Till statsrådet och chefen för Justitiedepartementet
Chefen för Justitiedepartementet, statsrådet Ask, beslutade den 22 augusti 2012 att uppdra åt f.d. överdirektören Olof Egerstedt att biträda departementet med att utreda behandlingen av personuppgifter vid Statens kriminaltekniska laboratorium i enlighet med en till uppdraget bifogad promemoria.
Uppdraget rymmer två huvudfrågor:
–efter kartläggning av den personuppgiftsbehandling som förekommer vid laboratoriet ska övervägas om den behandlingen behöver regleras särskilt
–överse behovet av åtgärder för att begränsa risken för att kontaminering från ovidkommande DNA påverkar den forensiska
Hovrättsassessorn Hedvig Burman har biträtt i utredningen som sekreterare från den 1 november 2012.
Härmed överlämnas promemorian Behandlingen av personuppgifter vid Statens kriminaltekniska laboratorium.
Uppdraget är därmed slutfört.
Linköping i mars 2013
Olof Egerstedt
Hedvig Burman
1
Innehåll
2.1Förslag till lag om ändring i lagen (2000:343) om
2.4Förslag till förordning (2014:00) om eliminerings-
2.5Förslag till förordning om ändring i förordningen
4.1Urval och disposition av de rättsliga utgångspunk-
5.2Är SKL:s personuppgiftsbehandling förenlig med
3
6.6Jämförelser mellan
8.1Förslaget till lag om ändring i lagen om internatio-
8.2Förslaget till lag om ändring i polisdatalagen med
4
1Promemorians huvudsakliga innehåll
Promemorian innehåller författningsförslag som rör personuppgiftsbehandlingen vid Statens kriminaltekniska laboratorium (SKL). Det gäller dels personuppgiftsbehandlingen inom den forensiska verksamheten i stort, dels den personuppgiftsbehandling som sker för att stärka kvaliteten i den forensiska DNA- verksamheten. Den senare personuppgiftsbehandlingen avser den s.k. elimineringsdatabasen, som är en samling
Av betydelse för författningsförslagen är den omorganisation av polisväsendet som för närvarande genomförs och som avses resultera i att Rikspolisstyrelsen, de 21 polismyndigheterna och SKL slås samman till en myndighet, Polismyndigheten. Sammanslagningen ska vara fullt ut genomförd den 1 januari 2015. SKL:s huvudsakliga verksamhet, att utföra forensiska (kriminaltekniska) undersökningar och därmed sammanhängande verksamhet, kommer dock att kvarstå inom den nya organisationen.
I dag regleras SKL:s personuppgiftsbehandling i stort sett av personuppgiftslagen (1998:204). Promemorian innehåller i denna del en beskrivning av den personuppgiftsbehandling som i dag sker vid SKL och en analys av personuppgiftslagens tillämpning på denna behandling. Vidare analyseras behovet av en särreglering som skulle kunna innefatta t.ex. bestämmelser om ändamål för behandling, sökbegränsningar och gallring. Slutsatsen är att
7
personuppgiftslagens bestämmelser i huvudsak är tillräckliga för att skydda den personliga integriteten vid behandlingen av personuppgifter inom SKL och att personuppgiftslagen också utgör en ändamålsenlig reglering för att SKL ska kunna utföra sitt myndighetsuppdrag på ett effektivt sätt. Det författningsförslag som lämnas i denna del går framför allt ut på att tydliggöra att polisdatalagen (2010:361) i princip inte ska vara tillämplig på personuppgiftsbehandlingen inom SKL, även när SKL blir en del av Polismyndigheten. Vissa bestämmelser i polisdatalagen bör dock vara tillämpliga för SKL. Det gäller föreskrifterna om tillgången till personuppgifter och om behandling av känsliga personuppgifter och sökbegränsningar beträffande sådana personuppgifter. Detta författningsförslag föreslås träda i kraft samtidigt som den nya myndigheten inleder sitt arbete.
En del av personuppgiftsbehandlingen vid SKL omfattas redan av en särreglering i och med att SKL hanterar personuppgiftsbehandlingen i
Eftersom en persons
8
I promemorian förslås att förandet av elimineringsdatabasen ges uttryckligt stöd i lag. Det övergripande syftet med författningsförslaget är att elimineringsdatabasen ska kunna användas på ett sätt som gör den till ett effektivt kvalitetssäkringsverktyg i den forensiska
Författningsregleringen av elimineringsdatabasen innebär i huvudsak att Rikspolisstyrelsen får en lagfäst möjlighet att föra en elimineringsdatabas och att databasen får innehålla
9
2 Författningsförslag
2.1Förslag till lag om ändring i lagen (2000:343) om internationellt polisiärt samarbete
Härigenom föreskrivs att 16 § lagen (2000:343) om internationellt polisiärt samarbete ska ha följande lydelse.
16 §
Vid samarbete enligt Prümrådsbeslutet får ett utländskt kontaktställe medges direktåtkomst till referensuppgifter i de svenska registren över
Efter överenskommelse mellan Sverige och en annan stat får kontaktstället i den andra staten göra en automatisk jämförelse mellan sina oidentifierade
Vad som sägs i första och andra styckena gäller inte för elimineringsdatabasen.
Denna lag träder i kraft den 1 januari 2014.
11
2.2Förslag till lag om ändring i polisdatalagen (2010:361)
Härigenom förskrivs i fråga om polisdatalagen (2010:361) dels att 4 kap. 6, 8 och 9 §§ ska ha följande lydelse,
dels att det i lagen ska införas sju nya paragrafer, 4 kap. 1 a, 6 a – 6 d, 7 a och 10 d §§ samt närmast före 6 a § och 10 a § nya rubriker av följande lydelse.
4 kap
1 a §
Rikspolisstyrelsen får även föra ett register över
Behandling av uppgifter i elimineringsdatabasen får ske för att spåra och utreda kontamineringar. Vid en överensstämmelse mellan en
12
Ds 2013:22 Författningsförslag
6 §
1. som inte kan hänföras till en identifierbar person,
2. som finns i DNA- registret,
3. som kan hänföras till en person som är skäligen misstänkt för brott, eller
4. som finns i elimineringsdatabasen och under de förutsättningar som anges i 6 c §.
Elimineringsdatabasen
6 a §
Elimineringsdatabasen får innehålla
Det som anges i 3 § första stycket gäller också vid registrering i elimineringsdatabasen.
Utöver
13
6 b §
En arbetstagare hos en polismyndighet eller Statens kriminaltekniska laboratorium är skyldig att lämna prov för
Andra personer än arbetstagare som anges i första stycket får lämna prov för
6 c §
En
14
sker med andra
Enskilda
6 d §
En
Med
7 a §
Uppgifter i elimineringsdatabasen ska gallras när de inte längre behövs för att utreda om en persons DNA kan ha konta-
15
minerat undersökningsmaterial eller prover.
Uppgifter i elimineringsdatabasen som avser arbetstagare vid en polismyndighet och Statens kriminaltekniska laboratorium ska gallras senast ett år efter det att anställningsförhållandet har upphört.
Om någon som lämnat sitt samtycke till provtagning och registrering i elimineringsdatabasen inte längre samtycker till registrering ska uppgifterna gallras senast ett år efter det att detta har meddelats Rikspolisstyrelsen.
8 §
Om det i samband med utredning av ett brott har tagits ett prov för
Detsamma gäller för ett prov som har tagits för
16
9 §
Ett prov för
Detsamma gäller för ett prov som har tagits för
En myndighet som medgetts direktåtkomst ansvarar för att tillgången till personuppgifter begränsas till vad varje tjänsteman behöver för att kunna fullgöra sina arbetsuppgifter.
Regeringen eller den myndighet som regeringen bestämmer meddelar närmare föreskrifter om omfattningen av direktåtkomsten samt om behörighet och säkerhet.
17
Ytterligare föreskrifter
10 a §
Regeringen eller den myndighet regeringen bestämmer meddelar ytterligare föreskrifter om kretsen arbetstagare som omfattas av skyldigheten i 6 a § första stycket, samtycke och återtagande av samtycke samt utredningen av överensstämmelser mellan en
Denna lag träder i kraft den 1 januari 2014.
18
2.3Förslag till lag om ändring i polisdatalagen (2010:361)
Härigenom föreskrivs i fråga om polisdatalagen (2010:361) dels att 4 kap. 1 a, 6 b, 7 a och 10 §§ ska ha följande lydelse, dels att det i lagen ska införas en ny paragraf, 1 kap. 2 b §, av
följande lydelse.
9 §§.
Behandling av uppgifter i elimineringsdatabasen får ske för att spåra och utreda kontamineringar. Vid en överensstämmelse mellan en
som ska bli föremål för DNA- analys.
Andra personer än arbetstagare som anges i första stycket får lämna prov för
7 a §
Uppgifter i elimineringsdatabasen ska gallras när de inte längre behövs för att utreda om en persons DNA kan ha kontami-
Polismyndigheter, Ekobrottsmyndigheten, Åklagarmyndigheten, Tullverket, Kustbevakningen och Statens kriminaltekniska laboratorium får medges direktåtkomst till
10 §
Ekobrottsmyndigheten,
Åklagarmyndigheten, Tullverket och Kustbevakningen får medges direktåtkomst till
21
gistret och spårregistret. Statens kriminaltekniska laboratorium får även medges direktåtkomst till elimineringsdatabasen.
En myndighet som medgetts direktåtkomst ansvarar för att tillgången till personuppgifter begränsas till vad varje tjänsteman behöver för att kunna fullgöra sina arbetsuppgifter.
Regeringen eller den myndighet som regeringen bestämmer meddelar närmare föreskrifter om omfattningen av direktåtkomsten samt om behörighet och säkerhet.
Denna lag träder i kraft den 1 januari 2015.
22
2.4Förslag till förordning (2014:00) om elimineringsdatabasen
Härigenom föreskrivs följande.
Förordningens innehåll och definitioner
1 § I denna förordning finns kompletterande föreskrifter om elimineringsdatabasen, som regleras i 4 kap. polisdatalagen (2010:361). Begrepp och uttryck som används i denna förordning har samma innebörd och tillämpningsområde som i polisdatalagen.
Skyldighet att lämna prov
2 § Följande kategorier av arbetstagare är skyldiga att lämna prov för
1.Arbetstagare vid en polismyndighet som regelmässigt hanterar, eller på något annat sätt kommer i kontakt med sådant material eller sådana prover med anknytning till brottsplatser som kan komma att bli föremål för
2.Arbetstagare vid Statens kriminaltekniska laboratorium
som
a)genom sina arbetsuppgifter eller på något annat sätt kommer i kontakt med sådant material eller sådana prover med anknytning till brottsplatser som ska eller avses bli föremål för
b)på grund av arbetsställets plats i laboratoriebyggnaden riskerar att indirekt kontaminera material eller prover som nu sagts.
Information
3 § Den som kan komma ifråga för att lämna sitt samtycke till provtagning för
23
innebär och om hur man återtar sitt samtycke. Information om vad registreringen innebär ska också lämnas till den som är skyldig att genomgå provtagning.
Samtycke och återtagande av samtycke
4 § Samtycke ska lämnas skriftligen.
5 § Den som vill återta ett lämnat samtycke ska meddela detta skriftligen till Rikspolisstyrelsen.
6 § Om en
Gallring i vissa fall
7 § En
Ytterligare föreskrifter
8 § Rikspolisstyrelsen får meddela de ytterligare föreskrifter som behövs för verkställighet av denna förordning. Rikspolisstyrelsen får meddela närmare föreskrifter om vilka arbetstagare som ska vara skyldiga att genomgå provtagning.
Denna förordning träder i kraft den 1 januari 2014.
24
2.5Förslag till förordning om ändring i förordningen (2014:00) om elimineringsdatabasen
Härigenom föreskrivs att 2, 5 och 8 §§ ska ha följande lydelse.
Följande kategorier av arbetstagare är skyldiga att lämna prov för
2. Arbetstagare vid Statens kriminaltekniska laboratorium som
a)genom sina arbetsuppgifter eller på något annat sätt kommer i kontakt med sådant material eller sådana prover med anknytning till brottsplatser som ska eller avses bli föremål för
b)på grund av arbetsställets plats i laboratoriebyggnaden riskerar att indirekt kontaminera material eller prover som nu sagts.
Rikspolisstyrelsen får meddela de ytterligare föreskrifter som behövs för verkställighet av denna förordning. Rikspolisstyrelsen får meddela närmare föreskrifter om vilka arbetstagare som ska vara skyldiga att genomgå provtagning.
8 §
Polismyndigheten får meddela de ytterligare föreskrifter som behövs för verkställighet av denna förordning.
Denna förordning träder i kraft den 1 januari 2015.
26
3 Bakgrund
3.1Inledning
Utredningsuppdraget tar sikte på ett par spörsmål vid Statens kriminaltekniska laboratorium (SKL); det gäller dels frågor som rör personuppgiftsbehandlingen i allmänhet, dels frågor kring åtgärder för att stärka tillförlitligheten i den forensiska DNA- verksamheten. En liten tillbakablick på SKL kan ge ett bättre perspektiv på verksamheten vid myndigheten.
SKL är en självständig myndighet inom polisväsendet. Verksamheten regleras i förordningen (1978:677) med instruktion för Statens kriminaltekniska laboratorium. Laboratoriets huvudsakliga uppgift är att utföra kriminaltekniska undersökningar som föranleds av misstanke om brott. Polisen är den största avnämaren av SKL:s tjänster. SKL ansvarar även för forskning, utveckling, information, utbildning samt stöd och service till hela det kriminaltekniska området. SKL utför också i mindre omfattning uppdrag från enskilda uppdragsgivare såsom försäkringsbolag och enskilda personer.
SKL:s föregångare var Statens kriminaltekniska anstalt som inrättades år 1939 genom en sammanslagning av dåvarande Statspolisens fingeravtrycksbyrå och Stockholmspolisens signalementsbyrå. I samband med att polisväsendet förstatligades 1964/65 ombildades Kriminaltekniska anstalten så att dess laboratorieavdelning organiserades som en ny anslagsfinansierad statlig myndighet inom polisväsendet1: Statens kriminaltekniska
1 Anstaltens polisregisterverksamhet fördes till den nyinrättade Rikspolisstyrelsen.
27
laboratorium. Myndigheten hade då ca 50 anställda. Omkring tio år senare lokaliserades SKL till Linköping.
Efter flyttningen till Linköping skedde efter hand stora förändringar i verksamheten. Framför allt ökade antalet undersökningsuppdrag från Polisen dramatiskt. Från början var det främst uppdrag rörande narkotika som dominerade ökningen, men också fingeravtrycksframkallningar, morfologiska undersökningar2 och kemiska analyser av glas, färg och explosiva ämnen ökade. Sedan
SKL:s anslag för år 2013 uppgår till drygt 247 milj. kr. Antalet medarbetare är ca 300. Verksamheten är organiserad i fem enheter och en stab. Enheterna, som är underindelade i grupper, är enheter för:
–Biologi (i allt väsentligt
–Dokument och informationsteknik (olika typer av informationsbärare, från handstil och dokument till datorer),
–Droganalys (narkotika- och dopningsbeslag, gifter och illegal alkohol),
–Kemi och teknik (klassisk kriminalteknik, dvs. fingeravtryck, fibrer, vapen, skospår, inbrottsverktyg, brand, färger m.m.) samt
–Förvaltning och service
År 2011 inkom mer än 98 000 ärenden, och antalet utförda undersökningar uppgick till totalt ca 94 500, att jämföra med år 2002 då motsvarande antal var 31 135 resp. 30 653 och år 1992 då
2Undersökning av hår, fibrer m.m.
3SFS 2005:878 (rättegångsbalken) och 2005:877 (polisdatalagen [1998:622]).
28
antalen var 11 941 inkomna ärenden och 11 967 avslutade. Själva ärendehanteringen sker administrativt till en del digitalt. Den digitala begäran om undersökning från Polisen registreras i SKL:s ärendehanteringssystem (kallat Forum). Merparten av undersökningsresultaten redovisas endast digitalt, men pappersredovisning i kombination med digital redovisning kvarstår i en mindre andel av ärendena. Det inskickade material, i huvudsak spår och andra föremål från brottsplatser, som har varit föremål för undersökning sänds i regel tillbaka till uppdragsgivaren.4
Den personuppgiftsbehandling som sker vid SKL är dels behandling med stöd av personuppgiftslagen (1998:204), dels behandlingen i de tre
När det särskilt gäller utredningsuppdraget rörande stärkande av tillförlitligheten i den forensiska
Redan vid
4Gäller inte narkotika som destrueras genom SKL:s försorg.
5Se 3 § första stycket 9 förordningen (1999:1135) om misstankeregister och 10 § första stycket 15 förordningen (1999:1134) om belastningsregister.
29
2009 och till att börja med som en temporär sådan med vissa manuella rutiner. Senare under året automatiserades rutinerna så att nya
Sedan Datainspektionen i mars 2012 inlett en tillsyn mot SKL avseende frågan om elimineringsdatabasens förenlighet med gällande rätt, fann Inspektionen i ett beslut den 28 maj 2012 att så inte är fallet. SKL förelades att upphöra med verksamheten. Inspektionens beslut har överklagats av Rikspolisstyrelsen och har därmed inte vunnit laga kraft.
3.2Utredningsuppdraget
Det uppdrag som förevarande departementspromemoria grundas på är en inom Justitiedepartementet upprättad uppdragspromemoria.8 Uppdraget omfattar två spörsmål, dels frågor som rör personuppgiftsbehandlingen på det kriminaltekniska området i allmänhet vid SKL, dels frågor kring den vid SKL inrättade elimineringsdatabasen. De båda spörsmålen har beröringspunkter, men vi har ändå valt att behandla dem var för sig i denna departementspromemoria.
Uppdragspromemorian fogas som bilaga 1 till departementspromemorian.
6Spårregistret är ett av de tre register på
7Databasen innefattar också personal som slutat vid SKL.
8
30
Personuppgiftsbehandlingen i allmänhet vid SKL
I uppdragspromemorian framhålls att det idag inte finns någon särskild registerförfattning som reglerar SKL:s personuppgiftsbehandling.9 I samband med införandet av den nya polisdatalagen, som inte skulle gälla SKL, anförde regeringen att det kunde finnas anledning att i ett annat sammanhang överväga behovet av att särskilt författningsreglera personuppgiftsbehandlingen vid SKL.10 Den aktuella frågan och den snabba utvecklingen inom området för kriminalteknik gör, enligt uppdragspromemorian, att det finns skäl att närmare överväga om den personuppgiftsbehandling som förekommer vid SKL bör regleras särskilt.
