en bestämmelse om att Rättsmedicinalverket, ifall någon begär information och uppgifter enligt artikel 15 i dataskyddsförordningen oftare än en gång per år, ska få ta ut en rimlig avgift eller avslå begäran.

Utredningens förslag överensstämmer inte med regeringens bedömning. Utredningen föreslår att det ska införas en bestämmelse som innebär att om någon begär information och uppgifter enligt artikel 15 i dataskyddsförordningen oftare än en gång per år, ska Rättsmedicinalverket få ta ut en rimlig avgift eller avslå begäran.

Remissinstanserna: Dataskydd.net anser att det inte finns något behov av bestämmelsen. I övrigt yttrar sig inte någon remissinstans särskilt i denna del.

Skälen för regeringens bedömning: Av artikel 15 i dataskyddsförordningen framgår att den registrerade ska ha rätt att av den personuppgiftsansvarige få bekräftelse på huruvida personuppgifter som rör honom eller henne håller på att behandlas och i så fall få tillgång till personuppgifterna och viss närmare preciserad information. Av artikel 12.5 i dataskyddsförordningen följer att all kommunikation och samtliga åtgärder som vidtas enligt artikel 15 ska tillhandahållas kostnadsfritt. Om en begäran från en registrerad är uppenbart ogrundad eller orimlig, särskilt på grund av dess repetitiva art, får den personuppgiftsansvarige antingen ta ut en rimlig avgift som täcker de administrativa kostnaderna för att tillhandahålla informationen eller vidta den åtgärd som begärts, eller vägra att tillmötesgå begäran. Det åligger den personuppgiftsansvarige att visa att begäran är uppenbart ogrundad eller orimlig.

Motsvarande reglering om enskildas rätt till information finns i dataskyddsdirektivet i bl.a. artikel 12. Av artikel 12.4 framgår att informationen ska tillhandahållas kostnadsfritt och att den personuppgiftsansvarige, om en begäran är uppenbart ogrundad eller orimlig, särskilt på grund av att den är repetitiv, antingen får ta ut en rimlig avgift eller vägra att tillmötesgå begäran. Genomförandet i svensk rätt återfinns i 4 kap. 12 § brottsdatalagen. Bestämmelsen anger att information enligt 3 § i samma kapitel, som i huvudsak motsvarar den information som ska lämnas enligt artikel 15 i förordningen, ska lämnas utan avgift en gång per år. Om någon begär information och uppgifter enligt 3 § oftare än en gång per år, får den personuppgiftsansvarige ta ut

en rimlig avgift eller avslå begäran.

63

Prop. 2019/20:106 Artiklarna 12 och 15 i dataskyddsförordningen är direkt tillämpliga. Enligt regeringens bedömning är det tveksamt om det på dataskyddsförordningens område finns utrymme att i nationell rätt föreskriva att en begäran som sker oftare än en gång per år får avslås eller att en rimlig avgift får tas ut. Det finns, enligt regeringens bedömning, inte heller förutsättningar att, när det gäller Rättsmedicinalverkets personuppgiftsbehandling, begränsa enskildas rätt till information enligt artikel 15 med stöd av artikel 23 i dataskyddsförordningen. I likhet med Dataskydd.net anser regeringen därför inte att lagen bör innehålla en sådan bestämmelse som utredningen föreslår.

7.1Rättsmedicinalverkets elimineringsdatabas

Den kemiska benämningen på arvsmassan, som är bärare av en människas gener, är deoxiribonukleinsyra, förkortat dna. Genom att analysera dna kan viktig information erhållas. Vid Rättsmedicinalverket hanteras prover av dna framför allt vid verkets rättsgenetiska enhet. Med hjälp av dnainformation genomförs huvudsakligen identifieringar av avlidna personer samt faderskaps- och släktskapsutredningar. När det gäller identifiering av avlidna, kan det ske både i de fall då det finns anledning att misstänka brott och när någon sådan misstanke inte finns. Genetiska analyser genomförs också i andra ärendetyper vid Rättsmedicinalverket, som exempelvis vid vissa uppdrag för hälso- och sjukvårdens räkning. Det rör sig exempelvis om ärenden om vilken betydelse genetiska faktorer har för läkemedelseffekter. Dna kan också analyseras inom ramen för brottsutredningar. Det gäller då ofta spår från brottsplatser, som analyseras bl.a. i syfte att identifiera en tänkbar gärningsman. Sådana analyser genomförs dock oftast av Nationellt forensiskt centrum (NFC) vid Polismyndigheten och inte av Rättsmedicinalverket.

Dna-analyser är ofta mycket tillförlitliga, men kompliceras av risken för kontaminering. Det innebär att dna som ska analyseras sammanblandas med annan dna, från någon som antingen hanterar dna-provet eller vars dna på annat sätt har kommit i kontakt med det dna-prov som ska analyseras. Kontamineringen kan ske i samtliga hanteringsled av ett dnaprov från det att ett prov tas, till dess att analysen är genomförd och analyssvaret föreligger. Det kan således ske redan vid provtagningen, som förutom vid Rättsmedicinalverkets rättsmedicinska enheter görs vid exempelvis någon av Migrationsverkets mottagningsenheter eller vid ett

socialkontor. Kontamineringen kan också ske när de Rättsmedicinalverket-medarbetare som utför dna-analyser hanterar prover eller genom att dna från personer som tillhör andra yrkeskategorier som rör sig i den laboratoriemiljö där analyser genomförs kommer i kontakt med ett dna-prov. Det kan exempelvis röra sig om personal som städar lokalerna, utför reparationer eller av annan anledning besöker laboratoriet. Kontaminering kan också ske genom att det material som används vid provtagning eller analys inte är dna-fritt, utan innehåller dna t.ex. från personer som har tillverkat eller förpackat materialet. Ytor och föremål i Rättsmedicinalverkets rättsgenetiska laboratorium kan också bära dna. Dna är mycket tidsbeständigt och risken för kontaminering från dna som finns kvar i den miljö där analyser genomförs är därför inte obetydlig.

Vid analysen av dna-prover som har kontaminerats kan provsvaren vara svårtolkade och ibland missvisande. Om man exempelvis i ett identifieringsärende vid analysen av ett prov enbart får fram en dna-profil som beror på en kontaminering, kan det leda till en felaktig uteslutning. Den avlidne antas då vara den person vars dna-profil föreligger (alltså den profil som kontaminerat provet). Om inte denna dna-profil kan uteslutas genom en sökning i en elimineringsdatabas, riskeras identifieringsarbetet.

66

Den avlidne antas i sådana fall vara en person vars dna kontaminerat Prop. 2019/20:106 provet och denne persons profil kommer vid en jämförelse med presumtiva

släktingar till en försvunnen person, inte att visa någon överensstämmelse. I ett sådant fall kan den avlidne inte identifieras.

Med hänsyn till de negativa effekter en kontaminering kan få, har Rättsmedicinalverket inrättat en elimineringsdatabas. Databasen innehåller dna-profiler från medarbetare vid Rättsmedicinalverket, vissa besökare och en del personer som annars vistas i det rättsgenetiska laboratoriet, som exempelvis lokalvårdare. Prover som används för att ta fram dna-profiler till elimineringsdatabasen sparas i fem år. Elimineringsdatabasen utgör ett dna-register och behandling av uppgifter i databasen är personuppgiftsbehandling. En sådan databas är det enda sättet att systematiskt förebygga och upptäcka kontamineringar och den fungerar som ett stöd för att öka kvaliteten på de analysresultat som fås vid dna-undersökningar och för att förhindra att felaktiga slutsatser dras av ett analysresultat där kontaminering förekommit.

En motsvarande databas finns vid Polismyndigheten och en elimineringsdatabas framstår som ett nödvändigt hjälpmedel även i Rättsmedicinalverkets verksamhet.

7.2Rättsmedicinalverkets elimineringsdatabas bör författningsregleras

Regeringens bedömning: Bestämmelser om Rättsmedicinalverkets elimineringsdatabas bör införas i en särskild lag.

Utredningens bedömning överensstämmer med regeringens. Remissinstanserna: Polismyndigheten och Brottsoffermyndigheten är

positiva till införandet av en lag som reglerar Rättsmedicinalverkets elimineringsdatabas. Riksförbundet för social och mental hälsa (RSMH) är emot införandet av en lag och anser att det inte borde behövas särlagstiftningar för enskilda myndigheter. I övrigt yttrar sig ingen remissinstans särskilt i denna del.

Skälen för regeringens bedömning: I dag inhämtas den enskildes samtycke till provtagning, hantering av dna och behandling av personuppgifter i Rättsmedicinalverkets elimineringsdatabas. Som regeringen konstaterar i det föregående är dock utrymmet för offentliga myndigheter att använda sig av samtycke som rättslig grund för behandling av personuppgifter på dataskyddsförordningens område (artikel 6.1 a) begränsat (se avsnitt 6.3.9).