Uppdragspromemorian mynnar i den här delen ut i att utredningen ska kartlägga vilken personuppgiftsbehandling som förekommer vid SKL och med utgångspunkt i detta överväga om det behövs en särskild reglering av den behandlingen.
Elimineringsdatabasen
I fråga om elimineringsdatabasen konstateras i uppdragspromemorian att syftet med att inrätta denna har varit att stärka tillförlitligheten kring den forensiska
I den här delen av uppdraget ska prövas behovet av och förslag till de författningsändringar som kan bedöms vara nödvän-
9Personuppgiftslagen (1998:204) tillämpas på personuppgiftsbehandlingen.
10Prop. 2009/10:85 s. 71 f.
31
diga och lämpliga för att begränsa risken för att kontaminering påverkar
–vilka personkategorier som bör omfattas av en eventuell reglering
–om det bör vara obligatoriskt för berörda personer att lämna prover och vad som bör gälla i fråga om prover och provtagning
–hur regleringen av den personuppgiftsbehandling som bedöms vara nödvändig ska se ut och vilken myndighet som ska vara personuppgiftsansvarig för en sådan personuppgiftsbehandling
–vilka jämförelser med andra
–hur en eventuell överensstämmelse med en annan DNA- profil ska hanteras på ett rättssäkert och effektivt sätt.
Under arbetet med den del av uppdraget som gäller elimineringsdatabasen har vi osökt kommit in på frågan om en motsvarande problematik med kontaminering av brottsplatsspår föreligger i fråga om fingeravtryck och om frågan bör föranleda närmare utredning i detta sammanhang, trots att den inte omfattas av utredningsuppdraget. Saken tar sikte på en eventuell förekomst på en brottsplats eller ett brottsplatsspår av fingeravtryck från bl.a. brottsplatsundersökare, kriminaltekniker och annan polispersonal som vistats på brottsplatsen i tjänsten. Även om problematiken med kontaminering på DNA- och fingeravtrycksområdena företer likheter, finns det dock skillnader som gör att jämförelsen mellan en kontaminering genom DNA och genom fingeravtryck inte är så signifikant.
För att få ett underlag för en bättre belysning av ämnet har vi genomfört en enkät till ett antal polismyndigheter och Rikskriminalpolisen med frågor kring behovet av en databas med uppgifter om fingeravtryck från anställda inom polisorganisationen.
Ämnet om kontaminering genom fingeravtryck behandlas under avsnitt 6.13.
32
3.3Polisorganisationskommittén
SKL är en del av polisväsendet. Myndigheten är självständig, dock med den begränsningen att Rikspolisstyrelsen är chefsmyndighet för SKL.
I juli 2010 tillkallade regeringen en parlamentarisk kommitté med uppgift att analysera om polisens nuvarande organisation11 utgör ett hinder för de krav som regeringen ställer på högre kvalitet, ökad kostnadseffektivitet, ökad flexibilitet och väsentligt förbättrade resultat i polisens verksamhet.12 Om kommittén finner att organisationen utgör ett hinder i dessa avseenden, ska ett fullständigt förslag till helt eller delvis ny organisation lämnas.
I ett betänkande den 30 mars 2012 En sammanhållen svensk polis13 föreslår kommittén bl.a. att Rikspolisstyrelsen och de 21 polismyndigheterna samt SKL ska ombildas till en sammanhållen myndighet, Polismyndigheten. SKL ska därmed utgöra en del av Polismyndigheten. Konstruktionen med Rikspolisstyrelsen som chefsmyndighet för SKL avskaffas således. Kommittén har i december 2012 redovisat ytterligare ett betänkande med författningsförslag, En sammanhållen svensk polis – följdändringar i författningar.14
I budgetpropositionen för år 2013 föreslår regeringen att Rikspolisstyrelsen och de 21 polismyndigheterna ska ombildas till en samlad polismyndighet per den 1 januari 2015.15 Riksdagen godkände den 18 december 2012 regeringens förslag. Regeringen har därefter gett en särskild utredare i uppdrag att, i nära samarbete med Rikspolisstyrelsen, besluta om och genomföra de åtgärder som krävs för att ombilda Rikspolisstyrelsen och de 21 polismyndigheterna till en sammanhållen myndighet.16 Den nya
11Rikspolisstyrelsen med Rikskriminalpolisen, SKL och Säkerhetspolisen samt de 21 självständiga polismyndigheterna.
12Dir. 2010:75.
13SOU 2012:13.
14SOU 2012:78 del 1 och 2.
15Prop. 2012/13: 1, utgiftsområde 4.
16Dir. 2012:129.
33
myndigheten ska kunna inleda sin verksamhet den 1 januari 2015. I direktiven anges att SKL:s roll i den framtida polisorganisationen är föremål för ytterligare överväganden inom Regeringskansliet och att regeringen avser att återkomma till riksdagen i denna fråga med förslag som ligger i linje med kommitténs uppfattning att SKL ska ingå i Polismyndigheten.17
3.4Undersökningsärendena hos SKL
Ärendeutvecklingen
Som redan har antytts har ärendeutvecklingen hos SKL varit stadd i en ständig ökning, framför allt sedan myndigheten lokaliserades till Linköping år 1975.
Redan med ett backspegelperspektiv finns det inte någon anledning att tro att utvecklingen ska brytas. Tvärtom finns det goda skäl att anta att ärendeutvecklingen på det kriminaltekniska och forensiska fältet kommer att fortsätta att öka. Den här fortgående ökningen har flera orsaker. På det kriminalpolitiska området kan man finna förklaringar i bl.a. de stora ambitioner som samhället sedan början av
Genom den per den 1 januari 2006 reformerade
17A. dir. s. 12 f.
18Termen jämförelseprov används också i sammanhanget och främst då syftet är att det ska jämföras med ett spårprov.
34
skäligen misstänkta för brott med fängelse i straffskalan, dvs. i praktiken nästan alla slags brott.19 Alla som man har tagit prov på, dvs. deras
Andra förklarande faktorer till den fortgående stigande ärendeutvecklingen är den kompetenshöjning som skett och sker på det kriminaltekniska fältet, såväl när det gäller i tekniskt och naturvetenskapligt hänseende, som ifråga om de personer som är verksamma på området inom SKL och Polisen. Brottsplatsundersökarnas förmåga att finna och ta hand om informationsbärande material på brottsplatser, i förening med den alltmer kvalificerade forensiska kapaciteten hos SKL att ta fram hållbara analyser och svar rörande brottsplatsspår, har lett till att det kriminaltekniska verktyget har fått en allt större och många gånger avgörande betydelse. Detta har skapat en ökande efterfrågan hos SKL i brottsutredningar och i lagföringsprocessen; det sagda har relevans också i fråga om Polisens tekniska rotlar. Exempel på det som nu sagts är förmågan att finna och kunna använda även mycket små mängder DNA, liksom den avancerade teknik som finns hos SKL för att framkalla fingeravtryck på till synes omöjliga brottsplatsspår m.m. Den här utvecklingen har gått hand i hand med att de misstänkta gärningsmännen i allt fler fall inte medverkar i brottsutredningarna, något som ökar fokuset på teknisk bevisning. En ytterligare faktor i sammanhanget är de nya banor som brottsligheten tar och de nya områden som brottsligheten breder ut sig på, liksom de nya brottsverktyg som kommer till användning. I sistnämnda hänseende kan pekas på den arena
19 Undantagna är bl.a. förseelser på vägtrafikens område och några få brottsbalksbrott.
35
för kriminell verksamhet som
Forensiska uppslag
En annan sak som är värd att nämnas i samband med ärendeutvecklingen på det forensiska området är den ambition som SKL har att bredda sin verksamhet till att också omfatta underrättelse- och spaningsinformation till Polisen baserad på egna befintliga databaser och register under begreppet forensiska uppslag.20 En tanke är att skapa en ämnesöverskridande databas, där ärenden kan kopplas samman med hjälp av information från olika undersökningstyper. En annan del av arbetet med de forensiska uppslagen avser de uppslag som spåren i ett enskilt ärende kan ge upphov till, bl.a. analysmöjligheter när det gäller DNA. En sådan möjlighet är att genomföra s.k. familjesökningar, vilket innebär att jämföra
En annan potentiell information i ett
Ambitionen med forensiska uppslag ligger i linje med den kriminaltekniska strategi som antagits av Rikspolisstyrelsen, där
20 se Underrättelse- och spaningsinformation till Polisen, Hantering av forensiska uppslag, SKL Rapport 2011:01.
21Uppgifter från SKL.
22Underrättelse- och spaningsinformation till Polisen, Hantering av forensiska uppslag, SKL Rapport 2011:01, s. 24 f.
36
det framgår bl.a. att samverkan mellan kriminalteknisk kompetens och underrättelseledd verksamhet ska utvecklas.23
Ett undersökningsärendes gång24
Huvuddelen av de kriminaltekniska undersökningarna vid SKL utförs åt rättsväsendet, i första hand Polisen. Ärendet vid SKL inleds vanligtvis genom att Polisen skriver en digital begäran om undersökning som registreras i SKL:s ärendehanteringssystem Forum. Polisen har dessförinnan säkrat material och spår på brottsplatsen och gjort en bedömning av vilka undersökningar som ska begäras av SKL. I vissa fall kan personal från SKL medverka redan vid brottsplatsundersökningen.
När den digitala begäran om undersökning kommit in och registrerats, genereras ett automatiskt svarsmail med SKL:s ärendenummer. När materialet från polisen kommer in till SKL registreras det och paras ihop med den digitala begäran, som skrivs ut och läggs i en mapp som följer ärendet. En ärendeansvarig utses som svarar för att materialet fördelas till den eller de grupper som ska göra undersökningen eller undersökningarna. Polisen bidrar med relevanta frågeställningar och SKL ger synpunkter och förslag. I vissa fall kan SKL behöva anlita externa organ för änden som kräver undersökningar utanför SKL:s kompetensområden.
Efter att materialet dokumenterats, t.ex. genom fotografering, utförs den undersökning, eller de undersökningar, med de metoder som valts ut med hänsyn till polisens frågeställningar och med hänsyn till metodernas begränsningar och fördelar. Vid utvärdering av resultaten kontrollerar två handläggare varandras arbeten, vilket dokumenteras i ett arbetsblad. Beroende på resultatet av undersökningarna kan behov uppstå av att utföra utökade eller förnyade undersökningar. I vissa fall ger resultat inte en tillräcklig kvalitetsnivå för att kunna användas i ett utlåtande
23Kriminalteknisk strategi med handlingsplan, dnr
24Jfr SKL:s årsberättelse 2011, s. 6.
37
som kan användas som processmaterial. Eventuellt kan resultatet då redovisas som ett forensiskt uppslag. En slutlig värdering av undersökningarna görs av två handläggare.
Ett sakkunnigutlåtande, baserat på en
Personuppgiftsbehandling i undersökningsärendena
Som nämnts ovan kallas SKL:s ärendehanteringssystem Forum. Där registreras inte bara inkommande digitala uppdrag från Polisen utan också uppdrag från privata aktörer och andra till myndigheten inkommande handlingar. I de digitala uppdragen från Polisen kan olika personuppgifter förekomma, t.ex. namn på misstänkta, målsäganden och vittnen. Om ett ärende innehåller prov från personer som topsats för
Det är genom Forum som kopplingen mellan en person och en
Forum innehåller i dag fler än 800 000 poster. SKL avvaktar en långtidsarkivlösning som kommer att innebära att en stor del av ärendena i Forum kommer att skiljas av från systemet. Det är
38
meningen att undersökningsärendena sedan kontinuerligt ska avskiljas från Forum i princip fem år efter det att de avslutats. Eftersom Forum innehåller kopplingen mellan en
Personuppgiftsbehandling i de forensiska databaserna
SKL har ett antal register av administrativ karaktär, t.ex. register över personalen med dess befattningar och grupptillhörigheter. SKL har också ett antal register som visserligen kan innehålla personuppgifter, men utan koppling till enskilda undersökningsärenden, t.ex. register över vapenmanualer och register över tidskrifter och böcker.
SKL för därtill som berörts ett antal forensiska register. De forensiska registren är i princip inriktade på samlad information om antingen föremål och material eller andra spår. Bland föremålen kan nämnas vapen och olika slag av förfalskade handlingar och sedlar, bland materialen olika slag av narkotika, explosivämnen, fibrer och glas. Registren över spår innehåller bl.a. skospår, spår efter inbrottsverktyg och spår på avskjutna kulor. SKL för ett
Ett syfte med registren är att öka personalens kompetens, både i en upplärningssituation och i det dagliga arbetet. Ett annat syfte är att ge statistisk information som gör att resultatvärdet av informationen i ett enskilt spår kan fastställas.
Olika jämförelser mellan undersökta material, föremål eller spår kan också visa på sådana likheter som kan ge Polisen upp-
39
slag i den brottsutredande verksamheten; ett forensiskt uppslag. Ett exempel på sådana uppslag är jämförelser av olika narkotikapartiers kemiska sammansättning, vilket kan indikera att partierna härrör från samma tillverkningstillfälle, eller jämförelser av spår på avskjutna kulor eller hylsor, som kan visa på att samma vapen använts vid två olika brott. I princip registreras inte direkta personuppgifter (utom avseende SKL:s personal) i de forensiska uppgiftssamlingarna, eftersom det huvudsakliga ändamålet med databaserna är att bevara information om det undersökta materialet, föremålet eller spåret och hur undersökningen utfördes. För att kunna få mer utförlig information om t.ex. undersökningen i ett visst ärende, behöver informationen i databaserna vara kopplad till SKL:s ärendenummer. I ärendet i Forum, t.ex. i Polisens digitala begäran, kan det, som tidigare redogjorts för, förekomma direkta personuppgifter, namn och eventuellt personnummer, på flera inblandade personer. Eftersom Polisens
I de fall SKL konstaterar en koppling mellan två olika ärenden, t.ex. två olika undersökningar av narkotika, kan personuppgifterna i ärendena naturligtvis komma att få betydelse i Polisens fortsatta brottsutredning.
3.5Elimineringsdatabasen
DNA och
DNA (deoxyribonukleinsyra) är den kemiska benämningen på arvsmassan, bäraren av våra gener. I kroppens alla cellkärnor finns arvsmassan (DNA:t) samlad i kromosomer. Hälften av DNA:t ärvs från modern och hälften från fadern.
De första ärendena där
40
DNA:t klipptes av i fragment (strängar) som fick olika längder, unika för varje individ. Idag används s.k.
Av flera tusen områden är det idag endast 15 områden, STR- markörer, i
25Low Template; begreppet förekommer också som benämningen Low Copy Number (LCN).
26Rutin för kontamineringskontroll SKL Internrapport Biologienheten 2012:07, s. 7.
41
den brottsutredning som brottsplatsspåret hänförs till. Om det går att utvinna annan information ur DNA:t i spåret, t.ex. genom en familjesökning (se avsnitt 3.4 om forensiska uppslag) får alltså en sådan information inte registreras, men väl användas i brottsutredningen.
Med
När lagstiftningen om Polisens personuppgiftsbehandling reformerade år 2010 tillhörde
Det finns för närvarande tre lagreglerade
–
–utredningsregistret och
–spårregistret.
Registren levererar resultat i form av träffar mellan person och spår, mellan spår och person, mellan olika spår mot spår och mellan person mot person. Registren får även föras för att underlätta identifiering av avlidna personer. Rikspolisstyrelsen har
27Prop. 1997/98:97.
28Prop. 2005/06:29.
42
personuppgiftsansvar för uppgiftsbehandlingen i registren. SKL hanterar registren i egenskap av personuppgiftsbiträde åt Rikspolisstyrelsen och ska i den egenskapen iaktta de aktuella bestämmelserna i lagen.
Allmänt om kontamineringar
Med begreppet kontaminering avses, när det gäller brottsplatsspår, att DNA:t i spåret förorenas, eller sammanblandas, genom att för brottsutredningen ovidkommande DNA förs över från en i och för sig behörig person någonstans i hanteringen från det att Polisen kommit till en brottsplats till det att laboratorieundersökningen av brottsplatsspåren är avslutad. Med kontaminering avses alltså inte att DNA i ett spår är sammanblandat med annat DNA som kan ha funnits på en plats före brottstillfället, eller DNA som har tillförts efter brottet men innan Polisen kom till platsen. Effekterna av sådana sammanblandningar av biologiskt material kan i och för sig ha samma effekter för utredningen.29
Andra prover som ingår i
Ett spår eller ett prov kan kontamineras på flera olika sätt. Det ovidkommande DNA:t kan överföras från personer som hanterar spårsäkring och spårundersökning på brottsplatsen eller av personer som utför undersökningar av material eller prover vid SKL. Vid
29 Rutin för kontamineringskontroll, SKL Internrapport Biologienheten 2012:07, s. 7 f.
43
andra skäl, t.ex. lokalvårdare, servicepersonal eller besökare.30 Sådana kontamineringar kan uppstå t.ex. genom att DNA i fibrer från kläder eller liknande fastnar i damm som ligger kvar lokalen och så småningom hamnar i ett spår som ska analyseras. Att DNA kan överföras mellan personer och föremål innebär att DNA också kan överföras mellan lokaler.
DNA är mycket tidsbeständigt och risken för sådana kontamineringar upphör alltså först när DNA:t rent fysiskt avlägsnas i miljön.
Kontamineringar kan också ske mellan prover. Det är framför allt prover som innehåller stora mängder DNA som utgör den största kontamineringsrisken vid sidan av anställda och andra personer. En elimineringsdatabas fångar givetvis inte upp sådana kontamineringar.31
Effekterna av en kontaminering
I en av SKL:s internrapporter från Biologienheten beskrivs effekterna av kontaminering enligt följande:
Kontaminerande DNA som ger upphov till en regelrätt
30A. a. s. 8.
31
44
kontamination” som felaktigt kopplade samman ett stort antal brott i framförallt Tyskland, men också i andra länder. Totalt vilseleddes polisens utredare i 16 år. Ett annat mer närliggande exempel rör en släktskapsutredning kring regissören Ingemar Bergman, som genomfördes av Rättsmedicinalverket (RMV), där en uteslutande slutsats avseende det undersökta släktskapet senare visade sig bero på
Ytterligare exempel på hur kontamineringar kan påverka en brottsutredning finns i en annan rapport från Biologienheten som tar upp ett antal fingerade fallbeskrivningar. En fallbeskrivning avser att en biolog vid SKL som arbetar med
Värt att poängtera i sammanhanget är att oupptäckta kontamineringar generellt sätt gör felaktiga uteslutningar mer sannolika än felaktiga överensstämmelser.
Internationella rekommendationer
European Network of Forensic Science Institutes, ENFSI, är ett europeiskt nätverk för forensiska institut där SKL medverkar. Nätverkets projekt för att utveckla den forensiska verksamheten
32Rutin för kontaminationskontroll, SKL Internrapport Biologienheten 2012:7, s. 9 f.