Möjligheten att hantera kontamineringar genom en elimineringsdatabas är av avgörande betydelse för att Rättsmedicinalverket ska kunna få fram så korrekta resultat som möjligt vid de dna-analyser som verket genomför. Det finns därför starka skäl att skapa tydliga rättsliga förutsättningar för Rättsmedicinalverket att föra en sådan databas. Det kan också konstateras att den elimineringsdatabas som finns vid Polismyndigheten författningsreglerades 2014 genom lagen (2014:400) om Polismyndighetens elimineringsdatabas (prop. 2013/14:110). Enligt regeringen saknas det

anledning att se annorlunda på behovet av författningsreglering för

67

under vilken tid proverna får användas. Sammantaget konstaterar Prop. 2019/20:106 regeringen att skyldigheten för vissa personer att genomgå provtagning

bör regleras i lag liksom även den fortsatta hanteringen av ett lämnat prov (jfr prop. 2013/14:110 s. 456). Vidare anser regeringen att den begränsning av skyddet mot påtvingade kroppsliga ingrepp som den föreslagna regleringen innebär är proportionerlig och sker för ändamål som är godtagbara i ett demokratiskt samhälle.

7.3Förutsättningar och ändamål för behandlingen av personuppgifter

Regeringens förslag: Rättsmedicinalverket ska få föra ett register över dna-profiler i syfte att stärka kvaliteten i den rättsgenetiska verksamheten med dna-analyser (elimineringsdatabasen). Uppgifter i elimineringsdatabasen ska endast få behandlas för att upptäcka och utreda kontamineringar av det som är föremål för dna-analys.

Utredningens förslag överensstämmer i sak med regeringens. Remissinstanserna: Ingen remissinstans yttrar sig särskilt i denna del. Skälen för regeringens förslag: I Rättsmedicinalverkets verksamhet

sker behandling av personuppgifter inom både dataskyddsförordningens och brottsdatalagens tillämpningsområde. I förslaget till lag om Rättsmedicinalverkets behandling av personuppgifter återspeglas detta genom att bestämmelser som gäller specifikt inom de olika områdena behandlas i olika kapitel. Den personuppgiftsbehandling som sker i Rättsmedicinalverkets elimineringsdatabas kommer på motsvarande sätt att falla inom båda regelverken. Den föreslagna lagen om Rättsmedicinalverkets behandling av personuppgifter kommer att gälla även för den behandling av personuppgifter som sker i elimineringsdatabasen om inte annat följer av lagen om Rättsmedicinalverkets elimineringsdatabas (se avsnitt 7.5). De principer för gränsdragningen mellan dataskyddsförordningens och brottsdatalagens tillämpningsområde som redovisas i avsnitt 6.2 gäller därför även i detta sammanhang.

Behandlingen av personuppgifter i elimineringsdatabasen är en integrerad del i Rättsmedicinalverkets rättsgenetiska arbete och en förutsättning för att verket ska kunna utföra sitt rättsgenetiska uppdrag med god kvalitet. Regeringens tidigare ställningstaganden angående rättslig grund (avsnitt 6.3.9 och 6.3.10) och förutsättningarna för att behandla känsliga personuppgifter (avsnitt 6.3.12 och 6.3.13) gäller även i detta sammanhang och det finns således stöd för Rättsmedicinalverkets behandling av personuppgifter i elimineringsdatabasen både på dataskyddsförordningens och brottsdatalagens område.

Syftet med Rättsmedicinalverkets elimineringsdatabas är att den ska fungera som ett verktyg för att säkerställa att dna-analyser inte blir missvisande på grund av kontamineringar av i och för sig behöriga personer. Uppgifter i databasen måste kunna behandlas för att upptäcka och utreda kontamineringar, så att resultatet av dna-analyser inte påverkas

av dessa och så att Rättsmedicinalverkets rutiner för analyserna och

69

Prop. 2019/20:106 hantering av dna-prover kan utvecklas i riktning mot att minska risken för kontaminering.

Uppgifter i elimineringsdatabasen bör inte endast få behandlas för att upptäcka och utreda kontamineringar som kan ha uppstått i samband med dna-analyser utan även för att upptäcka och utreda kontamineringar som kan ha uppstått i samband med hanteringen av det biologiska materialet som ligger till grund för analysen. För att tydliggöra det bör bestämmelsen få en delvis annan språklig utformning än den utredningen föreslår. Den språkliga utformningen av bestämmelsen föreslås avvika även delvis från motsvarande bestämmelse i lagen om Polismyndighetens elimineringsdatabas där det framgår att uppgifter ska få behandlas även för att utreda kontamineringar vid hanteringen av dna-spår. Någon skillnad i sak är inte avsedd utan beror på att Rättsmedicinalverket inte använder sig av begreppet dna-spår i sin verksamhet.

Som framgår i avsnitt 7.1 genomför Rättsmedicinalverket dna-analyser både i ärenden där det finns en bakomliggande misstanke om brott och i ärenden där någon sådan misstanke inte föreligger. De fall då det finns en misstanke om brott utgörs huvudsakligen av identifieringsärenden, där den avlidne misstänks ha dödats. Majoriteten av dna-analyserna görs emellertid i ärenden där det inte finns någon brottsmisstanke, som faderskaps- och annan släktskapsanalys. Behovet av att upptäcka och utreda kontamineringar är lika stort, oavsett anledning till dna-analysen. Det saknas därför skäl att göra åtskillnad mellan behandling av uppgifter i elimineringsdatabasen som sker när det finns en misstanke om brott och behandling där sådan misstanke saknas. Däremot bör det av lagen framgå att databasen är kopplad till Rättsmedicinalverkets rättsgenetiska verksamhet och inte myndighetens verksamhet i stort.

resultatet av en dna-analys som presenteras i form av siffror eller Prop. 2019/20:106 bokstäver.

7.5Förhållandet till annan dataskyddsreglering

Regeringens förslag: I lagen införs en bestämmelse som anger att lagen om Rättsmedicinalverkets behandling av personuppgifter och föreskrifter som har meddelats i anslutning till den gäller om inte annat följer av den föreslagna lagen eller föreskrifter som har meddelats i anslutning till den.

Regeringens bedömning: Det behövs inte någon bestämmelse som uttryckligen anger hur lagen förhåller sig till dataskyddsförordningen, dataskyddslagen eller brottsdatalagen.

registrering i elimineringsdatabasen bör regleras på lägre Prop. 2019/20:106 normgivningsnivå än lag, se avsnitt 7.12.

Även andra personer än anställda riskerar att kontaminera dnaanalysprocessen och kan behöva ingå i elimineringsdatabasen för att databasen ska fylla sitt syfte. Det rör sig om personer som av olika anledningar återkommande har tillträde till Rättsmedicinalverkets lokaler, som exempelvis lokalvårdare, servicetekniker och hantverkare. Det kan också vara personer som kommer i kontakt med material som används vid dna-analyser, t.ex. anställda hos leverantörer av laboratoriematerial. En skyldighet för andra än anställda att lämna dna-prov, bör begränsas till personer som verkligen utgör en kontamineringsrisk. Det gäller framför allt personer som regelbundet vistas i lokaler där dna hanteras eller förvaras och personer som arbetar hos materialleverantörer. Även för dessa personalkategorier bör den närmare avgränsningen av personkretsen regleras på lägre normgivningsnivå än lag.

För personer som mer tillfälligt kommer i kontakt med Rättsmedicinalverkets lokaler där dna hanteras eller förvaras, bör det finnas en möjlighet att som villkor för tillträde till en lokal kräva att besökaren lämnar dna-prov till elimineringsdatabasen. En förutsättning för detta bör dock vara att personens dna riskerar att kontaminera lokalen eller material eller prover som ska bli föremål för dna-analys.

Provtagning för dna-analys som ska ligga till grund för registrering i elimineringsdatabasen bör tas i form av salivprov. Provet får inte användas för något annat ändamål än det som provet togs för, dvs. för att dnaprofilen ska registreras i elimineringsdatabasen, och ska förstöras senast sex månader efter provtagningstillfället.

Förslaget till bestämmelserna om provtagning utformas i enlighet med

motsvarande bestämmelser i lagen om Polismyndighetens elimineringsdatabas.

Polismyndighetens synpunkt om förhållandet mellan den nu föreslagna lagen och utredningens förslag om lag om hantering av humanbiologiskt material vid Rättsmedicinalverket får regeringen återkomma till vid behandlingen av det förslaget (jfr avsnitt 3).

7.9Användning av elimineringsdatabasen

Regeringens förslag: En dna-profil från ett dna-prov som analyserats vid Rättsmedicinalverket ska få jämföras med dna-profiler i elimineringsdatabasen.

Även dna-profiler som har tagits fram för att kvalitetssäkra den rättsgenetiska verksamheten med dna-analyser ska få jämföras med dna-profiler i databasen.

Utredningens förslag överensstämmer med regeringens. Remissinstanserna: Ingen remissinstans yttrar sig särskilt i denna del. Skälen för regeringens förslag: En kontaminering kan visa sig i form

av en s.k. blandbild, dvs. att man vid analysen av ett prov får fram två olika dna-profiler. Genom en jämförelse med dna-profilerna i elimineringsdatabasen kan dna-profiler som finns i databasen uteslutas.