33
45
finansieras av bl.a. EU. Målsättningen för nätverkets arbete är att garantera kvaliteten inom den forensiska vetenskapen i Europa. ENFSI har 17 arbetsgrupper, varav en arbetar med frågor som rör DNA. Arbetsgruppen har gett ut rekommendationer för hur det forensiska arbetet med
Interpols handbok för
34
35Interpol handbook on DNA data exchange and practice – Recommendations from the Interpol DNA monitoring expert group, 2009, s. 68 och 100.
36A. a. s. 68: ”Precautionary rules should be defined so that these databases are not mixed with the criminal databases, but are only used on a
46
Elimineringsdatabasens bakgrund och syfte
Som redan har berörts något uppkom redan bara några år efter att
Frågan om riskerna med kontaminering av
I takt med att användningen av DNA i samband med brottsutredningar ständigt ökar blev det alltmer angeläget att hanteringen av de stigande volymerna omgärdas med säkerhets- och skyddsrutiner och andra arrangemang för att förebygga en felaktig hantering. Så har skett och sker också fortlöpande såväl vid SKL som vid Polisen och då främst dess tekniska rotlar. Insiktsfulla bedömare verksamma på området ansåg det dock inte vara möjligt att med sådana åtgärder helt undanröja själv grundproblemet såvitt nu är i fråga, nämligen kontamineringar genom förekomst av ovidkommande DNA. Att en hantering av en betydande och ökande volym ärenden i sig kunde skapar risker för logistiska och praktiska hanteringsfel, t.ex. förväxlingar, är en annan sak som den här departementspromemorian dock inte behandlar annat än om saken har med elimineringsdatabasen att göra.
Risken för kontamineringar har också ökat när det sedan ett par år är teknisk möjligt att praktiskt ta till vara och använda mycket små mängder DNA (se ovan, avsnittet om DNA och
37 Ds 2004:35, s. 15.
47
Här ska vidare sägas att användningen av en elimineringsdatabas med
I en intern rapport från SKL angavs syftet med vad som där kallas en kvalitetsdatabas vara följande:
–att förhindra att personalens
–att minska risken för att felaktiga resultat redovisas till uppdragsgivaren (Polisen)
–att få ett erfarenhetsmaterial som kan fungera som underlag för att korrigera avvikelser i rutinen och därmed minska risken för att kontamineringar sker i framtiden
–att erhålla ett erfarenhetsmaterial för att bättre kunna uppskatta kontamineringsrisken.38
Syftet med en elimineringsdatabas var alltså att med hjälp av databasen så långt det sig göra låter utesluta förekomsten av profiler i
38
48
rat det undersökta materialet, vistats på brottsplatsen, i undersökningslokalen och liknande samt inte minst minska risken för att felaktiga resultat redovisas i en brottsutredning.
Inrättandet av SKL:s elimineringsdatabas
Om det formella förfarandet kring tillkomsten av elimineringsdatabasen kan följande antecknas. I april 2009 anmälde SKL enligt 36 § personuppgiftslagen till personuppgiftsombudet vid SKL sin avsikt att använda en ”temporär eliminationsdatabas” som hjälp vid
49
Det ska i sammanhanget antecknas att ett förstadium till elimineringsdatabasen i form av en lista på papper där namn och
Nämnas kan att SKL till visst stöd för sina arrangemang med elimineringsdatabasen har haft tillgång till rättanalyser från Rikspolisstyrelsen. Elimineringsdatabasens rättsliga grund är enligt dessa analyser personuppgiftslagen. Själva provtagningen görs genom salivprov.
Elimineringsdatabasens användning och funktion i dag
Sökningar i elimineringsdatabasen används idag för att bekräfta och spåra kontamineringar
–i
–i olika slags personprover (topsningar)
–i olika slag av kontrollprov som ska vara blanka (utan DNA) eller innehålla DNA med känd profil
–i prover för att undersöka förekomsten av
ilabbmiljön.
Elimineringsdatabasen är i och med detta också ett stöd för
att
– förhindra att
ret
–förhindra att resultat som kommer från kontamineringar redovisas till uppdragsgivaren (Polisen m.fl.) och därmed missleder brottsutredningar
–ge ett erfarenhetsunderlag som kan användas för att förbättra eller korrigera avvikelser i rutiner och därmed minska risken för framtida kontamineringar
–tillsammans med annat underlag användas för att bedöma risknivån för kontamineringar.
Elimineringsdatabasen är i dag inlagd i ett särskilt index i CODIS, den programvara som används för
50
en ny profil läggs in i spårregistret jämförs den först mot elimineringsdatabasen. Om det blir en träff tas profilen bort ur spårregistret där den lagts in och träffen utreds (se vidare nedan under Utredningen av kontamineringar). Andra
Det totala antalet upptäckta kontamineringar var 143 stycken i december 2012, varav 37 kom från SKL:s personal, 6 från leverantörer av materiel och 7 från Polisen. I övrigt var 35 kontamineringar kom från andra prover och 58 var av okänd härkomst. De flesta kontamineringar som upptäcks finns i kontrollprover och i prover från topsningar (för 2012 utgjorde sådana kontamineringar 11 respektive 15 stycken av totalt 38 kontamineringar). I de kontaminerade spårproverna under 2012, som var 8 stycken, kom kontamineringarna från personal på SKL och vid Polisen.39
Det fanns i december 2012
Utredningen av kontamineringar
Om ett kontrollprov, som normalt ska vara
39 Uppgifter från SKL.
51
En sökning i elimineringsdatabasen har för dessa prov, och prover som tagits för att undersöka förekomsten av s.k. bakgrunds- DNA, ingen betydelse för att upptäcka bl. a kontamineringar av spår, men däremot för att följa upp förekomsten av DNA i syfte att förbättra rutiner och förebygga framtida kontamineringar. Ett prov från en topsning innehåller så mycket DNA från den topsade personen att en kontaminering inte riskerar att täcka över det ursprungliga DNA:t, utan kontamineringen visar sig som en blandbild. Elimineringsdatabasen fyller här samma funktion som när det gäller kontrollprover och
När det gäller kontamineringar i ett spårprov kan kontamineringen också visa sig som en blandbild av DNA. Ur ett kvalitetssäkringsperspektiv, men även för brottsutredningen, kan det vara av värde att i sådana fall utreda om blandbilden till någon del består av en
I de fall en kontaminering leder till att DNA:t i det ’’riktiga’’ spårprovet täcks över av den andra
Den vidare utredningen av en överensstämmelse mellan en
52
till laboratoriechefen, som sedan beslutar om det ska lämnas till Polisens enhet för internutredningar.40 Fallet hanteras då enligt förordningen (2010:1031) om handläggning av ärenden om brott av anställda inom polisen m.m. Anställda vid SKL hör i sammanhanget till kretsen anställda vid Polisen (2 §). I förordningen föreskrivs att felaktigt handlande i samband med arbetet ska bli föremål för ett särskilt utredningsförfarande, som bl.a. innebär att det är Rikspolisstyrelsen som handlägger ärendet, att ärendet omedelbart ska överlämnas till åklagare och att särskilda rutiner gäller vid förhör (9 – 12 §§). Även brott som inte har samband med arbetet ska utredas enligt dessa särskilda rutiner (5 §). För personer som ligger utanför den krets som anses som anställda inom polisen tillämpas det vanliga brottsutredningsförfarandet.
Datainspektionens tillsynsärende
Datainspektionen inledde den 23 mars 2012 tillsyn mot SKL i syfte att kontrollera om den personuppgiftsbehandling som sker i laboratoriets elimineringsdatabas är förenlig med gällande rätt.41 Sedan SKL yttrat sig meddelade Datainspektionen beslut i ärendet den 28 maj 2012. Datainspektionen fann i sitt beslut att den jämförelse som SKL gör mellan
40Se vidare om hanteringen av kontamineringar i Rikspolisstyrelsens Förstudierapport
41Dnr
53
När det gäller frågan om elimineringsdatabasen lagligen kan föras och användas för icke brottsbekämpande ändamål anförde Datainspektionen att det finns omständigheter som talar starkt för att den behandling av
Datainspektionens beslut har överklagats av Rikspolisstyrelsen med yrkande att beslutet upphävs. Beslutet har således inte vunnit laga kraft.
Rikspolisstyrelsen anförde i sitt överklagande bl.a. att verksamheten vid SKL inte sker i brottsbekämpande syfte och alltså inte heller den behandling av personuppgifter som sker i elimineringsdatabasen, varför polisdatalagen inte är tillämplig på denna
54
hantering. Rikspolisstyrelsen hänvisade i denna del till regeringens ställningstagande i prop. 2009/10:85, att SKL:s verksamhet inte är brottsbekämpande i vedertagen mening och att polisdatalagen därför inte bör omfatta SKL:s personuppgiftsbehandling.
Datainspektionen bemötte frågan om elimineringsdatabasen förs i brottsbekämpande verksamhet med två exempel. Ett exempel avsåg att en hantverkare lämnar ett prov och får sin DNA- profil registrerad i elimineringsdatabasen. Profilen gallras inte, och tre år senare säkras ett
55
56
4 Rättsliga utgångspunkter
4.1Urval och disposition av de rättsliga utgångspunkterna
Utredningsuppdragets första del avser att överväga om personuppgiftsbehandlingen i allmänhet vid SKL behöver en särskild författningsreglering. Rättsliga utgångspunkter för detta arbete är de rättskällor som avser dels personuppgiftsbehandling i stort, dels de som rör personuppgiftsbehandling inom brottsbekämpande verksamhet. Även utredningsuppdragets andra del, frågan om författningsreglering av elimineringsdatabasen, rör frågor om personuppgiftsbehandling i stort, eftersom behandlingen av en samling
När det gäller elimineringsdatabasen innefattar inhämtandet av personuppgifter en fysisk provtagning i form av ett salivprov för att få material till en
57
Om andra personer än arbetstagare ska ingå i elimineringsdatabasen är det framförallt personer som erbjuder varor eller tjänster till SKL som myndighet. Eftersom deras affärsmässiga förhållande till SKL kan komma att påverkas av en eventuell reglering, behandlas också regeringsformens skydd av närings- och yrkesfriheten samt lagen (2007:1091) om offentlig upphandling som rättsliga utgångspunkter.
Lagen (2006:351) om genetisk integritet m.m. reglerar undersökningar som syftar till att ge information om människans arvsmassa och resultatet av sådana undersökningar. Lagens tillämpningsområde är begränsat till sådana undersökningar som sker inom hälso- och sjukvården eller i medicinsk forskning (1 kap. 5 §). Denna lagstiftning berörs därför inte närmare.
4.2Personuppgiftsbehandling
4.2.1Internationella överenskommelser
Europakonventionen
Enligt artikel 8 i Europakonventionen har var och en rätt till respekt bl.a. för sitt privat- och familjeliv. En offentlig myndighet får inte inskränka åtnjutandet av denna rättighet annat än med stöd av lag och om det i ett demokratiskt samhälle är nödvändigt med hänsyn till statens säkerhet, den allmänna säkerheten, landet ekonomiska välstånd eller till förebyggande av oordning eller brott eller till skydd för hälsa eller moral eller för andra personers fri- och rättigheter. I uttrycket ”med stöd av lag” ligger, utöver att intrånget ska ha stöd i nationell lag, att den åberopade lagen måste uppfylla vissa minimikrav i fråga om kvalitet och tydlighet, bl.a. ska en rättighetsinskränkande tolkning av lagen kunna förutses.
58
Dataskyddskonventionen
Bestämmelser av betydelse för automatisk databehandling av personuppgifter finns också i Europarådets konvention från år 1981 om skydd för enskilda vid automatisk databehandling av personuppgifter (dataskyddskonventionen). Samtliga medlemsstater i EU har ratificerat konventionen.
Dataskyddskonventionens innehåll kan ses som en precisering av skyddet enligt artikel 8 i Europakonventionen för enskilda vid automatisk databehandling. Dataskyddskonventionens syfte är att säkerställa den enskildes rätt till personlig integritet i samband med behandling av personuppgifter och att förbättra förutsättningarna för ett fritt informationsflöde över gränserna.
Dataskyddskonventionen innehåller principer för dataskydd som de konventionsanslutna staterna måste iaktta i sin nationella lagstiftning. Personuppgifter som är föremål för automatisk databehandling ska hämtas in och behandlas på ett korrekt sätt för särskilt angivna ändamål. Vidare måste uppgifterna vara relevanta för ändamålen och får inte senare användas på ett sätt som är oförenligt med dessa. Uppgifterna måste också vara riktiga och aktuella och de får inte bevaras längre än vad som är nödvändigt för ändamålen.
Dataskyddskonventionens roll som grundläggande dokument för automatiserad behandling av personuppgifter inom EU har i princip övertagits av dataskyddsdirektivet (se vidare nedan). Direktivet omfattar dock inte behandling av personuppgifter inom t.ex. statens verksamhet på straffrättens område. På detta område är alltså dataskyddskonventionen fortfarande av betydelse.42
42 Jfr prop. 2009/10:85 s. 47.
59
4.2.2
Unionens stadga om de grundläggande rättigheterna
Lissabonfördraget innebär att EU:s stadga om de grundläggande rättigheterna, tillkännagiven av parlamentet, rådet och kommissionen den 7 december 2000 och anpassad den 12 december 2007, är rättsligt bindande.43 I artikel 8 i stadgan föreskrivs bl.a. att var och en har rätt till skydd av de personuppgifter som rör honom eller henne och att personuppgifter ska behandlas lagenligt för bestämda ändamål och på grundval av den berörda personens samtycke eller någon annan legitim och lagenlig grund. Av artikel 51 följer att den riktar sig till EU:s egna organ och institutioner och att den blir tillämplig för medlemsstaterna endast i de fall där de tillämpar
Dataskyddsdirektivet
Dataskyddsdirektivet syftar till att garantera en hög och i alla medlemsstater likvärdig skyddsnivå när det gäller enskilda personers fri- och rättigheter med avseende på behandling av personuppgifter. Direktivet är inte tillämpligt på bl.a. statens verksamhet på straffrättens område. Medlemsstaterna får inom den ram som direktivet anger närmare precisera villkoren för när behandling av personuppgifter får förekomma. Sådana preciseringar får dock inte hindra det fria flödet av personuppgifter inom unionen.
Dataskyddsdirektivet har i svensk rätt genomförts genom personuppgiftslagen (1998:204). Lagen har gjorts generellt tilllämplig och omfattar alltså även sådan verksamhet som faller utanför direktivets tillämpningsområde. Lagen anger den grundläggande ramen för behandling av personuppgifter. Särreglering i lag eller förordning gäller emellertid framför bestämmelserna i personuppgiftslagen.
43 Se artikel 6.1 i
60
En särreglering av personuppgiftsbehandling kan vara utformad så att personuppgiftslagens regler helt ersätts, eventuellt med hänvisningar till vissa bestämmelser i personuppgiftslagen. Polisdatalagen är ett exempel på en särreglering som är uppbyggd på det sättet. För det flesta registerförfattningar gäller istället att de ska tillämpas utöver den generella lagstiftningen i personuppgiftslagen. Regeringen anförde i propositionen Behandling av personuppgifter inom studiestödsområdet att en sådan författningsteknik bl.a. har den fördelen att risken blir mindre att dataskyddsdirektivet inte blir fullt och korrekt genomfört på det berörda området, eftersom endast de föreslagna avvikelserna från personuppgiftslagen behöver prövas i förhållande till direktivets bestämmelser.44
Dataskyddsrambeslutet
Rådets rambeslut 2008/977/RIF av den 27 november 2008 om skydd av personuppgifter som behandlas inom ramen för polissamarbete och straffrättsligt samarbete (dataskyddsrambeslutet) reglerar dataskyddet inom angivna områden. Dataskyddsrambeslutet innebär förpliktelser för medlemsstaterna endast i den utsträckning de behandlar personuppgifter som överförts från ett land till ett annat och har alltså ingen relevans för personuppgifter som samlas in och behandlas inom medlemsstaten.
Dataskyddsrambeslutet är ännu inte helt genomfört i svensk rätt. Regeringen har nyligen överlämnat propositionen Dataskydd vid europeiskt polissamarbete och straffrättsligt samarbete45 till riksdagen. I propositionen föreslås en ny lag med vissa bestämmelser om skydd för personuppgifter vid polissamarbete och straffrättsligt samarbete inom EU, för att Sverige fullt ut ska genomföra dataskyddsrambeslutet.
44Prop. 2008/09:96 s. 31.
45Prop. 2012/13:73.
61
Dataskyddspaketet
Den 25 januari 2012 presenterade kommissionen ett förslag till en genomgripande reform av EU:s regler om skydd för personuppgifter. Paketet omfattar dels en förordning med en generell reglering som ska ersätta dataskyddsdirektivet, dels ett nytt direktiv med särregler för den brottsbekämpande sektorn som ska ersätta dataskyddsrambeslutet. Till skillnad från dataskyddsrambeslutet ska direktivet inte omfatta endast utbyte av information över gränserna utan även nationell personuppgiftsbehandling inom den brottsbekämpande sektorn.
Kommissionens förslag ansluter i stor utsträckning till de rättsakter som ska ersättas, men innehåller också vissa nyheter. Om förslagen går igenom skulle det få till konsekvens att den föreslagna förordningen ersätter inte bara dataskyddsdirektivet utan också den svenska personuppgiftslagen, men med ett visst utrymme för medlemsstaterna att behålla en särreglering inom vissa områden. Det föreslagna direktivet kommer att få konsekvenser för de registerförfattningar som gäller på direktivets område, t.ex. polisdatalagen.
Den svenska regeringen anser att Sverige bör välkomna en reform av EU:s dataskyddsregelverk i syfte att åstadkomma ett heltäckande och effektivt skydd för personuppgifter, men att vissa frågor bör analyseras närmare och följas upp under förhandlingarnas gång.46
Riksdagen har vid en subsidiaritetsprövning funnit att inget av förslagen är förenligt med subsidiaritetsprincipen och har överlämnat ett motiverat yttrande till Europaparlamentets ordförande, ordförande för Europeiska unionens råd och Europeiska kommissionens ordförande.47 Den subsidiaritetsprövning riksdagen företagit ska göras av alla de nationella parlamenten när det gäller lagförslag inom områden där både EU och medlemsländerna har befogenhet att stifta lagar, enligt artikel 5 i
46Regeringskansliets faktapromemorior 2011/12:FPM 117 och 119.
47Rskr. 2011/12:175.