75

Prop. 2019/20:106 Det är emellertid inte endast i form av en blandbild som en kontaminering kan visa sig. Den dna-profil som kontaminerat ett prov kan också vara den enda profil man får fram vid analysen. Det är inte särskilt vanligt förekommande vid Rättsmedicinalverket, eftersom de flesta prover som analyseras är tagna under sådana förutsättningar att de normalt sett inte enbart innehåller den kontaminerande dna-profilen. Det går dock inte att utesluta att sådana situationer kan inträffa och användningen av elimineringsdatabasen bör därför inte begränsas till att enbart avse kontamineringar som visar sig i form av en blandbild.

Som ett led i att kvalitetssäkra den rättsgenetiska verksamheten med dna-analyser genomför Rättsmedicinalverket regelmässigt interna kontroller av sina rutiner. En dna-profil som tagits fram i kvalitetssäkrande syfte, ett s.k. kontrollprov, kan t.ex. tillföras i en analysprocess för att kontrollera att de rutiner man arbetar efter har avsedd funktion. En dnaprofil som har tagits fram för att kvalitetssäkra dna-analyser, måste kunna jämföras med dna-profiler i elimineringsdatabasen. En bestämmelse med denna innebörd bör därför införas i lagen. Förslaget till bestämmelse om användningen av s.k. kontrollprov i elimineringsdatabasen utformas väsentligen i enlighet med motsvarande bestämmelse i lagen om Polismyndighetens elimineringsdatabas.

inte längre behövs för syftet att upptäcka och utreda kontamineringar. Så Prop. 2019/20:106 kan vara fallet när en anställd vid Rättsmedicinalverket byter

arbetsuppgifter och inte längre kommer i kontakt med dna-hantering eller när en anställning upphör.

Rättsmedicinalverket bör fortlöpande följa upp vilka dna-profiler som behöver finnas i elimineringsdatabasen. Regeringen delar dock utredningens bedömning att det inte är tillräckligt med en allmän bestämmelse som innebär att uppgifter i databasen inte får behandlas när de inte längre behövs för sitt ändamål. Det behövs därutöver en reglering med tydliga tidsfrister för att förhindra att uppgifter behandlas under längre tid än vad som är nödvändigt. Vid bestämningen av hur lång tid uppgifter får behandlas, måste hänsyn å ena sidan tas till Rättsmedicinalverkets behov av att använda uppgifter i elimineringsdatabasen och det faktum att dna är mycket tidsbeständigt och kontamineringar därför kan ske lång tid efter det att dna har avsatts. Det är

åandra sidan nödvändigt att också beakta skyddet för den personliga integriteten. Risken för kontamineringar är större när det gäller anställda vid Rättsmedicinalverket än för andra personer som mer tillfälligt vistas i lokalerna. För Polismyndighetens elimineringsdatabas gäller att uppgifter som rör anställda inte får behandlas längre än två år efter det att det förhållande som grundade skyldigheten att lämna prov upphörde. Tiden för tillfälliga besökare har satts till ett år efter det att registreringen i databasen gjordes. När det gäller övriga som är skyldiga att lämna prov anger lagen om Polismyndighetens elimineringsdatabas att uppgifter inte får behandlas längre än ett år efter det att det förhållande som grundade skyldigheten att lämna prov upphörde. Dessa tidsgränser har visat sig ändamålsenliga och framstår som lämpliga och välavvägda även för Rättsmedicinalverkets elimineringsdatabas. En bestämmelse av denna innebörd bör därför införas i lagen som reglerar Rättsmedicinalverkets elimineringsdatabas.

Som Justitiekanslern påpekar är det av vikt att eftersträva likartad systematik i lagar om personuppgiftsbehandling. Bland annat därför bör lagen, liksom motsvarande lag för Polismyndigheten, innehålla ett

undantag från bestämmelsen om arkivlagstiftningens företräde i 2 kap. 17 § andra stycket brottsdatalagen (se prop. 2017/18:269 s. 389).

Prop. 2019/20:106 för skada som denne har lidit till följd av en överträdelse av förordningen. Av skäl 146 i förordningen följer att med behandling som strider mot förordningen avses även behandling som strider mot medlemsstaternas nationella rätt med närmare specifikation av förordningens bestämmelser. I 7 kap. 1 § dataskyddslagen upplyses om detta, dvs. att rätten till ersättning enligt dataskyddsförordningen gäller även vid överträdelser av bestämmelser i dataskyddslagen och andra författningar som kompletterar dataskyddsförordningen. Eftersom den nu föreslagna lagen kompletterar dataskyddsförordningen behövs inte någon ytterligare bestämmelse om skadestånd på grund av överträdelser på förordningens område i lagen.

Brottsdatalagens bestämmelser om skadestånd föreslås i avsnitt 6.3.17 vara tillämpliga även vid behandling av personuppgifter i strid med lagen om Rättsmedicinalverkets behandling av personuppgifter eller föreskrifter som har meddelats i anslutning till den. Samma skadeståndsreglering bör gälla också för behandling av personuppgifter i strid med den lag som nu föreslås för Rättsmedicinalverkets elimineringsdatabas och föreskrifter meddelade i anslutning till den. För tydlighets skull anser regeringen, till skillnad från utredningen, att bestämmelsen i lagen om Rättsmedicinalverkets elimineringsdatabas bör hänvisa direkt till bestämmelserna om skadestånd i brottsdatalagen istället för att hänvisa till bestämmelser i lagen om Rättsmedicinalverkets behandling av personuppgifter. Bestämmelsen får då en utformning som motsvarar den som finns i lagen om Polismyndighetens elimineringsdatabas.

7.12Rätt att meddela föreskrifter

Regeringens förslag: I lagen ska det upplysas om att regeringen eller den myndighet som regeringen bestämmer kan meddela dels närmare föreskrifter om vilka personalkategorier vid Rättsmedicinalverket och vilka andra personkategorier enligt 6 och 7 §§ som är skyldiga att lämna prover för dna-analys till elimineringsdatabasen samt om tillgången till uppgifter i elimineringsdatabasen, dels föreskrifter om förfarandet vid överensstämmelse mellan en dna-profil i elimineringsdatabasen och en annan dna-profil.

integritetsskäl bör det vara en begränsad krets vid Rättsmedicinalverket som har tillgång till uppgifterna. I 3 kap. 6 § brottsdatalagen och i den lag om Rättsmedicinalverkets behandling av personuppgifter som föreslås finns bestämmelser om att tillgången till personuppgifter ska begränsas till det som var och en behöver för att kunna fullgöra sina arbetsuppgifter. Dessa bestämmelser gäller även för personuppgiftsbehandling i Rättsmedicinalverkets elimineringsdatabas (se avsnitt 7.5). Hur den krets som ska ha tillgång till uppgifterna i databasen bör avgränsas närmare kan också lämpligen regleras genom verkställighetsföreskrifter. En bestämmelse som upplyser om detta bör därför införas.

Även frågan hur Rättsmedicinalverket bör förfara vid överensstämmelser mellan en dna-profil i elimineringsdatabasen och en annan dna-profil bör regleras på lägre normgivningsnivå än lag. Det bör införas en bestämmelse som upplyser om att regeringen eller den myndighet som regeringen bestämmer, med stöd av 8 kap. 7 § regeringsformen, kan meddela sådana föreskrifter.

7.13Sekretess för uppgifter i elimineringsdatabasen

Regeringens bedömning: Det behöver inte införas någon särskild bestämmelse om sekretess för uppgifter i Rättsmedicinalverkets elimineringsdatabas.

Prop. 2019/20:106 utredningen, bedömningen att någon övergångsbestämmelse avseende sanktionsavgifter på förordningens område inte behövs i lagen om Rättsmedicinalverkets behandling av personuppgifter.

Utredningen föreslår en övergångsbestämmelse i lagen om Rättsmedicinalverkets behandling av personuppgifter som anger att äldre föreskrifter om skadestånd fortfarande ska gälla för skada som har orsakats vid behandling av personuppgifter före ikraftträdandet. I lagen om Rättsmedicinalverkets elimineringsdatabas föreslår utredningen vidare en övergångsbestämmelse som anger att bestämmelserna om skadestånd endast ska tillämpas på skada som inträffat efter ikraftträdandet. Det har dock i tidigare lagstiftningsärenden ansetts att det saknas ett behov av sådana övergångsbestämmelser (se t.ex. prop. 2017/18:105 s. 176). Regeringen gör inte nu någon annan bedömning. Utredningens förslag i den delen bör därför inte genomföras.