62
subsidiaritetsprövning framgår av ett protokoll till fördraget. De nationella parlamenten är tilldelade ett visst antal röster var och om en tredjedel av antalet röster är av den motiverade ståndpunkten att lagförslaget står i strid med subsidiaritetsprincipen, ska lagförslaget omprövas. Omprövningen kan leda till att lagförslaget vidhålls, ändras eller förkastas. Inom det ordinarie lagstiftningsförfarandet, till vilket dataskyddspaketet hör enligt artikel 16 (2) i
Prümrådsbeslutet
Rådets beslut 2008/615/RIF av den 23 juni 2008 om ett fördjupat gränsöverskridande samarbete, särskilt för bekämpning av terrorism och gränsöverskridande brottslighet, innehåller bestämmelser som syftar till att fördjupa det gränsöverskridande samarbetet mellan de myndigheter inom EU som ansvarar för att förebygga och utreda brott. I huvudsak ska detta ske genom förenklade former för utbyte av
48Protokoll (nr 2) om tillämpning av subsidiaritets och proportionalitetsprinciperna, artikel 7. Om 55 % av rådsmedlemmarna eller en majoritet av avgivna röster i Europaparlamentet anser att förslaget inte är förenligt med subsidiaritetsprincipen ska det inte behandlas vidare. (artikel 7 punkten 3 b]).
492 § andra stycket 1 g) förordning (1989:773) med instruktion för Rikspolisstyrelsen.
63
4.2.3Regeringsformen
Skydd mot intrång i den personliga integriteten
Enligt 2 kap. 6 § andra stycket regeringsformen ska var och en gentemot det allmänna vara skyddad mot betydande intrång i den personliga integriteten, om det sker utan samtycke och innebär övervakning eller kartläggning av den enskildes personliga förhållanden. Skyddet mot intrång får, på samma sätt som skyddet mot påtvingat kroppslig ingrepp i 2 kap. 6 § första stycket regeringsformen, endast begränsas i lag och under förutsättning bl.a. att begränsningen sker endast för att tillgodose ändamål som är godtagbara i ett demokratiskt samhälle och att begränsningen inte går utöver vad som är nödvändigt med hänsyn till det ändamål som har föranlett den (2 kap. 20 – 21 §§ regeringsformen).
Som exempel på åtgärder som kan innebära kartläggning anges i propositionen En reformerad grundlag bl.a. registrering i polisens fingeravtrycks- eller
Det är i första hand personuppgiftslagen som ska tillgodose regeringsformens krav i fråga om integritetsskydd när det gäller automatiserad personuppgiftsbehandling.52
I propositionen Genomförande av Prümrådsbeslutet – automatiserat uppgiftsutbyte gjorde regeringen bedömningen att möjligheten för utländska myndigheter att söka i vissa svenska register med direktåtkomst krävde lagstöd, bl.a. med hänvisning till att de nya möjligheterna till sökningar måste antas leda till
50Prop. 2009/10:80 s. 180.
51A. prop. s. 183.
52Jfr prop. 2009/10:85 s. 67.
64
fler förfrågningar om att få ut personuppgifter, vilket ansågs vara en ökad kartläggning av enskilda.53
4.2.4Tryckfrihetsförordningen
Allmänhetens rätt att ta del av allmänna handlingar regleras dels i tryckfrihetsförordningen, dels i offentlighets- och sekretesslagen (2009:400). Att lämna ut en allmän handling som innehåller personuppgifter är att anse som en behandling av personuppgifterna.54 Personuppgiftslagens bestämmelser inskränker dock inte rätten att ta del av allmänna handlingar. Detta följer redan av 2 § och av en vedertagen princip om att grundlag har företräde framför annan lag vid en inhemsk normkonflikt (principen om lex superiori). I förtydligande syfte finns också en bestämmelse i 8 § personuppgiftslagen som anger att bestämmelserna i personuppgiftslagen inte ska tillämpas om det skulle inskränka en myndighets skyldighet enligt 2 kap. tryckfrihetsförordningen. Bestämmelser om sekretess till skydd för en enskilds intressen utgör därmed ett grundläggande integritetsskydd när det gäller personuppgifter i allmänna handlingar.
En handling är allmän under vissa förutsättningar, bl.a. att den förvaras hos myndigheten. När det gäller uppgifter i olika former av elektroniska medier, enligt lagtexten ”upptagningar som kan läsas, avlyssnas eller på annat sätt uppfattas endast med tekniskt hjälpmedel” anses sådana förvarade hos myndigheten om upptagningen är tillgänglig för myndigheten med tekniskt hjälpmedel som myndigheten själv utnyttjar. Varje sammanställning av uppgifter som en myndighet kan göra ur en upptagning för automatiserad behandling är också en allmän handling om sammanställningen kan ske med ”rutinbetonade åtgärder” (2 kap 3 § tryckfrihetsförordningen). Sådana sammanställningar brukar kallas potentiella (elektroniska) handlingar. Myndigheten måste ta fram och lämna ut en potentiell handling även om samman-
53Prop. 2010/11:129 s. 51.
54Prop. 1997/98:44 s. 43.
65
ställningen inte behövs för myndighetens egen verksamhet och även om myndigheten i den egna verksamheten bara får behandla förekommande personuppgifter för vissa särskilda ändamål.55
Om en sammanställning innehåller personuppgifter och myndighet enligt lag eller förordning saknar befogenhet att göra sammanställningen tillgänglig anses sammanställningen däremot inte förvarad hos myndigheten, och är därmed inte en allmän handling. Detta framgår av 2 kap. 3 § tredje stycket tryckfrihetsförordningen (begränsningsregeln).
Bestämmelser som förbjuder en myndighet att använda vissa sökbegrepp innebär att myndigheten saknar befogenhet att ta fram en sammanställning utifrån det förbjudna sökbegreppet och en sammanställning kan därmed under inga förhållanden lämnas ut enligt offentlighetsprincipen. Bestämmelser om tillåtna sökbegrepp har alltså betydelse för skyddet av personuppgifterna, utöver de sekretessbestämmelser som kan gälla för uppgifterna.
Potentiella elektroniska handlingar ska skiljas från s.k. färdiga elektroniska handlingar, t.ex.
4.2.5Personuppgiftslagen
Tillämpningsområde
Personuppgiftslagen (1998:204) innehåller generella bestämmelser för all behandling av personuppgifter. Begreppet personuppgift avser all information som direkt eller indirekt kan hänföras till en fysisk person som är i livet (3 §). Frågan om uppgifterna kan hänföras till en individ ska avgöras med beaktande av alla hjälpmedel som rimligen kan komma att användas för att
55Se bl.a. SOU 2004:6 s. 246 och prop. 2007/08:160 s. 69 f., jfr prop. 2009/10:85 s. 154 f.
56Prop. 2001/02:70 s. 20 f.
66
identifiera personen i fråga, antingen av den personuppgiftsansvarige eller av någon annan person. Om syftet med behandlingen är att på något sätt identifiera individer, bör man vid en rättslig bedömning kunna utgå ifrån att den personuppgiftsansvarige eller någon annan har eller kommer att ha tillgång till de hjälpmedel som behövs för att det i de fall det bedöms nödvändigt ska vara möjligt att identifiera de personer som förekommer i materialet. I ett sådant fall bör utan vidare samtliga uppgifter som ingår i materialet och som rör enskilda individer anses utgöra personuppgifter. Detta gäller även i den utsträckning det skulle visa sig att vissa individer som förekommer i materialet i praktiken inte går att identifiera.57
Begreppet behandling omfattar i stort sett allt man kan göra med personuppgifterna, exempelvis att samla in, söka, registrera, bevara och sprida uppgifter. Lagen omfattar i princip endast behandling av personuppgifter som är helt eller delvis automatiserad, men även manuell behandling kan omfattas under vissa förhållanden.
Personuppgiftslagen ger ett grundläggande integritetsskydd när det gäller behandling av personuppgifter. Särreglering i lag eller förordning gäller i princip framför bestämmelserna i personuppgiftslagen (2 §). Eftersom personuppgiftslagen bygger på dataskyddsdirektivet får dock en särreglering endast avvika från personuppgiftslagens bestämmelser om särregleringen är förenlig med dataskyddsdirektivet, under förutsättning dock att särregleringen omfattas av direktivets tillämpningsområde (jfr avsnitt 4.2.2 om dataskyddsdirektivet).
Undantag för behandling i ostrukturerat material
Den 1 januari 2007 trädde vissa ändringar av personuppgiftslagen i kraft, som innebär att lagen i viss utsträckning numera är utformad enligt en s.k. missbruksmodell.58 En bestämmelse infördes i
57SOU 2009:44 s. 91.
58Prop. 2005/06:173.
67
5 a § som innebär att behandling av personuppgifter i ostrukturerat material är tillåten i stort sett utan andra begränsningar än att den registrerades personliga integritet inte får kränkas. Personuppgifter kan därför behandlas i ostrukturerat material utan hänsyn till bl.a. bestämmelserna i 9 och 10 §§ om grundläggande krav på behandlingen och förutsättningar för att behandlingen ska vara tillåten.
De grundläggande kraven på behandling
De grundläggande kraven på behandling av personuppgifter följer av 9 § i lagen. Den personuppgiftsansvarige ska bl.a. se till att personuppgifter behandlas bara om det är lagligt, att personuppgifter samlas in bara för särskilda, uttryckligt angivna och berättigade ändamål och att personuppgifter inte behandlas för något ändamål som är oförenligt med det för vilket uppgifterna samlades in. Att uppgifterna inte behandlas för något ändamål som är oförenligt med det för vilket de samlades utgör den s.k. finalitetsprincipen.
I 9 § i) finns en bestämmelse om bevarande av personuppgifter som anger att bevarande inte får ske under längre tid än vad som är nödvändigt med hänsyn till ändamålet med behandlingen. Enligt 8 § andra stycket hindrar inte denna bestämmelse att allmänna handlingar arkiveras. Enligt 10 § arkivlagen (1990:782) får allmänna handlingar gallras, men det får inte ske på ett sådant sätt att ändamålen med arkivbildningen inte kan tillgodoses. En- ligt 14 § arkivförordningen (1991:446) får statliga myndigheter bara gallra allmänna handlingar i enlighet med föreskrifter eller beslut av Riksarkivet om inte särskilda gallringsföreskrifter finns i lag eller förordning. Utgångspunkten i en statlig myndighets verksamhet är alltså att handlingar, och därmed personuppgifter, ska bevaras för arkivändamål om inga särskilda gallringsbestämmelser gäller för verksamheten. Datainspektionen har uttalat att bestämmelserna om arkivering inte kan anses ge en myndighet rätt att fortlöpande lagra stora mängder integritetskänsliga upp-
68
gifter om en registrerad i det verksamhetssystem som används i den dagliga verksamheten, när dessa inte längre behövs för handläggningen i det enskilda ärendet.59
Historiska, statistiska och vetenskapliga ändamål
Enligt 9 § andra – fjärde styckena gäller vissa särskilda bestämmelser för personuppgifter som behandlas för historiska, statistiska eller vetenskapliga ändamål. Enligt andra stycket ska en sådan behandling inte anses oförenlig med de ändamål för vilka uppgifterna samlades in, dvs. dessa ändamål är alltid förenliga med finalitetsprincipen. Enligt tredje stycket kan personuppgifter bevaras under längre tid än vad som är nödvändigt med hänsyn till det ursprungliga ändamålet med behandlingen, dock inte under längre tid än vad som behövs för det aktuella historiska, statistiska eller vetenskapliga ändamålet. En behandling för sådana ändamål får inte användas för att vidta åtgärder mot den registrerade annat än om denne lämnat sitt samtycke eller om det annars finns synnerliga skäl med hänsyn till den registrerades vitala intressen.
Tillåten behandling av personuppgifter
I 10 § anges att personuppgifter får behandlas antingen om den registrerade har lämnat sitt samtycke till behandlingen eller om behandlingen är nödvändig av olika angivna skäl, bl.a. för att den personuppgiftsansvarige ska kunna utföra en arbetsuppgift i samband med myndighetsutövning. De ändamål som upptas i bestämmelsen i punkterna a) – f) är uttömmande och behandling får alltså inte ske i några andra fall om den registrerade inte lämnat sitt samtycke. För att ett samtycke ska vara giltigt och kunna läggas till grund för en behandling krävs att det är fråga om en frivillig, särskild och otvetydig viljeyttring från den registrerades
59 Beslut den 16 januari 2012, dnr
69
sida. Det förutsätter också att information om behandlingen har lämnats till den registrerade innan denne samtycker till behandlingen. Om en person befinner sig i en beroendeställning till den som avser att behandla personuppgifterna, som t.ex. en arbetstagare i förhållande till en arbetsgivare, kan det ibland ifrågasättas om ett samtycke verkligen lämnats frivilligt. Det bör i sådana fall stå klart att arbetstagaren har ett helt fritt val och även möjlighet att senare ta tillbaka sitt samtycke utan att det medför några nackdelar för honom eller henne.60 Samtycket kan när som helst återkallas (12 §).
Genom bestämmelsen i punkten e), som avser behandling i samband med myndighetsutövning, är den del av personuppgiftsbehandlingen som sker inom sakverksamheten i den offentliga sektorn tillåten.61 Begreppet myndighetsutövning torde ha en
Känsliga personuppgifter och personnummer
Behandling av känsliga personuppgifter (ras eller etniskt ursprung, politiska åsikter, religiös eller filosofisk övertygelse, medlemskap i fackförening och personuppgifter som rör hälsa eller sexualliv) är i princip förbjuden (13 §) utom i vissa särskilt angivna undantagsfall, bl.a. inom hälso- och sjukvården (15 – 19 §§). Regeringen eller den myndighet som regeringen bestämmer får också meddela föreskrifter med ytterligare undantag, om sådana behövs med hänsyn till ett viktigt allmänt intresse (20 §). I 8 § personuppgiftsförordningen (1998:1191) finns ett sådant undantag som innebär att känsliga personuppgifter får behandlas
60SOU 2009:44 s. 111 f.
61Öman och Lindblom, Personuppgiftslagen, 1 oktober 2012, Zeteo, kommentaren till
10§.
62SOU 1997:39 s. 362.
70
av en myndighet i löpande text om uppgifterna har lämnats i ett ärende eller är nödvändiga för handläggningen av det.
Personnummer eller samordningsnummer får bara behandlas utan samtycke om det är klart motiverat med hänsyn till ändamålet med behandlingen, vikten av en säker identifiering eller något annan beaktansvärt skäl (22 §).
Bestämmelser om den behandlades rättigheter, tillsyn m.m.
Personuppgiftslagen innehåller bestämmelser som tillförsäkrar den registrerade vissa rättigheter, bl.a. rätt till information om den behandling av personuppgifter som utförs av den personuppgiftsansvarige. Informationen ska lämnas både självmant av den personuppgiftsansvarige och på ansökan av den enskilde (23 – 26 §§). Informationsplikten viker dock för bestämmelser om sekretess och tystnadsplikt (27 §). Om personuppgifter samlas in från någon annan än den registrerade behöver information inte lämnas till denne om det finns bestämmelser om registrering och utlämnande i lag eller annan författning (24 § andra stycket).
Den registrerade kan också kräva rättelse, blockering eller utplåning av oriktiga personuppgifter (28 §) och har rätt till skadestånd under vissa förutsättningar (48 §). Personuppgiftslagen innehåller vidare bestämmelser om bl.a. säkerhetsåtgärder vid personuppgiftsbehandlingen och tillsyn över behandlingen.
4.2.6Offentlighets- och sekretesslagen
Sekretess i brottsutredningar
Sekretess gäller för uppgift som hänför sig till förundersökning i brottmål om det kan antas att syftet med beslutade eller förutsedda åtgärder motverkas om uppgiften röjs (18 kap. 1 § offentlighets- och sekretesslagen [2009:400]). Sekretessen gäller inte bara uppgifter som hänför sig till en viss förundersökning utan
71
också, vilket framgår av 18 kap. 1 § andra stycket, till uppgift i annan brottsförebyggande eller brottsutredande verksamhet som bedrivs av bl.a. polismyndigheter. Förundersökningssekretessen följer med uppgiften och gäller även om uppgiften lämnas ut till en annan myndighet som i och för sig inte bedriver brottsförebyggande eller brottsbeivrande verksamhet.63 För en myndighet som biträder t.ex. en polismyndighet i dess verksamhet att förebygga, uppdaga, utreda eller beivra brott gäller, enligt 18 kap. 3 §, samma sekretess som i 18 kap 1 och 2 §§. Denna bestämmelse har ansetts tillämplig på en utredning för uppgifter i ett utlåtande rörande isotopundersökning av kulor från ett skjutvapen som utfördes på SKL.64 Både för de uppgifter som SKL tar emot från Polisen i ett undersökningsärende och för uppgifter som ingår i de utlåtanden och andra handlingar som SKL framställer finns alltså tillämpliga sekretessbestämmelser.
Sekretess kan också gälla för uppgifter om enskildas ekonomiska och personliga förhållanden som förekommer i förundersökningar om det inte står klart att uppgiften kan röjas utan att den enskilde eller någon närstående till denne lider skada eller men (35 kap. 1 § första stycket 1). Under samma förutsättningar gäller sekretess också i annan verksamhet som syftar till att utreda brott och som bedrivs av ett antal uppräknade myndigheter, däribland SKL (35 kap. 1 § första stycket 4). Sekretessen gäller också för
Om SKL blir en del av Polismyndigheten enligt Polisorganisationskommitténs förslag kommer SKL inte längre att nämnas i 35 kap. 1 §, utan bestämmelsen blir tillämplig på verksamheten inom SKL genom att den gäller för den nya Polismyndighetens verksamhet.65 SKL kommer då inte längre vara en självständig myndighet som biträder en polismyndighet, utan förundersök-
63Lenberg m.fl., Offentlighets- och sekretesslagen, 1 juli 2012, Zeteo, kommentaren till
18kap. 1 §.
64RÅ 1988 not. 104.
65SOU 2012:78 del 1 s. 55 f. och del 2 s. 331.
72
ningssekretessen enligt 18 kap. 1 § får förutsättas bli direkt tilllämplig på SKL:s verksamhet.
Sekretess om ett utlämnande strider mot bestämmelserna i personuppgiftslagen
En sekretessbestämmelse som är generellt tillämplig på alla myndigheter i alla sorters verksamheter finns i 21 kap. 7 § offentlighets- och sekretesslagen. Enligt bestämmelsen gäller sekretess för en personuppgift om ett utlämnande skulle medföra att uppgiften behandlas i strid med personuppgiftslagen. En tillämpning av bestämmelsen aktualiseras främst om någon begär att få del av ett stort antal personuppgifter, ett s.k. massuttag, eller selekterade uppgifter.66
4.2.7Särskilda s.k. registerförfattningar67
De allmänna bestämmelserna för behandling av personuppgifter finns alltså i personuppgiftslagen. Sedan slutet av
Syftet med registerförfattningar är att anpassa lagstiftningen till de särskilda behov som finns inom olika verksamhetsområden och samtidigt göra avvägningar mellan behovet av effektivitet i berörd verksamhet och behovet av skydd för enskildas integritet. Den uttalade ambitionen är att myndighetsregister med
66SOU 2010:4 s. 149 och 153 samt, för en utförlig redogörelse för regelns tillämpning, avsnitt 3.8 i sin helhet.