Övergångsbestämmelser angående den befintliga elimineringsdatabasen

Som redogörs för i avsnitt 7.1 finns redan i dag en elimineringsdatabas vid Rättsmedicinalverket. Samtycke har ansetts vara en grund för behandling av personuppgifterna i databasen. Möjligheten för myndigheter att grunda behandling av personuppgifter på samtycke är dock begränsad. För personer som tidigare samtyckt till provtagning och vars dna-profiler finns i den befintliga databasen, framstår det dock som ändamålsenligt att inte behöva göra om provtagningen för att dna-profilerna ska kunna registreras i den nya elimineringsdatabasen. Regeringen delar utredningens bedömning att det bör finnas en möjlighet för registrerade att godta att befintliga dna-profiler förs över till den nya databasen. Den bedömningen gjorde också regeringen när övergångsbestämmelser till lagen om Polismyndighetens elimineringsdatabas infördes (prop. 2013/400:110 s. 468–470). De registrerade bör kunna meddela att man godtar detta under en viss övergångsperiod. Dna-profiler som inte förs över till den nya databasen ska efter denna period gallras. En övergångsbestämmelse av denna innebörd bör därför införas. Personer som inte godtar överföringen av dna-profiler, men som samtidigt enligt lagförslaget omfattas av en skyldighet att lämna dna-prov, ska behandlas på samma sätt som om de inte tidigare lämnat något prov.

9Konsekvenser av förslagen

Regeringens bedömning: För Rättsmedicinalverket kommer förslagen att kräva utbildning och systemanpassningar. Kostnaderna för utbildning ryms inom befintliga anslag.

Förslagen innebär en förstärkning av skyddet för enskildas personliga integritet.

Förslagen förväntas inte få några direkta effekter på brottsligheten. Förslagen har inte någon påverkan på jämställdheten mellan män och

kvinnor eller på möjligheterna att nå de integrationspolitiska målen.

10.1Förslaget till lag om Rättsmedicinalverkets behandling av personuppgifter

1 kap. Allmänna bestämmelser

Lagens tillämpningsområde

1 § Denna lag gäller vid behandling av personuppgifter i Rättsmedicinalverkets verksamhet.

Lagen gäller endast om behandlingen är helt eller delvis automatiserad eller om personuppgifterna ingår i eller kommer att ingå i ett register.

Paragrafen innehåller en reglering av lagens tillämpningsområde. Övervägandena finns i avsnitt 6.3.6.

I första stycket slås fast att lagen reglerar den behandling av personuppgifter som sker i Rättsmedicinalverkets verksamhet. Lagen gäller oavsett inom vilket av Rättsmedicinalverkets verksamhetsområden och i vilken ärendetyp behandlingen sker. Även behandling av en utomstående aktör som Rättsmedicinalverket gett i uppdrag att utföra en uppgift som åvilar verket sker i verkets verksamhet och faller således inom lagens tillämpningsområde. Viss behandling av personuppgifter vid Rättsmedicinalverket regleras dock i annan lagstiftning, vilket framgår av 5 §. Med begreppet personuppgift avses samma sak som i artikel 4.1 i Europarlamentets och rådets förordning (EU) 2016/679 av den 27 april 2016 om skydd för fysiska personer med avseende på behandling av personuppgifter och om det fria flödet av sådana uppgifter och om upphävande av direktiv 95/46/EG (allmän dataskyddsförordning), härefter dataskyddsförordningen, och i 1 kap. 6 § brottsdatalagen (2018:1177).

Att bestämmelserna i lagen, i tillämpliga delar, också gäller behandling av uppgifter om avlidna personer, framgår av 7 §.

Andra stycket begränsar lagens tillämpningsområde till helt eller delvis automatiserad behandling av personuppgifter och manuell behandling om personuppgifterna ingår i eller kommer att ingå i ett register. För helt eller delvis automatiserad behandling krävs det alltså inte att personuppgifterna ingår i eller är avsedda att ingå i ett register för att lagen ska vara tillämplig. Även behandling av personuppgifter i löptext omfattas således när det är fråga om automatiserad behandling.

Begreppet register definieras likalydande i artikel 4.6 i dataskyddsförordningen och i artikel 3 i dataskyddsdirektivet. I stället för registerbegreppet används i brottsdatalagen uttrycket en strukturerad samling av personuppgifter som är tillgängliga för sökning eller sammanställning enligt särskilda kriterier för att avgränsa brottsdatalagens tillämpningsområde (1 kap. 3 §). Innebörden av de båda begreppen är dock densamma.

Lagens uppbyggnad

2 § I detta kapitel finns allmänna bestämmelser om behandling av personuppgifter i Rättsmedicinalverkets verksamhet.