67För en allmän beskrivning av registerförfattningarna, se t.ex. Öman, Sören, Särskilda registerförfattningar, Festskrift till Peter Seipel, 2006, s. 685, SOU 2010:4 s. 132 – 143, SOU 2010:76 s. 317 – 338 eller prop. 2008/09:96 s. 56 f.
73
ett stort antal registrerade och ett särskilt känsligt innehåll ska regleras särskilt i lag.68
Registerförfattningarna innehåller, med hänsyn till att de är anpassade till en viss verksamhets särskilda behov, olika bestämmelser. Den behandling som regleras brukar vara samma behandling som omfattas av personuppgiftslagen, dvs. behandling som sker helt eller delvis automatiserat, eller manuellt i registerform. Tillämpningsområdet för en registerförfattning kan utformas som en sådan personuppgiftsbehandling som sker i en viss myndighets, eller myndighetsstrukturs, verksamhet, eventuellt verksamhet av visst slag. Regelmässigt innehåller registerförfattningarna bestämmelser om för vilka ändamål personuppgiftsbehandlingen får ske och vilka personuppgifter som får behandlas för dessa ändamål. Ändamålen kan vara uppdelade i primära och sekundära, där de primära avser den personuppgiftsbehandling myndigheten måste utföra för att kunna handlägga ärenden i sin egen verksamhet, medan de sekundära avser utlämnande, i första hand till andra myndigheter, av uppgifter som samlats in för de primära ändamålen.
Andra bestämmelser som kan förekomma i registerförfattningarna är särskilda bestämmelser om behandling av känsliga personuppgifter, begränsningar av tillåtna sökbegrepp och vad som ska gälla för utlämnande av uppgifter i elektronisk form.
Eftersom personuppgiftslagens bestämmelser om rättelse och skadestånd (28 och 48 §§) avser personuppgiftsbehandling enligt den lagen, brukar också registerförfattningarna ta upp en hänvisning till dessa bestämmelser.
68 Prop. 1997/98:44 s. 41 och KU 1997/98:18 s. 43 samt prop. 1990/91:60 s. 50 och KU 1990/91:11 s. 11.
74
4.2.8Polisdatalagen
Syfte och omfattning
Polisdatalagen (2010:361) trädde i kraft den 1 mars 2012. Syftet med den nya lagen är att ge polisen möjlighet att behandla personuppgifter på ett ändamålsenligt sätt i sin brottsbekämpande verksamhet och att skydda människor mot att deras personliga integritet kränks vid sådan behandling. Lagen reglerar, med några få undantag, all behandling av personuppgifter i Polisens brottsbekämpande verksamhet vid Rikspolisstyrelsen, polismyndigheterna och Ekobrottsmyndigheten. Personuppgiftsbehandling i sådan verksamhet som inte är brottsbekämpande, exempelvis hanteringen av förvaltningsärenden, omfattas inte av lagen utan regleras av personuppgiftslagen.
När det gällde SKL gjorde regeringen bedömningen att laboratoriet inte borde omfattas av den nya polisdatalagen. Regeringen tog vid bedömningen hänsyn till dels att verksamheten vid SKL inte är brottsbekämpande i vedertagen mening, dels att myndighetens personal inte är polismän utan experter inom sina respektive verksamhetsområden och inte har traditionella polisiära uppgifter eller befogenheter. De särskilda krav som gör sig gällande på personuppgiftsbehandling i den brottsbekämpande verksamheten gällde därmed inte för SKL:s verksamhet enligt regeringens uppfattning.69
Polisorganisationskommittén har konstaterat att SKL, när laboratoriet blir en del av den nya Polismyndigheten, åtminstone formellt kommer att omfattas av tillämpningsområdet för registerförfattningar som i dag tillämpas på de 21 polismyndigheterna. Begränsningen i tillämpningsområdet kan, enligt kommittén, åstadkommas genom att en viss författningsbestämmelse begränsas till att avse Polismyndighetens brottsbekämpande verksamhet.70 Kommitténs utgångspunkt tycks alltså ha varit densamma
69Prop. 2009/10:85 s. 71 f.
70SOU 2012:78, del 1, s. 116.
75
som regeringens, nämligen att SKL: verksamhet inte är brottsbekämpande.
Behandlingen av personuppgifter
Polisen får enligt 2 kap. 7 § polisdatalagen behandla personuppgifter om det behövs för att förebygga, förhindra eller upptäcka brottslig verksamhet, utreda eller beivra brott eller fullgöra förpliktelser som följer av internationella åtaganden. Lagen bygger på en uppdelning mellan å ena sidan behandling av ”gemensamt tillgängliga uppgifter” och å andra sidan annan behandling. Ut- trycket gemensamt tillgängliga uppgifter har införts som ett teknikneutralt begrepp i stället för begreppen register och databas som tidigare använts för att definiera uppgifter som har gjorts tillgängliga för en större krets. Med att en uppgift är tillgänglig för en viss person avses att personen i fråga har både faktisk möjlighet att ta del av uppgiften och rättslig behörighet att ta del av den. Det har däremot ingen betydelse om personen rent faktiskt också utnyttjar sin möjlighet att ta del av uppgiften och det saknar betydelse om personen kan påverka uppgiften eller enbart ta del av den.71
För att en uppgift ska anses vara gemensamt tillgänglig ska det alltså vara fler än ett fåtal tjänstemän som har tillgång till uppgiften. Exakt vilket antal personer som avses har inte angetts i författningstexten, men regeringen angav att en tumregel bör vara fler än ett tiotal. Bedömningen i det enskilda fallet kan dock bero på andra omständigheter än antalet personer som har tillgång till uppgiften.72
Bestämmelser om vilka personuppgifter som får göras gemensamt tillgängliga, hur sökning får ske, direktåtkomst till gemensamt tillgängliga uppgifter, m.m. finns i 3 kap. polisdatalagen.
71Prop. 2009/10:85 s. 127.
72A. prop. s. 128 f.
76
Vissa kategorier av personuppgifter behandlas enligt polisdatalagen fortfarande i särskilda register. Bestämmelser för de särskilda registren finns i 4 kap. polisdatalagen och gäller bl.a. register över
Ändamålen för behandlingen av personuppgifter i
Utredningsregistret, som regleras i 4 kap. 4 § polisdatalagen, är ett slags temporärt register. Det får innehålla
En
77
Spårregistret får enligt 4 kap. 6 § polisdatalagen innehålla
Polismyndigheter, Ekobrottsmyndigheten, Åklagarmyndigheten, Tullverket, Kustbevakningen och SKL får enligt 4 kap. 10 § polisdatalagen medges direktåtkomst till register över
Gallringsbestämmelser
Regeringen anförde vid införandet av polisdatalagen att gallringsbestämmelserna i den nya lagen borde syfta till att skydda den personliga integriteten för de personer vilkas uppgifter behandlas automatiserat. Som en allmän utgångspunkt nämndes att det är när stora mängder uppgifter om enskilda personer samlas hos
73 A. prop. s. 144 f.
78
myndigheter som det uppstår oundvikliga integritetsrisker, i synnerhet som dagens teknik tillåter att avancerade sammanställningar av information görs på ett enkelt sätt. En metod att minska integritetskänsligheten är att se till att uppgifter som inte längre behövs för en myndighets verksamhet avlägsnas från myndighetens databaser eller register.74
Polisdatalagen innehåller en generell bestämmelse för bevarande och gallring av personuppgifter i 2 kap. 12 § som innebär att personuppgifter inte får bevaras under längre tid än vad som behövs för något eller några av de i lagen angivna ändamålen. I lagen finns sedan särskilda bestämmelser för hur länge personuppgifter som behandlas automatiserat får bevaras. Bestämmelserna är maximifrister, vilket alltså innebär att uppgifter som dessförinnan inte längre behövs, för något av de angivna ändamålen för behandling, måste gallras tidigare. För uppgifter i de särskilda registren som förs med stöd av lagen, bl.a.
I 3 kap. 15 § finns en upplysningsbestämmelse om att regeringen kan komma att meddela föreskrifter om att personuppgifter får bevaras under längre tid än vad som följer av gallringsbestämmelserna i 3 kap. 14 §. Några sådana bestämmelser har dock inte meddelats i polisdataförordningen.75
74A. prop. s. 205 f.
75I 27 § polisdataförordningen finns en bestämmelse av vilken följer att Riksarkivet, efter samråd med Rikspolisstyrelsen, får meddela föreskrifter om att uppgifter som ska gallras bl.a. enligt 3 kap. 14 § får bevaras för historiska, statistiska eller vetenskapliga ändamål. Att regeringen, eller den myndighet regeringen bestämmer, kan meddela sådana föreskrifter följer av 3 kap 15 § andra stycket.
79
Bevarande av uppgifter i ärenden om utredning av brott
Ärenden om utredning eller beivrande av brott omfattas inte av polisdatalagens gallringsbestämmelser. Brottsanmälningar, förundersökningar och andra brottsutredningar ska alltså inte gallras utan bevaras för arkivändamål i enlighet med arkivlagen. För uppgifter hänförliga till sådana ärenden och som har gjorts gemensamt tillgängliga finns istället bestämmelser om hur länge de får behandlas i polisens brottsbekämpande verksamhet (3 kap. 9 – 12 §§). Förenklat uttryckt är tidsfristen fem år från utgången av det kalenderår då en domstolsprövning avslutades eller förundersökningen avslutades på annat sätt (11 §). Om en brottsanmälan inte lett till förundersökning är den yttersta tidsfristen brottets preskriptionstid (10 §).76
I 3 kap. 12 § finns en upplysning att regeringen kan meddela föreskrifter om att vissa kategorier av personuppgifter i ärenden om utredning och beivrande av brott får bevaras i polisens brottsbekämpande verksamhet under längre tid än vad som anges i lagen. Sådana bestämmelser har också meddelats i 20 – 26 §§ polisdataförordningen. Ett tillåtet ändamål för behandling under längre tid än den generella femårsfristen är att behandlingen av uppgifterna av särskilda skäl är nödvändig för att finna samband mellan olika brott eller mellan tänkbara gärningsmän (20 §). Uppgifterna måste dock gallras senast då uppgifterna om den dömde gallras ur belastningsregistret. Uppgifter om en person som inte lett till åtal kan också i enskilda fall behandlas om behandlingen är nödvändig för att trots detta kunna lagföra personen som är misstänkt. Uppgifterna om personen kan dock inte behandlas efter det att brottet preskriberats (22 §).77
I polisdataförordningen finns också bestämmelser som gäller egendom som varit föremål för brott (24 §) och barnpornografiska skildringar (26 §). För egendom som varit föremål för brott
76Av samma bestämmelse följer dock att en avskriven brottsanmälan inte längre får behandlas i den brottsbekämpande verksamheten om anledningen till att anmälan inte lett till förundersökning var att den påstådda gärningen inte var brottslig.
77Jfr dock att
80
får sådan behandlas bl.a. för att kunna spåra föremålets användning vid annat brott eller brottslig verksamhet. Ingen maximifrist för gallring har föreskrivits för dessa uppgifter, men personuppgifter som är knutna till egendomen får inte bevaras längre tid än vad som behövs för de angivna ändamålen för behandling (24 §). När det gäller barnpornografiska skildringar ingår de i ett register i en mer traditionell bemärkelse, det s.k. digitala referensbiblioteket över barnpornografiska framställningar. Uppgifterna i det registret ska gallras senast 40 år efter det att de infördes i registret (26 § andra stycket).
I polisdatalagspropositionen anfördes att målsättningen med den nya lagstiftningen i och för sig är att så långt möjligt undvika särreglering av vissa speciella informationssamlingar. Genom möjligheten för regeringen att meddela föreskrifter om längre tid för behandling än vad som följer av polisdatalagen (3 kap. 12 och 15 §§) skapades alltså ändå en möjlighet att ha kvar vissa register genom bestämmelser i förordning. Ett annat exempel på ett traditionellt register som finns kvar är det centrala brottspaningsregistret. Detta register innehåller uppgifter om anmälda allvarligare brott och är avsett att kunna utnyttjas för såväl spaning som brottsutredning. I registret behandlas bl.a. uppgifter om tillvägagångssätt vid brott (modus operandi). Registret behandlas överhuvudtaget inte enligt polisdatalagen till utgången av år 2014 (punkten 2 i ikraftträdande och övergångsbestämmelser till polisdatalagen). Därefter ska alltså uppgifter i registret kunna behandlas under längre tid än de generella gallrings- och bevarandebestämmelserna i polisdatalagen med stöd av undantag i polisdataförordningen.78
Gallring i
En uppgift i utredningsregistret gallras när den kan föras in i
78 A. prop. s. 229 f.
81
till annat än böter. Uppgiften gallras också om det inte finns förutsättningar att föra över uppgiften till
Författningsregleringen av
4.3Provtagning för
4.3.1Regeringsformen m.m.
Påtvingat kroppsligt ingrepp
Enligt 2 kap. 6 § första stycket regeringsformen är varje medborgare gentemot det allmänna skyddad mot påtvingat kroppsligt ingrepp även i andra fall än som avses i 2 kap. 4 och 5 §§, vilka omfattar dödsstraff, kroppsstraff och tortyr. Skyddet mot på-
79Prop 1997/98:97 s. 142.
80SOU 1996:35 s. 146.
82
tvingade kroppsliga ingrepp får endast begränsas i lag (2 kap. 20 § regeringsformen). Begränsningar i skyddet får enligt 2 kap. 21 § regeringsformen göras endast för att tillgodose ändamål som är godtagbara i ett demokratiskt samhälle och en begränsning får aldrig gå utöver vad som är nödvändigt med hänsyn till det ändamål som har föranlett den.
I propositionen Utvidgad användning av
Även om ett kroppsligt ingrepp, t.ex. tagande av olika prover som blodprov, alkoholutandningsprov, urinprov eller DNA- prov, äger rum utan fysiskt tvång är det att betrakta som påtvingat om det finns ett krav på den enskilde att lämna provet och kravet är förenat med ett hot om sanktioner.83 Om ett kroppsligt ingrepp däremot är en förutsättning för en förmån, t.ex. en anställning, är ingreppet inte påtvingat.84
81Prop. 2005/06:29 s. 19 f.
82A. prop. s. 25 f.
83Prop. 1993/94:65 s. 111, jfr JO, beslut den 27 mars 2009, dnr
84A. prop. s. 111. När det gäller offentlig anställning finns dock andra bestämmelser som begränsar möjligheten att ställa upp vissa förutsättningar för en anställning, i första hand
12kap. 5 § regeringsformen enligt vilken bestämmelse endast sakliga grunder såsom förtjänst och skicklighet får beaktas vid anställning hos en statlig myndighet.
83
Skyddet mot påtvingat kroppsligt ingrepp för offentligt anställda
2 kap. 6 § regeringsformen tillämpas på anställningsförhållanden inom staten. Arbetsdomstolen har dock uttalat i AD 1984 nr 94 att det inom den offentliga sektorn numera gäller att frågor som rör tjänstemännens anställningsförhållanden i allmänhet är av privaträttslig natur, men att detta inte hindrar att beslut av en myndighet i dess egenskap av arbetsgivare likväl kan vara att betrakta som myndighetsutövning. Om en åtgärd vidtas i det allmännas intresse, uppträder arbetsgivaren i egenskap av det allmänna och regeringsformen är tillämplig.85
Eftersom offentligt anställdas skydd mot påtvingat kroppsligt ingrepp endast får begränsas genom lag finns också lagstöd för vissa åtgärder som kan betraktas som kroppsliga ingrepp. T.ex. innehåller 30 § lagen (1994:260) om offentlig anställning en bestämmelse om att en arbetstagare i en offentlig anställning under vissa förhållanden är skyldig att genomgå hälsoundersökningar. En vägran att genomgå hälsoundersökning enligt bestämmelsen kan i sista hand leda till uppsägning. Att förbudet mot påtvingat kroppsligt ingrepp inte hindrar undersökningar som den anställde samtycker till framgår av förarbetsuttalanden till bestämmelsen.86
4.3.2Rättegångsbalken
Provtagning för
85Se vidare Holmberg m.fl, Grundlagarna, 1 januari 2012, Zeteo, kommentaren till 2 kap.
6§ regeringsformen, och prop. 1993/94:65 s. 111.
86Prop. 1993/94:65 s. 112.
84
beslag eller i förvar. Med kroppsbesiktning avses bl.a. att ta prov från människokroppen och undersökningen av sådana prov.
I 28 kap. 12 a och b §§ finns särskilda bestämmelser om prov för
Polisdatalagens 4 kap. innehåller bestämmelser om hantering av prover för
Enligt 28 kap. 12 b § får kroppsbesiktning genom tagande av salivprov göras även på annan än den som är skäligen misstänkt, om syftet är att genom en
Frågan om samtycke kan ersätta de förutsättningar som anges i 28 kap. rättegångsbalken har behandlats i avsnitt 4.3.1.
Om ett prov för
85
frivilligt lämnat prov kan därmed inte heller jämföras med andra profiler i
4.4SKL:s leverantörer av varor och tjänster
4.4.1Regeringsformen
Regeringsformens skydd för närings- och yrkesfriheten finns i 2 kap. 17 § regeringsformen och innebär att begränsningar i rätten att driva näring eller utöva yrke får införas endast för att skydda angelägna allmänna intressen och aldrig i syfte enbart att ekonomiskt gynna vissa personer eller företag. Bestämmelsen har utformats så att skyddet för närings- och yrkesfriheten tar sin utgångspunkt i den s.k. likhetsprincipen, som anses innebära att alla ska ha möjlighet att konkurrera på lika villkor under förutsättning att de i övrigt uppfyller de krav som kan ställas på t.ex. kompetens. Bestämmelsen utesluter därmed inte möjligheter att föreskriva de inskränkningar i närings- och yrkesfriheten som från allmänna utgångspunkter bedöms angelägna av hänsyn till miljö, säkerhet, utbildning och andra liknande intressen.87
Frågan om vad som kan anses utgöra en begränsning av näringsfriheten och grundlagsenligheten hos begränsningen har aktualiserats i några lagstiftningsärenden, t.ex. med anledning av ett lagförslag om inskränkning i landstingens rätt att överlämna driften av akutsjukhus till annan. Lagrådet efterlyste i sitt yttrande över lagförslaget i lagrådsremissen en analys av hur förslaget förhöll sig till regeringsformens skydd av näringsfriheten, när effekten av lagförslaget var att möjligheterna att driva näring i praktiken begränsades för vissa som bedrev näring genom att ge hälso- och sjukvård.88
Bestämmelsen om skydd för närings- och yrkesfrihet anger inte i vilken form begränsningar i närings- och yrkesfriheten ska beslutas. Enligt huvudregeln i 8 kap 2 § regeringsformen ska
87Prop. 1993/94:117 s. 20 f.
88Prop. 2000/01:36 s. 31 f.
86
sådana föreskrifter beslutas genom lag men med möjlighet enligt 8 kap. 3 § och 8 kap. 10 § regeringsformen till delegering av normgivningskompetensen till regeringen och dess myndigheter eller kommuner.89
4.4.2Lagen om offentlig upphandling
Regler om upphandling återfinns i bl.a. lagen (2007:1091) om offentlig upphandling. I lagen genomförs i huvudsak Europaparlamentets och rådets direktiv 2004/18/EG av den 31 mars 2004 om samordning av förfarandena vid offentlig upphandling av byggentreprenader, varor och tjänster (det s.k. klassiska direktivet). Med offentlig upphandling avses de åtgärder som vidtas av en upphandlande myndighet i syfte att tilldela ett kontrakt eller ingå ett ramavtal avseende varor, tjänster eller byggentreprenader (2 kap. 13 §).
För upphandlingar gäller enligt
89Holmberg m.fl, Grundlagarna, 1 januari 2012, Zeteo, kommentaren till 2 kap. 17 § regeringsformen.
90Bestämmelsen lyder: ”Upphandlande myndigheter skall behandla leverantörer på ett likvärdigt och
91Jfr prop. 2010/11:118 s. 11.
87
mässiga och andra villkor för hur ett kontrakt ska fullgöras (6 kap. 13 §). Villkoren får dock inte vara direkt eller indirekt diskriminerande och inte utgöra hinder för en väl fungerande inre marknad. Villkoren får avgöras i varje enskilt fall och kan endast gälla den del av leverantörens verksamhet som omfattas av det som upphandlas.
I RÅ 2010 ref. 78 bedömdes en fråga om ett landsting hade möjlighet att i en upphandling ställa krav på att upphandlade produkter skulle vara fria från ett visst antibakteriellt ämne p.g.a. miljöskyddsskäl. Ett bolag vars produkter innehöll det aktuella ämnet begärde överprövning och anförde bl.a. att ämnet inte var miljöfarligt och att deras produkter innebar den bäst tillgängliga tekniken med avseende på patienternas vård. Regeringsrätten anförde bl.a. att en upphandlande myndighet har stor frihet när den närmare bestämmer föremålet för en upphandling, så länge den följer de grundläggande kraven på bl.a.
88
5Överväganden och förslag avseende personuppgiftsbehandlingen vid SKL
5.1Grundläggande utgångspunkter
Polisdatalagens tillämpning inom SKL
Polisorganisationskommittén har gjort bedömningen att SKL ska vara en avdelning på nationell nivå i den nya polismyndigheten. SKL:s särskilda uppgifter, att ansvara för laboratorieundersökningar som föranleds av misstanke om brott, samt bedriva annan verksamhet som står i samband därmed (forensiska undersökningar), att inom sitt verksamhetsområde bedriva forensisk forskning samt samla, bearbeta och offentliggöra resultat inom verksamhetsområdet, samt svara för att verksamheten bedrivs på en hög vetenskaplig nivå, ska läggas fast i den nya myndighetsinstruktionen.92 Med beaktande av regeringens ställningstagande som redovisats i avsnitt 3.3, bygger vi våra resonemang på att SKL kommer att bli en del av den nya Polismyndigheten. Den författningsreglering som vi kan komma att anse behövas bör träda i kraft när den nya Polismyndigheten förverkligas, i dagsläget per den 1 januari 2015. En effekt av sammanslagningen av Rikspolisstyrelsen, polismyndigheterna och SKL till Polismyndigheten blir att polisdatalagen (2010:361) kommer att gälla för personuppgiftsbehandlingen även inom SKL, dock endast i den
92 SOU 2012:13 s. 73 och s. 273
89
mån denna personuppgiftsbehandling anses ske i Polisens brottsbekämpande verksamhet.93
Som tidigare redogjorts för (avsnitt 4.2.8) tycks Polisorganisationskommittén, i likhet med regeringen, ha utgått ifrån att SKL inte bedriver brottsbekämpande verksamhet och att olika registerförfattningars tillämpning därmed begränsas för SKL:s del, även om laboratoriet formellt omfattas som en del av den nya Polismyndigheten. Kommittén betonar också att SKL:s opartiskhet och objektivitet i förhållande till Polismyndigheten i övrigt är väsentlig från rättsäkerhetssynpunkt. Som kommittén noterar är dock SKL:s arbete del av en forensisk process som börjar med brottsplatsundersökningen som normalt utförs av Polisens tekniska rotlar eller lokala brottsplatsundersökare. Kommittén anför också att möjligheten att stärka och utveckla en sammanhållen forensisk process ökar genom att SKL blir en del av Polismyndigheten. Kommittén anser att SKL bör ges ett huvudansvar för den forensiska processen och att förutsättningarna för att få en effektiv sådan process från brottsplats till laboratorium bör tas fram inom ramen för genomförandearbetet.94 En gränsdragning mellan å ena sidan de tekniska rotlarnas verksamhet, som i dag anses falla inom Polisens brottsbekämpande verksamhet, och å andra sidan SKL:s undersökningar kan med ett sådant perspektiv verka mindre berättigad. Till detta kommer ambitionerna hos SKL att leverera de s.k. forensiska uppslagen, där SKL självständigt efterforskar förhållanden som SKL förfogar över och som kan ge spaningsuppslag till Polisen.
En grundläggande utgångspunkt i utredningsarbetet är att, oavsett hur man ser på frågan om huruvida SKL:s verksamhet är brottsbekämpande eller inte, det bör finnas en uttrycklig bestämmelse i polisdatalagen som anger tillämpningsområdet avseende SKL. Frågan om polisdatalagen helt eller delvis ska vara tillämplig på SKL:s personuppgiftsbehandling bör heller inte vara avhängig av om man definierar verksamheten som brottsbekäm-
93Se polisorganisationskommitténs förslag till ändring i 1 kap. 2 § polisdatalagen, SOU 2012:78, del 2, s. 341.
94SOU 2012:13 s. 31, 33 och 273 – 275.
90
pande eller inte, utan om bestämmelserna i polisdatalagen är ändamålsenliga för att reglera den personuppgiftsbehandling som sker inom SKL.
Vissa bestämmelser i polisdatalagen förefaller oproblematiska att tillämpa i SKL:s verksamhet. Ett exempel är bestämmelsen om tillgång till personuppgifter, 2 kap. 11 §, enligt vilken varje tjänstemans tillgång till personuppgifter ska begränsas till vad han eller hon behöver för att kunna fullgöra sina arbetsuppgifter. Ett annat exempel är förstås regleringen av
Andra bestämmelser skulle däremot orsaka tillämpningsproblem i SKL:s verksamhet. Det gäller bl.a. bestämmelserna om ’’gemensamt tillgängliga uppgifter’’ som regleras i 3 kap. polisdatalagen. Begreppet gemensamt tillgängliga uppgifter är valt för att skapa en teknikneutral lagstiftning. Gemensamt tillgängliga uppgifter är sådana uppgifter som fler än ett fåtal personer har tillgång till, oavsett vilken teknik som ger dem tillgänglighet till uppgifterna. Själva begreppet gemensamt tillgängliga uppgifter är alltså i och för sig tillämpbart i vilken verksamhet som helst. Även inom SKL förekommer personuppgifter som är gemensamt tillgängliga i den betydelse som begreppet har i polisdatalagen.
Personuppgifter som får göras gemensamt tillgängliga enligt polisdatalagen är t.ex. personuppgifter som kan antas ha samband med misstänkt brottslig verksamhet som innefattar brott av viss svårhetsgrad, eller uppgifter som behövs för övervakning av en person. Inom SKL är sådana faktorer inte avgörande för behovet att ha personuppgifter gemensamt tillgängliga. Det är istället värdet för den forensiska verksamheten som är avgörande för om uppgifter ur ett undersökningsärende behöver vara tillgängliga t.ex. i de forensiska databaserna.
Samma förhållande gäller polisdatalagens bestämmelser om under vilken tid uppgifter får vara gemensamt tillgängliga. Gallringsbestämmelserna i 3 kap. 14 § tar för det första sin utgångspunkt i av vilken anledning uppgifterna gjorts gemensamt till-
91
gängliga, vilket alltså i princip inte är tillämpbart i SKL:s verksamhet. När det gäller uppgifter i t.ex. förundersökningar omfattas dessa inte av gallringsbestämmelserna, men de får inte vara gemensamt tillgängliga mer än under en viss tidsrymd. Många av uppgifterna i SKL:s verksamhet, även i de forensiska databaserna, kan härledas till förundersökningar. Bedömningen av om de får vara gemensamt tillgängliga och hur länge, utgår i polisdatalagen från förhållanden som har med förundersökningens resultat att göra, dvs. om en person blivit dömd eller inte eller om åtalet eller förundersökningen lagts ned. Dessa omständigheter har ingen direkt relevans för vilken betydelse uppgifter i ett undersökningsärende har i SKL:s verksamhet och kan inte anses ändamålsenliga för att avgöra när uppgifter inte längre ska kunna vara gemensamt tillgängliga inom SKL.
Polisdatalagen är alltså i sin helhet inte ändamålsenlig för att reglera personuppgiftsbehandlingen inom SKL. Detta hindrar inte att vissa bestämmelser i lagen skulle kunna fylla en funktion för personuppgiftsbehandlingen inom SKL, vilket vi återkommer till i avsnitt 5.4.
Personuppgiftsansvar inom Polismyndigheten
Om personuppgiftsansvaret för en viss personuppgiftsbehandling inte följer av en särreglering görs en bedömning av vem som bär ansvaret utifrån den definition som finns i personuppgiftslagen (1998:204). Detta medför vanligtvis inte några problem när det gäller en myndighet.
P.g.a. det skadeståndsansvar som kan drabba den personuppgiftsansvarige kan bara fysiska eller juridiska personer eller myndigheter vara personuppgiftsansvariga. Även om en verksamhet bedrivs i filialer eller organisatoriska enheter är det myndigheten eller den juridiska personen som sådan som anses vara personuppgiftsansvarig.95
95 Öman och Lindblom, Personuppgiftslagen, 1 oktober 2012, Zeteo, kommentaren till 3 §.
92
Oavsett vilken författningsreglering som väljs för personuppgiftsbehandlingen inom SKL kommer det alltså när den nya organisationen genomförts att vara den nya Polismyndigheten som blir personuppgiftsansvarig. Om SKL generellt inte omfattas av polisdatalagen kommer den personuppgiftsansvarige att få hantera att olika regelverk gäller inom myndigheten när det gäller personuppgiftsbehandling. Detta förhållande råder i dag redan p.g.a. polisdatalagens nuvarande tillämpningsområde och bör därför inte vara något problem i sig.
Konstruktionen med SKL som personuppgiftsbiträde för Rikspolisstyrelsen kommer inte att kunna bestå när myndigheterna införlivas i den nya Polismyndigheten. SKL:s hantering av personuppgifter i
Pågående och framtida översyn av registerförfattningarna
I oktober 2011 beslutade regeringen att ge en särskild utredare i uppdrag att se över den s.k. registerlagstiftningen och vissa därmed sammanhängande frågor. Utredningen har antagit namnet Informationshanteringsutredningen.96 Av kommittédirektiven framgår bl.a. följande om bakgrunden till uppdraget. Flera statliga utredningar har påtalat att registerförfattningarna behöver ses över, bl.a. för att skapa ett mer samordnat och enhetligt regelverk, vilket skulle främja bl.a. skyddet av den personliga integriteten. Vidare har Datainspektionen sedan 2005 i sina årsredovisningar pekat på ett allt starkare behov av en översyn och ett samlat grepp när det gäller registerlagstiftningen inom statsförvaltningen. Även Riksrevisionen anser att registerförfattningarna bör ses över.97
I Informationshanteringsutredningens uppdrag ingår att, efter en översiktlig inventering av gällande registerförfattningar
96Ju 2011:11.
97Dir. 2011:86 s. 19 f.
93
och en närmare analys av registerförfattningarna inom tre olika verksamhetsområden, utarbeta en generell modell för hur registerförfattningar bör struktureras, vilka begrepp som bör användas samt hur dessa begrepp bör definieras. Utredarens uppdrag är en del av en översyn av registerlagstiftningen som kommer att ske etappvis med hänsyn till det stora antalet registerförfattningar. Utredningens uppdrag, i den del som avser översynen av registerförfattningarna, ska redovisas senast den 1 december 2014.98
En annan beaktansvärd faktor när det gäller framtiden för registerlagstiftningen i stort är det arbete som pågår inom EU för att skapa ett mer enhetligt skydd för personuppgifter inom unionen och som redogjorts för i avsnitt 4.2.2. Ny gemenskapsrättslig lagstiftning på området kan komma att avsevärt påverka utrymmet för medlemsstaterna att ha kvar olika former av särregleringar som berör skyddet av personuppgifter.
Med beaktande av den pågående Informationshanteringsutredningen och det allmänna behov som finns av enhetlighet, och därmed översyn, av registerlagstiftningen samt det arbete som pågår inom EU, är en grundläggande utgångspunkt i förevarande utredning att det måste finnas särskilt starka skäl att nu införa en registerförfattning för personuppgiftsbehandlingen inom SKL.
5.2Är SKL:s personuppgiftsbehandling förenlig med personuppgiftslagen?
Inledning
Ett skäl att införa en särreglering av personuppgiftsbehandlingen vid en myndighet kan vara att den personuppgiftsbehandling som sker där i något avseende strider mot personuppgiftslagen. I så fall måste ett författningsstöd införas för att möjliggöra att denna personuppgiftsbehandling ska kunna fortsätta.
98 A. dir. s. 20 och 24.
94
Även om en personuppgiftsbehandling sker i enlighet med personuppgiftslagen, kan det i och för sig finnas anledning att införa en särskild författningsreglering, vilket vi återkommer till i avsnitt 5.3. Så länge en personuppgiftsbehandling är i överensstämmelse med personuppgiftslagens krav behöver dock ingen prövning göras av om behandlingen strider mot regeringsformens skydd av den personliga integriteten i 2 kap. 6 § andra stycket, mot
De forensiska undersökningsärendena
Personuppgiftsbehandlingen i de forensiska undersökningsärendena måste till att börja med anses tillåten enligt 10 § e) personuppgiftslagen, dvs. en behandling som är nödvändig för att utföra en arbetsuppgift i samband med myndighetsutövning. Som tidigare redogjorts för (avsnitt 4.2.5 om tillåten behandling av personuppgifter) anses bestämmelsen innebära att personuppgiftsbehandling som sker inom myndigheternas sakverksamhet i princip är tillåten. Skyldigheten att diarieföra inkomna handlingar, och att söka efter, sammanställa och lämna ut personuppgifter i den omfattning som följer av tryckfrihetsförordningen följer, om inte annat, av principen om att grundlag går före lag.
Att SKL behandlar personuppgifter i ett undersökningsärende måste också anses förenligt med finalitetsprincipen eftersom denna behandling sker för samma ändamål som det för vilket uppgifterna samlades in, alltså i de flesta fall för att utreda omständigheter av betydelse i en brottsutredning.
Enligt personuppgiftslagen får personuppgifter inte bevaras under längre tid än vad som är nödvändigt med hänsyn till ändamålen med behandlingen, enligt 9 § i). Denna bestämmelse hind-
95
rar dock inte att personuppgifter i allmänna handlingar arkiveras. Att vissa handlingar som innehåller personuppgifter ska arkiveras hindrar inte en myndighet att avskilja dem från t.ex. ett ärendehanteringssystem som är i dagligt bruk.99
SKL:s ärendehanteringssystem Forum innehåller över 800 000 poster. Förklaringen till detta är bl.a. att det är Forum som innehåller kopplingen mellan en individ och en
Vi har inte funnit anledning att närmare än vad som redogjorts för, granska personuppgiftsbehandlingen i Forum eller i övrigt inom de forensiska undersökningsärendena. Vi anser dock att behandlingen generellt sett inte kan anses oförenlig med personuppgiftslagens bestämmelser.
I våra överväganden om behovet av gallringsbestämmelser (avsnitt 5.3) återkommer vi till frågan om bevarande av personuppgifter i undersökningsärendena.
Personuppgiftsbehandlingen i de forensiska databaserna
En annan fråga är hur behandlingen av personuppgifter i de forensiska databaserna förhåller sig till personuppgiftslagen. Det gäller dels om denna behandling är förenlig med finalitetsprincipen och dels om bevarandet av uppgifterna i databaserna är förenlig med bestämmelsen i 9 § i) personuppgiftslagen. Som tidigare redogjorts för (avsnitt 4.2.5) har vetenskapliga och statistiska ändamål en särställning i bedömningen av de nämnda bestämmelserna, vilket följer av 9 § andra och tredje styckena.
99 Jfr avsnitt 4.2.5 om de grundläggande kraven på behandling och Datainspektionens där anförda beslut om bevarandet av personuppgifter i ärendehanteringssystem, beslut den 16 januari 2012, dnr
96
Personuppgiftsbehandlingen i databaserna avser, som tidigare beskrivits (avsnitt 3.4), dels indirekta personuppgifter i form av i första hand SKL:s ärendenr, dels direkta personuppgifter som hänför sig till SKL:s egen personal och handläggningen av ärendet. Ur ett integritetsskyddsperspektiv är det de förstnämnda uppgifterna som får anses känsliga, eftersom de rör uppgifter ur brottsutredningar.
Behandlingen i databaserna har flera syften. Lagrådet har ansett att statistik, uppföljning, utvärdering och planering som anknyter till sakverksamheten är en sådan integrerad del av denna att det, även utan att det sägs uttryckligen i en registerförfattning, är självklart att uppgifter som används i verksamheten också får användas för dessa ändamål.100 Detta får anses innebära att sådan behandling är tillåten även om personuppgiftslagen, och inte en registerförfattning, är tillämplig på personuppgiftsbehandlingen inom en myndighet.101
I de forensiska databaserna hålls uppgifter tillgängliga kontinuerligt för att de som utför undersökningar ska ha tillgång till den upparbetade kunskapen inom SKL. Uppgifterna kan, som tidigare anförts, bl.a. användas för att utvärdera resultatet i en undersökning. Uppgifterna kan också användas i en upplärningssituation. Man skulle dock kunna hävda att uppgifterna bevaras trots att det inte vid varje tillfälle finns ett mer specifikt ändamål för bevarandet av en viss, enskild personuppgift i databaserna. En liknande fråga berördes av regeringens i lagstiftningsärendet gällande en registerförfattning för Institutet för arbetsmarknads- och utbildningspolitisk utvärdering (IFAU).102
IFAU inhämtar avidentifierade personuppgifter från i huvudsak SCB som bevaras i en databas, den s.k.