84

Bestämmelserna i 2 kap. gäller vid behandling av personuppgifter inom det Prop. 2019/20:106 område som omfattas av Europaparlamentets och rådets förordning (EU) 2016/679

av den 27 april 2016 om skydd för fysiska personer med avseende på behandling av personuppgifter och om det fria flödet av sådana uppgifter och om upphävande av direktiv 95/46/EG (allmän dataskyddsförordning), här benämnd EU:s dataskyddsförordning.

Bestämmelserna i 3 kap. gäller vid behandling av personuppgifter inom det område som omfattas av brottsdatalagen (2018:1177).

Paragrafen innehåller en beskrivning av lagens uppbyggnad.

Av första stycket framgår att 1 kap. innehåller allmänna bestämmelser, som är tillämpliga oavsett om personuppgiftsbehandlingen i Rättsmedicinalverkets verksamhet faller inom dataskyddsförordningens eller brottsdatalagens tillämpningsområde.

I andra stycket anges att bestämmelser som gäller för behandling av personuppgifter på dataskyddsförordningens område finns i 2 kap.

Tredje stycket anger att bestämmelser som gäller för behandling av personuppgifter på brottsdatalagens område finns i 3 kap.

Förhållandet till annan reglering

3 § Denna lag kompletterar EU:s dataskyddsförordning.

Vid behandling av personuppgifter enligt denna lag gäller lagen (2018:218) med kompletterande bestämmelser till EU:s dataskyddsförordning och föreskrifter som har meddelats i anslutning till den lagen, om inte annat följer av denna lag eller föreskrifter som har meddelats i anslutning till lagen.

Paragrafen upplyser om att lagen kompletterar dataskyddsförordningen och anger hur lagen förhåller sig till lagen (2018:218) med kompletterande bestämmelser till EU:s dataskyddsförordning, härefter dataskyddslagen, och föreskrifter som har meddelats i anslutning till den lagen. Övervägandena finns i avsnitt 5.1 och 6.3.2.

Dataskyddsförordningen utgör den generella regleringen av personuppgiftsbehandling inom EU. Förordningen är direkt tillämplig i varje medlemsstat. Av artikel 2.2 d i förordningen framgår att förordningen inte ska tillämpas på behandling av personuppgifter som behöriga myndigheter utför i syfte att förebygga, förhindra, utreda, avslöja eller lagföra brott eller verkställa straffrättsliga påföljder, i vilket även ingår att skydda mot samt förebygga och förhindra hot mot den allmänna säkerheten. Dataskyddsförordningen är således inte tillämplig i de fall då brottsdatalagen är tillämplig. Vad gäller gränsdragningen mellan behandling av personuppgifter i Rättsmedicinalverkets verksamhet inom dataskyddsförordningens respektive brottsdatalagens område, se författningskommentaren till 4 §.

I första stycket anges att lagen kompletterar dataskyddsförordningen. Av

2 § framgår att det är lagens första och andra kapitel som kompletterar dataskyddsförordningen. Att dataskyddsförordningen är direkt tillämplig i varje medlemsstat innebär att den automatiskt är en del av den svenska rättsordningen. I vissa avseenden förutsätter eller tillåter

dataskyddsförordningen emellertid att medlemsstaterna inför bestämmelser som kompletterar förordningen, antingen i form av

preciseringar eller i form av undantag. Denna lag innehåller sådana

85

Prop. 2019/20:106 kompletterande bestämmelser som gäller för behandling av

personuppgifter i Rättsmedicinalverkets verksamhet på dataskyddsförordningens område. Hänvisningarna i lagen till dataskyddsförordningen är dynamiska, dvs. de avser förordningen i dess vid varje tidpunkt gällande lydelse.

I andra stycket klargörs att dataskyddslagen och föreskrifter som har meddelats i anslutning till den lagen gäller vid behandling av personuppgifter på dataskyddsförordningens område enligt denna lag. Av 2 § framgår att det är lagens första och andra kapitel som tillämpas vid behandling av personuppgifter på förordningens område. Dataskyddslagen och dess föreskrifter gäller endast om inte något annat följer av denna lag eller av föreskrifter som har meddelats i anslutning till lagen.

4 § När Rättsmedicinalverket i egenskap av behörig myndighet enligt 1 kap. 6 § brottsdatalagen (2018:1177) behandlar personuppgifter enligt denna lag i syfte att förebygga, förhindra eller upptäcka brottslig verksamhet, utreda eller lagföra brott eller verkställa straffrättsliga påföljder gäller brottsdatalagen och föreskrifter som har meddelats i anslutning till den lagen, om inte annat följer av denna lag eller föreskrifter som har meddelats i anslutning till lagen.