100Prop. 2004/05:164 s. 116.
101Öman, Sören, Särskilda registerförfattningar, Festskrift till Peter Seipel, 2006, s. 700.
102Prop. 2011/12:176.
97
funktionssätt, effekter av arbetsmarknadspolitiska insatser och effekter av utbildningsåtgärder.103 Regeringen anförde att det, trots att personuppgiftslagen innehåller flera särregler för forsknings- och statistikverksamhet, hade uppkommit frågor kring om personuppgiftslagens regler för behandling av personuppgifter var optimalt anpassade för den typ av forskningsverksamhet som IFAU bedriver. Särskilt hade frågan uppkommit om det är förenligt med personuppgiftslagen att bygga upp och förvara samlingar av personuppgifter som inte är knutna till något specifikt och på förhand bestämt forskningsprojekt.104 Det bör noteras att regeringen dock inte uttryckligen tog ställning till att en sådan personuppgiftsbehandling skulle strida mot personuppgiftslagen.
Liknande frågor har också behandlats av Datainspektionen och Vetenskapsrådet. Två beslut av Datainspektionen kan sägas ge uttryck för att insamlandet av personuppgifter som syftar till ”framtida forskning” utan något mer preciserat ändamål, inte kan anses förenligt med personuppgiftslagen, bl.a. därför att ändamålet är så ospecificerat att det inte går att bedöma om personuppgifter som behandlas är adekvata och relevanta i förhållandet till ändamålet med behandlingen.105 Vetenskapsrådet har också anfört att gällande rätt innebär att det finns svårigheter att konstruera en databasinfrastruktur för forskning, som innefattar personuppgifter, för generella forskningsändamål.106
Vetenskapsrådet har däremot sett en skillnad mellan att samla in uppgifter för framtida forskning och att återanvända redan insamlade uppgifter för ett nytt ändamål. Ett sådant återanvändande, om det kan anses överensstämma med finalitetsprincipen, anser Vetenskapsrådet vara förenligt med gällande rätt.107
Användningen av SKL:s databaser i den forensiska verksamheten bör snarare ses som en sådan återanvändning av uppgifter
103A. prop. s. 8 f.
104A. prop. s. 19.
105Beslut den 18 april 2012, dnr
106Rättsliga förutsättningar för en databasinfrastruktur för forskning, Vetenskapsrådets rapportserie 11:201, s 52.
107A. a. s. 53 f.
98
som redan insamlats för ett visst specifikt ändamål och kan inte jämföras med insamlandet av personuppgifter vid IFAU eller sådan insamling som skett i de ärenden som varit föremål för Datainspektionens prövning. Att återanvända information för forskningsändamål är också en av målsättningarna med arkivlagstiftningen i stort.108
En möjlighet att behandla uppgifter i de forensiska databaserna utan att alls behöva ta hänsyn till personuppgiftslagens bestämmelser är naturligtvis att helt avidentifiera uppgifterna. Primärt är ju ändamålet med uppgifterna i databasen att ha tillgång till en samlad information om material, föremål eller spår. SKL behöver dock kunna gå tillbaka och kontrollera detaljer i det enskilda undersökningsärendet och därför bevaras både indirekta personuppgifter i form av ärende- eller
En del myndigheter har en författningsreglerad möjlighet att ha praxisdatabaser, t.ex. Centrala studiestödsnämnden och domstolarna. Praxisdatabaserna får innehålla indirekta personuppgifter, t.ex. ärendenummer.109
SKL:s återanvändning av uppgifter från tidigare genomförda forensiska undersökningar bör på grund av det ovan anförda inte anses vara oförenligt med personuppgiftslagens bestämmelser. Med andra ord bör bedömningen göras att behandlingen av personuppgifterna som ingår i de forensiska databaserna sker för vetenskapliga och statistiska ändamål och för att SKL ska kunna utföra arbetsuppgifter i sin myndighetsutövning. Både behandlingen och bevarandet av personuppgifterna anser vi alltså vara väl förenliga med bestämmelserna i 9 § personuppgiftslagen.
108Jfr prop. 1989/90:72 s. 24 f.
1094 § andra stycket studiestödsdatalagen (2009:287) och 6 § och bilaga 2 till förordning (2001:639) om registerföring m.m. vid allmänna domstolar med hjälp av automatiserad behandling. I departementspromemorian Domstolsdatalag, 2013:10, föreslås en ny domstolsdatalag. Förslaget till lag innehåller ingen reglering av praxisdatabaser. Frågan om återanvändning av information i domstolarnas verksamhet behandlas på s. 102 f.
99
Forensiska uppslag
Informationen i de forensiska databaserna kan också användas för att ge Polisen ett spaningsuppslag, ett forensiskt uppslag. Om SKL ser en koppling mellan två eller flera undersökningsärenden kan detta leda till att nya misstankar riktas mot någon som är eller varit aktuell i något av ärendena, vilket i sin tur kan leda till att olika åtgärder vidtas mot den personen. Att vidta åtgärder mot den registrerade är inte tillåtet om behandlingens ändamål är vetenskapligt eller statistiskt (9 § fjärde stycket personuppgiftslagen). Eftersom ändamålet med personuppgiftsbehandlingen i de forensiska databaserna i syfte att leverera forensiska uppslag måste anses som ett led i en brottsbekämpande verksamhet och uppgifterna som finns i databasen samlades in för ett brottsutredande ändamål, kan dock behandlingen inte anses strida mot 9 § d) personuppgiftslagen. Regeringen anförde i propositionen med förslag till polisdatalagen att det inte kan anses strida mot finalitetsprincipen att uppgifter som samlats in för att utreda ett visst brott senare används för att utreda ett annat brott eller bekämpa brottslig verksamhet.110
Andra undersökningar än de forensiska
SKL utför också andra undersökningar än de forensiska, nämligen sådana som sker på uppdrag av privatpersoner eller företag. Som exempel kan nämnas skriftprovsanalyser som kan ha betydelse i olika slag av civilrättsliga tvister och undersökningar i samband med utredningar om försäkringsfall som beställs av försäkringsbolag. Skillnaden i förhållande till de forensiska undersökningarna är i sak dock inte så framträdande.
Dessa uppdrag innefattas inte i SKL:s myndighetsutövning, eftersom uppdragsgivaren anlitar SKL frivilligt och SKL inte utövar någon offentligrättslig makt i sammanhanget. Tillåtligheten av personuppgiftsbehandlingen bygger istället på avtalet mellan
110 Prop. 2009/10:85 s. 99.
100
SKL och uppdragsgivaren. Särskilda frågeställningar kan därför uppkomma när det gäller personuppgiftsbehandlingen i dessa ärenden. En sådan är om det är tillåtet att behandla personuppgifter rörande någon annan än uppdragsgivaren vid utförandet av uppdragen. Författarna till kommentaren till personuppgiftslagen anser att det inte är sannolikt att ett avtal skulle kunna berättiga behandling av andra personuppgifter än dem som rör avtalsparten. En sådan behandling kan ibland ske på grund av en intresseavvägning enligt 10 § f), men den rådande uppfattningen är att om den registrerade uttryckligen motsätter sig behandling bör intresseavvägningen resultera i att den registrerades intresse att slippa behandling väger tyngre än den personuppgiftsansvariges intresse att utföra behandlingen, utom i vissa undantagsfall.111
När det gäller behandling av personuppgifter som gäller någon annan än avtalsparten själv gäller också bestämmelsen om information om behandlingen i 24 §.
Eftersom behandlingen av personuppgifter inom ramen för de privata uppdragsavtalen varierar, och därmed också tillämpningen av personuppgiftslagens bestämmelser, är det svårare att generellt bedöma om denna behandling är förenlig med personuppgiftslagen. Det har dock inte framkommit något som tyder på att personuppgiftslagens bestämmelser inte skulle följas. Frågan om behovet av att författningsreglera denna behandling återkommer vi till i det följande avsnittet.
Även uppgifter från de privata uppdragen bör kunna behandlas och bevaras för vetenskapliga och statistiska ändamål. Det kan däremot inte anses vara förenligt med finalitetsprincipen att behandla dem för att ge polisen forensiska uppslag.
111 Öman och Lindblom, Personuppgiftslagen, 1 oktober 2012, Zeteo, kommentaren till 10 §.
101
5.3Behovet av en särskild författningsreglering
Inledning
Även om en personuppgiftsbehandling i sig inte strider mot personuppgiftslagen och därmed är förenlig med intresset av ett grundläggande integritetsskydd kan det ändå finnas integritetsskyddsskäl som talar för att ytterligare precisera eller begränsa personuppgiftsbehandlingen vid en myndighet. Bestämmelser om ändamål för behandlingen, tillgången till personuppgifter, sökbegränsningar, vilka personuppgifter som får behandlas och regler om gallring är exempel på bestämmelser som kan komplettera och precisera personuppgiftslagens mer allmänt hållna bestämmelser.
En allmän utgångspunkt är att behovet av en särreglering p.g.a. integritetsskäl ökar ju större mängd personuppgifter som behandlas och ju känsligare personuppgifterna kan anses vara för den enskilde (med känsliga avses här känsliga i en vidare bemärkelse än begreppets innebörd enligt personuppgiftslagen). En återkommande formulering är att myndighetsregister med ett stort antal registrerade och ett särskilt känsligt innehåll ska regleras särskilt i lag.112
Som anfördes av
Behovet av tydlighet gentemot allmänheten bör rimligtvis sammanfalla med integritetsskyddsskälen – ju större informationsmängder och ju känsligare innehåll, desto större får behovet anses vara både att precisera eller begränsa personuppgiftsbe-
112Prop. 1997/98:44 s. 41 samt Öman och Lindblom, Personuppgiftslagen, 1 oktober 2012, Zeteo, kommentaren till 2 §, jfr t.ex. prop. 2008/09:96 s. 28.
113SOU 2010:4 s. 133.
114A. a. s. 133.
102
handlingen och att genom en särskild författning tydliggöra för allmänheten vilken personuppgiftsbehandling som sker vid myndigheten.
Frågan är då hur dessa allmänna utgångspunkter för behovet av en särskild författningsreglering förhåller sig till SKL:s verksamhet. SKL är i relativa mått en liten myndighet som inte kan sägas behandla ett stort antal personuppgifter. Personuppgiftsbehandlingen kan däremot rent generellt sägas omfatta ett känsligt innehåll, eftersom den rör uppgifter som till övervägande del har att göra med brottsutredningar. Ur ett integritetsskyddsperspektiv bör dock beaktas att SKL i princip inte bedriver något självständigt insamlande av uppgifter, utan att informationen som behövs för att utföra en forensisk undersökning i huvudsak kommer från Polisen. Den behandling av personuppgifter som sker hos Polisen regleras av polisdatalagen. Den brottsutredande processen och insamlandet av information, däribland personuppgifter, styrs också av andra författningar bl.a. rättegångsbalkens regler om förundersökningens bedrivande. Personuppgiftsbehandlingen vid SKL kan alltså sägas redan vara rättsligt reglerad utöver den reglering som personuppgiftslagen utgör, både ur ett integritetsskyddsperspektiv och ur aspekten att personuppgiftsbehandlingen bör tydliggöras för allmänheten. Även andra myndigheter som ger uppdrag till SKL som rör forensiska undersökningar omfattas av registerförfattningar för deras brottsbekämpande verksamhet.115
Nedan görs en närmare analys av om det finns behov att särreglera någon eller några av de aspekter av personuppgiftsbehandling som brukar särregleras i olika registerförfattningar. Analysen tar framför allt sikte på om det finns några integritetsskyddsskäl att införa särregleringar på vissa områden. Det har inte framkommit några förhållanden vid SKL som visar på att det finns ett behov av att införa särregleringar med utgångspunkt i
115 Kustbevakningsdatalag (2012:145), lag (2005:787) om behandling av uppgifter i Tullverkets brottsbekämpande verksamhet, förordning (1999:105) om behandling av personuppgifter vid Skatteverkets medverkan i brottsutredningar, se också förordning (2006:937) om behandling av personuppgifter inom åklagarväsendet.
103
att verksamheten skulle behöva bedrivas på ett annat eller mer effektivt sätt. Den synpunkt som i stort har framkommit från SKL:s sida är endast att möjligheten för SKL att behandla personuppgifter på det sätt som sker i dag inte bör inskränkas, eftersom detta skulle kunna innebära att verksamheten inte kan upprätthålla en hög vetenskaplig kvalitet.
Slutligen kan anmärkas att en utgångspunkt i analysen som följer är att en eventuell särreglering av personuppgiftsbehandlingen ska ske utöver personuppgiftslagen, i enlighet med den metod som vanligtvis förespråkas av regeringen.116
Tillämpningsområde
Det finns tre olika kategorier av personuppgifter som behandlas vid SKL. Dels är det personuppgifter som behandlas i den forensiska verksamheten, undersökningsärendena och därmed sammanhängande forskningsverksamhet, dels personuppgifter som behandlas som en följd av avtal med privaträttsliga subjekt; enskilda eller företag. Därtill kommer personuppgifter som behandlas av administrativa skäl inom myndigheten; t.ex. personuppgifter om de anställda. Den senare kategorin brukar generellt sett hållas utanför en myndighets registerförfattning och det finns ingen anledning att göra någon annan bedömning när det gäller en eventuell registerförfattning eller särreglering för SKL.117
När det gäller de privata uppdragen omfattar de en ytterst liten del av SKL:s verksamhet. Personuppgiftsbehandlingen i avtalsförhållanden är tillåten enligt personuppgiftslagen. Det har inte framkommit något särskilt förhållande som gör att just de avtal som de privata undersökningsuppdragen utgör, skulle behöva särregleras. Tvärtom skulle en särreglering riskera att avvika från personuppgiftslagen på ett sätt som skulle kunna strida mot
116Se avsnitt 4.2.2 och Öman, Sören, Särskilda registerförfattningar, Festskrift till Peter Seipel, 2006, s. 695, särskilt not 28 – 29.
117A. a. s. 693.
104
dataskyddsdirektivet. Under alla förhållanden menar vi därför att denna personuppgiftsbehandling inte bör särregleras.
Den personuppgiftsbehandling där det eventuellt finns behov av en ytterligare författningsreglering skulle alltså vara den personuppgiftsbehandling som sker i samband med den forensiska verksamheten, vilket i princip också är utgångspunkten för vårt uppdrag.
Ändamålen för behandling
Enligt personuppgiftslagen 9 § c) ska den personuppgiftsansvarige se till att personuppgifter samlas in bara för särskilda, uttryckligt angivna och berättigade ändamål. Det finns dock inget generellt krav att ändamålen för insamlingen av personuppgifter ska vara författningsreglerad i en myndighets verksamhet. Ändamålen med en myndighets personuppgiftsbehandling kan däremot indirekt framgå av den uppgift som myndigheten fått genom sin instruktion eller andra författningar och regler som berör myndighetens verksamhet.118
I registerförfattningar anges regelmässigt för vilka ändamål personuppgifter får behandlas inom det i författningen angivna tillämpningsområdet. Lagrådet har uttalat att det allmänt är önskvärt att samtliga ändamål för vilka behandling ska vara tillåten framgår av registerförfattningen.119 Uttömmande ändamålsbestämmelser innebär ett integritetsskydd, eftersom varje annan behandling som kan bli aktuell i myndighetens verksamhet (som omfattas av registerlagens tillämpningsområde) först måste godkännas av lagstiftaren.120 Sådana ändamålsbestämmelser ger också en önskvärd tydlighet för allmänheten, som då kan få en mer preciserad information om vilken personuppgiftsbehandling som
118Jfr prop. 2009/10:85 s. 98 och 108 där förhållandet mellan författningsregleringen av personuppgiftsbehandling och Polisens verksamhet i övrigt berörs av regeringen.
119Prop. 2002/03:135 s. 160 och 56.
120 Jfr Öman, Sören, Särskilda registerförfattningar, Festskrift till Peter Seipel, 2006, s. 694, där han anför ett liknande resonemang dock med utgångspunkt i hur tillämpningsområdet för registerförfattningar bör utformas.
105
sker vid myndigheten. En sådan ordning kan dock innebära nackdelar för verksamheten, som i så fall måste vänta på en lag- eller annan författningsändring innan en viss personuppgiftsbehandling, som kanske är mycket angelägen, kan påbörjas.
En möjlighet när det gäller att författningsreglera ändamålen för SKL:s personuppgiftsbehandling inom det forensiska området är att knyta an till hur den verksamheten definieras i SKL:s myndighetsinstruktion. En sådan ändamålsbestämmelse tillför dock knappast något varken för integritetsskyddet eller tydligheten mot allmänheten.
Skulle man istället försöka att i författningstext konkretisera för vilka ändamål personuppgifter behandlas, skulle inte bara forensiska undersökningar i ett enskilt undersökningsärende finnas med, utan också behandlingen i de forensiska databaserna och verksamheten med forensiska uppslag. En sådan precisering kan i och för sig tyckas oproblematisk eftersom denna behandling enligt vår bedömning är tillåten enligt personuppgiftslagen. Å andra sidan är verksamheten med forensiska uppslag ännu inte helt etablerad vid SKL, utan verksamheten kommer att utprövas och eventuellt utvecklas. Det bör vara en fråga för den blivande Polismyndighetens ledning att ta ställning till hur verksamheten med forensiska uppslag närmare ska utformas och utnyttjas i den brottsbekämpande verksamheten. Att nu formulera en författningsreglering av den personuppgiftsbehandling som sker inom ramen för de forensiska uppslagen riskerar att föregripa den myndighetsinterna prövningen av hur verksamheten bör läggas upp. En författningsreglering riskerar därmed att bli antingen alltför begränsande eller också missvisande.
Sammanfattningsvis anser vi alltså att det vore olämpligt att författningsreglera de ändamål för vilka personuppgiftsbehandling inom SKL får ske.
106
Informationsutbyte mellan myndigheter
I registerförfattningar är det vanligt att ange för vilka sekundära ändamål personuppgiftsbehandling får ske. Detta är viktigt i en ändamålsreglering som är uttömmande, för att myndigheten ska kunna behandla personuppgifter för andra myndigheters, eller enskildas, behov. Det kan följa av lag eller förordning att en myndighet har en skyldighet att lämna ut uppgifter till en annan myndighet. Sådana bestämmelser bryter också den sekretess som kan gälla mellan myndigheterna. I en registerförfattning kan det införas sekretessbrytande bestämmelser som är nödvändiga för att en myndighet ska kunna samverka med andra myndigheter på ett ändamålsenligt sätt.121
När det gäller SKL:s behandling av personuppgifter i de forensiska undersökningsärendena härrör de till största delen från den information som Polisen (eller andra uppdragsgivare) anser är nödvändig att vidarebefordra för att laboratoriet ska kunna utföra den forensiska undersökning som begärs. Resultatet av de forensiska undersökningarna redovisas tillbaka till Polisen och kommer då att behandlas i den brottsbekämpande verksamheten där. SKL har inte någon självständig roll i något annat informationsutbyte mellan myndigheter. I den mån uppgifter i en forensisk undersökning ingår i ett internationellt uppgiftsutbyte sker det inom det polisiära eller rättsliga internationella samarbetet i övrigt och styrs av polisdatalagen m.fl. författningar (t.ex. lagen [2000:343] om internationellt polisiärt samarbete).
SKL står alltså inte självständigt för något sådant informationsutbyte med andra myndigheter som behöver författningsregleras, vare sig för att SKL ska ha möjlighet att behandla personuppgifter för att fullgöra ett informationsutbyte, eller för att laboratoriet ska ha möjlighet att lämna ut sekretessbelagd information till andra myndigheter. När det gäller informationsut-
121 Jfr 2 kap. 8 § och 16 – 18 §§ polisdatalagen.
107
bytet mellan SKL och Polisen kommer detta att bli en myndighetsintern fråga när SKL blir en del av Polismyndigheten.122
Eftersom det inte finns något informationsutbyte som behöver särregleras, finns det heller inget behov att reglera möjligheten till direktåtkomst till uppgifter inom SKL.
I registerförfattningar finns ibland också en skyldighet för en myndighet att lämna ut uppgifter elektroniskt (bl.a. i 2 kap. 20 § polisdatalagen). Av det s.k. utskriftsundantaget i tryckfrihetsförordningen följer att en myndighet inte är skyldig att i större utsträckning än vad som följer av lag lämna ut en upptagning för automatiserad behandling i annan form än utskrift (2 kap. 13 § tryckfrihetsförordningen).
Frågan om utlämnande av allmänna handlingar kommer i framtiden avgöras av Polismyndigheten och inte av SKL som en självständig myndighet. Något särskilt behov att författningsreglera frågan om elektroniskt utlämnande av information föreligger inte.
Sökbegränsningar
I polisdatalagspropositionen anförde regeringen att sett från integritetssynpunkt är en av de viktigaste aspekterna med behandling av personuppgifter i vilken utsträckning uppgifter kan sökas och sammanställas. Kombinationen av stora informationsmängder och fria sök- och sammanställningsmöjligheter innebär särskilt stora risker för den personliga integriteten, i synnerhet om uppgifterna kan betraktas som känsliga. Med de möjligheter polisdatalagen ger Polisen att behandla en stor mängd insamlad information skulle ett fritt utnyttjande av informationen, alltså utan sökbegränsningar, kunna ge möjligheter till kvalificerade former av kartläggning av enskildas personliga förhållanden.123
122 Bestämmelser om tillgång för SKL till uppgifter i Polisens brottsbekämpande verksamhet finns i 2 kap. 17 – 18 §§ samt 4 kap. 10 och 17 §§ polisdatalagen.
123 Prop. 2009/10:85 s. 94 och 153.
108
SKL:s del av de personuppgifter som samlas in i Polisens brottsbekämpande verksamhet utgör en liten del av den informationsmängd som polismyndigheterna, i framtiden Polismyndigheten, kan ha om en enskild person. Den informationsstruktur som innehåller sökbara direkta personuppgifter, alltså utifrån personnummer eller namn, är ärendehanteringssystemet Fo- rum.124 Genom sökmöjligheterna i Forum kan man visserligen sammanställa de undersökningsärenden en person varit inblandad i och också få kännedom om vissa delar av brottsutredningen, beroende på vilken information som finns i ärendet. Detta kan dock inte betraktas som en sådan ”kvalificerad form av kartläggning” som regeringen syftade på i polisdatalagspropositionen. Det är dessutom en skyldighet för en myndighet att kunna ta fram information till en registrerad om vilken personuppgiftsbehandling som sker om honom eller henne (26 § personuppgiftslagen).
Ett skäl av annat slag för att införa sökbegränsningar är att det kan finnas anledning att begränsa möjligheten att sammanställa listor över personer utifrån förhållanden som anses känsliga ur integritetssynpunkt. Känsliga personuppgifter enligt personuppgiftslagens definition (13 §) kan vara personuppgifter som inte får användas som sökbegrepp (se t.ex. 3 kap. 5 § polisdatalagen). Även andra personuppgifter kan anses som så ömtåliga ur integritetssynpunkt att de inte bör vara sökbara. I studiestödsdatalagen infördes t.ex. sökbegränsningar avseende bl.a. inkomstförhållanden och skäl till studieavbrott.125 Genom att införa sådana sökbegränsningar kan sammanställningar utifrån det förbjudna sökbegreppet inte heller utgöra allmänna handlingar (se avsnitt 4.2.4). Utgångspunkten för att kunna precisera denna typ av sökbegränsningar bör vara att det finns vissa kategorier av uppgifter om enskilda som regelmässigt behandlas i myndighetens verksamhet, så som är fallet t.ex. i studiestödsverksamheten.
124Vi bortser här från sökmöjligheter som utgår från personalens personuppgifter som kan vara sökbara i de forensiska databaserna.
125Prop. 2008/09:96 s. 53.
109
Några sådana uppgifter går i princip inte att identifiera i SKL:s verksamhet.
Vi återkommer till frågan om sökbegränsningar i avsnittet om känsliga personuppgifter.
Vilka personuppgifter som får behandlas
Det kan finnas ett behov att närmare författningsreglera vilka personuppgifter som får behandlas i en viss verksamhet. En sådan reglering kan vara viktig för integritetsskyddet eftersom vissa personuppgifter, vars behandling kan anses utgöra en särskild integritetsrisk, då kan begränsas mer än andra som bedöms som mindre integritetskänsliga. T.ex. kan direkta personuppgifter i vissa sammanhang anses vara mer integritetskänsliga än indirekta, bl.a. eftersom samlingar av direkta personuppgifter skapar större möjligheter att sammanställa all tillgänglig information rörande en viss individ.
I de forensiska undersökningsärendena får, som tidigare nämnts (avsnitt 3.4), SKL del av både direkta och indirekta personuppgifter genom den information som Polisen, eller en annan uppdragsgivare, tillhandahåller. Dessa personuppgifter får anses nödvändiga för att SKL ska kunna utföra den begärda forensiska undersökningen och redovisa resultatet på ett sätt som möter kraven på kvalitet och rättsäkerhet. Några integritetsskyddsaspekter som gör det nödvändigt att begränsa SKL:s behandling av vissa kategorier av personuppgifter i denna verksamhet finns inte.
Förhållandena är annorlunda när det gäller personuppgiftsbehandlingen i de forensiska databaserna. I dessa kan det anses mindre befogat att behandla direkta personuppgifter om personer som haft koppling till de bakomliggande brottsutredningarna, eftersom de direkta personuppgifterna i de fallen inte är nödvändiga för att uppnå syftet med databaserna (vilket bekräftas av att direkta personuppgifter i princip inte heller registreras i de forensiska databaserna). Som nämnts i föregående
110
avsnitt finns i vissa registerförfattningar frågan om ”praxisdatabaser” reglerad och då med den begränsningen av behandlingen att direkta personuppgifter inte får förekomma, men däremot indirekta i form av ärendenummer.
Frågan är om det behövs en särskild författningsreglering för att förhindra att direkta personuppgifter behandlas i de forensiska databaserna. Enligt personuppgiftslagen får personnummer eller samordningsnummer bara behandlas om det är klart motiverat med hänsyn till ändamålet med behandlingen, vikten av en säker identifiering eller något annat beaktansvärt skäl. Att de personuppgifter som behandlas ska vara adekvata och relevanta i förhållande till ändamålen med behandlingen framgår också av 9 § e) personuppgiftslagen. Att behandla personnummer eller andra direkta personuppgifter om personer som varit inblandade i en brottsutredning i en databas vars syfte är vetenskaplig kunskapsåtervinning måste i de flesta fall bedömas som inadekvat i förhållande till ändamålet med behandlingen. Personuppgiftslagens reglering anser vi är tillräcklig för att skydda den personliga integriteten när det gäller vilka personuppgifter som får behandlas i de forensiska databaserna.
Särskilt om känsliga personuppgifter
Termen ”känsliga personuppgifter” används i personuppgiftslagen (13 §) för att beteckna personuppgifter som avslöjar ras eller etniskt ursprung, politiska åsikter, religiös eller filosofisk övertygelse, eller medlemskap i fackförening samt uppgifter som rör hälsa eller sexualliv. Det råder ett generellt förbud att behandla sådana uppgifter. Personuppgiftslagen innehåller vissa undantag från förbudet och därtill en möjlighet för regeringen eller den myndighet regeringen bestämmer att meddela föreskrifter med andra undantag från bestämmelsen, om det behövs med hänsyn till ett viktigt allmänt intresse. Sådana undantagsföreskrifter är förenliga med dataskyddsdirektivet (artikel 8.4). 2 kap. 10 § polisdatalagen ger Polisen viss möjlighet att behandla
111
känsliga personuppgifter, under förutsättning att det är absolut nödvändig för syftet med behandlingen.
När det gäller personuppgifter som definieras som känsliga är alltså frågan om sådan behandling ska tillåtas i en myndighets verksamhet eller inte. Ett motiv att införa en särskild registerlagstiftning kan vara just behovet hos en myndighet att behandla känsliga personuppgifter.126
Det kan inte uteslutas att man vid SKL undantagsvis har behov av att i den forensiska verksamheten behandla känsliga personuppgifter. Till exempel skulle möjligheten att analysera en persons biogeografiska ursprung kunna leda till antaganden om en persons etnicitet. SKL bör alltså ges möjlighet att behandla känsliga personuppgifter, vilket kräver en författningsreglering. En författningsreglerad möjlighet att behandla känsliga personuppgifter kan behöva åtföljas av sökbegränsningar avseende sådana uppgifter. Vi återkommer till denna fråga i våra författningsförslag (avsnitt 5.4).
Tillgång till personuppgifter
Frågan om vilken krets personer i en organisation som får ha tillgång till personuppgifter regleras inte uttryckligen i personuppgiftslagen. Enligt 31 § personuppgiftslagen ska tekniska och organisatoriska åtgärder för att skydda personuppgifter vidtas av den personuppgiftsansvarige. Datainspektionen har utfärdat allmänna råd av vilka det framgår att endast de som behöver uppgifterna för sitt arbete bör få tillgång till åtkomstskyddade personuppgifter.127 I polisdatalagen finns en generell bestämmelse att varje anställd bara ska ha tillgång till de personuppgifter som han eller hon behöver för att utföra sina arbetsuppgifter (2 kap. 11 §). Liknande bestämmelser finns i andra registerförfatt-
126Öman, Sören, Särskilda registerförfattningar, Festskrift till Peter Seipel, 2006, s. 689.
127Datainspektionens allmänna råd, Säkerhet för personuppgifter, reviderade november 2008.
112
ningar.128 Vid SKL finns redan ett system med olika behörigheter för anställda med utgångspunkt i deras respektive arbetsuppgift. En bestämmelse om tillgång till personuppgifter är alltså kanske inte helt nödvändig i verksamheten. För att tydliggöra att en principiell begränsning ska gälla förordar vi dock att regleringen i polisdatalagen 2 kap. 11 § ska gälla även för SKL.
Gallring
Ju större informationsmängder en myndighet har tillgång till, desto innehållsrikare kan olika sammanställningar av uppgifter som handlar om en person bli. Möjligheten till sammanställningar kan minskas genom att åtkomsten till olika kategorier personuppgifter begränsas på olika sätt. Om uppgifterna också gallras efter viss tid är tillgången till dem slutligen avskuren, vilket kan ha stor betydelse för skyddet av den personliga integriteten.129 Samtidigt får uppgifter inte gallras i sådan omfattning att allmänhetens rätt att ta del av allmänna handlingar begränsas eller att de övriga syftena med arkivbildningen inte kan tillgodoses (3 och 10 §§ arkivlagen [1990:782]). En lösning på integritetsskyddsproblematiken kan då vara att formulera ett regelverk som inte tillåter personuppgifter att vara tillgängliga i den operativa verksamheten längre än under viss tid. En sådan lösning har valts i polisdatalagen beträffande uppgifter i bl.a. förundersökningar och brottsanmälningar. Sådana handlingar ska arkiveras och omfattas därför inte av gallringsregler, men de får inte vara gemensamt tillgängliga mer än ett visst antal år, beroende på vissa närmare angivna förutsättningar (3 kap. 9 – 12 §§ polisdatalagen).
Det kan finnas anledning att gallra allmänna handlingar av verksamhetsskäl. För SKL:s del finns redan myndighetsspecifika
128T.ex. 12 § lagen (2012:741) om behandling av personuppgifter vid Institutet för arbetsmarknads- och utbildningspolitisk utvärdering och 9 § studiestödsdatalagen (2009:287).
129Jfr prop. 2009/10:85 s. 205.
113
gallringsbeslut från Riksarkivet som tillåter SKL att gallra handlingar i vissa undersökningsärenden.130
Eftersom undersökningsärendena ofta är en del av förundersökningar, som arkiveras, finns ingen anledning att i lag eller förordning införa några generella gallringsbestämmelser i författning avseende dessa ärenden. SKL kan, om det behövs av verksamhetsskäl, utverka gallringsbeslut från Riksarkivet i den ordning som gäller enligt 7 kap.
En annan fråga att ställa sig när det gäller gallring är om bevarande av de indirekta personuppgifterna i de forensiska databaserna kräver gallringsbestämmelser i författning. Även i dessa skulle man kunna tänka sig att SKL utverkar gallringsbeslut från Riksarkivet.131 Som man får förstå SKL gallras i princip inte databaserna beroende på den funktion databaserna har i den forensiska verksamheten. Den invändning man skulle kunna ha mot denna ordning är möjligen att databaserna också kan användas i brottsbekämpande syfte genom de forensiska uppslagen. Eftersom inga gallringsbestämmelser finns vid SKL, men däremot enligt polisdatalagen, har SKL möjlighet att behandla personuppgifter som är gallrade hos Polisen eller i vart fall inte längre tillgängliga i den brottsbekämpande verksamheten där. De forensiska databaserna kan i detta sammanhang sägas utgöra register över brottsspår (i en vid bemärkelse). En relevant jämförelse kan därmed vara
130
131Det finns också möjligheter att gallra handlingar av tillfällig eller ringa betydelse enligt
114
möjligheter för avvikande bestämmelser om bevarande i förordning, vilket har lett till att vissa register med personuppgifter får behandlas i polisens brottsbekämpande verksamhet under längre tid än vad som följer av polisdatalagens bestämmelser.
Integritetsriskerna med att SKL har möjlighet att behandla personuppgifter på ett sätt som kan ge upphov till forensiska uppslag bör också ses mot bakgrund av att de brottsutredande åtgärder detta kan leda till kommer att bero bl.a. på bestämmelser om preskription.
Hur länge uppgifterna i de forensiska databaserna behöver bevaras för vetenskapliga ändamål bedöms bäst av SKL med utgångspunkt i myndighetens expertkunskaper inom respektive undersökningsområde. Personuppgiftslagens bestämmelser att uppgifterna inte får bevaras under längre tid än som är nödvändigt med hänsyn till de ändamål för vilka de behandlas får därför anses vara den bestämmelse som är mest förenlig med databasernas funktion i SKL:s verksamhet.
Sammanfattande slutsatser
Vi har kommit fram till att det inte finns något generellt behov av en särskild författningsreglering för personuppgiftsbehandlingen inom SKL, vare sig av integritetsskyddskäl eller för att personuppgiftsbehandlingen behöver preciseras eller begränsas i övrigt. Polisdatalagens bestämmelser är i stora delar inte anpassade till den forensiska verksamheten inom SKL och att tillämpa den lagen på personuppgiftsbehandlingen inom SKL framstår inte som lämpligt. Det är istället personuppgiftslagen som i stort även fortsättningsvis bör gälla för SKL:s personuppgiftsbehandling. Det behov av särreglering som finns gäller bl.a. känsliga personuppgifter och eventuella sökbegränsningar av sådana uppgifter. Hur denna fråga ska lösas återkommer vi till i nästa avsnitt.
115
5.4Förslag till författningsreglering
Förslag: En bestämmelse införs i polisdatalagen som anger att lagen inte är tillämplig på personuppgiftsbehandlingen inom SKL, utom 2 kap. 10 – 11 §§ och 3 kap. 5 § om tillgång till personuppgifter, behandling av känsliga personuppgifter och sökbegränsningar när det gäller sådana personuppgifter. Polisdatalagen ska också vara tillämplig i SKL:s verksamhet när det gäller behandling i de särskilda registren enligt 4 kap. polisdatalagen.
Skälen för förslaget
Som redan anförts är frågan om SKL bedriver brottsbekämpande verksamhet inte helt oproblematisk att besvara. Regeringen anförde i polisdatalagspropositionen att SKL:s verksamhet i vart fall inte är brottsbekämpande i ”vedertagen” mening.132 Att den däremot i vissa avseenden skulle kunna uppfattas som brottsbekämpande i någon annan mening anser vi står klart. Det framstår därför inte som lämpligt att det är termen ”brottsbekämpande verksamhet” som ensam ska avgöra om polisdatalagens bestämmelser ska tillämpas på personuppgiftsbehandlingen, när SKL i framtiden ingår i den myndighet som författningen i och för sig kommer att vara tillämplig för. Personuppgiftsbehandlingen inom SKL som sker i de forensiska undersökningsärendena skulle i och för sig kunna inordnas under polisdatalagens ändamålsbestämmelse som anger att personuppgiftsbehandling får ske för att utreda och beivra brott (2 kap. 7 § 2).
Även om SKL:s verksamhet också i vissa hänseenden bör betraktas som brottsbekämpande är det stor skillnad mellan verksamheterna inom SKL och inom det övriga polisväsendet. Polisdatalagen är utformad efter behovet att ge Polisen möjlighet att behandla personuppgifter på ett ändamålsenligt sätt, samtidigt
132 Prop. 2009/10:85 s. 71.
116
som den personliga integriteten skyddas, vilket framgår av bestämmelsen om författningens syfte (1 kap. 1 § polisdatalagen). SKL:s primära behov för verksamheten är inte att kunna behandla personuppgifter i sig, utan att utföra de forensiska undersökningarna och det på en hög vetenskaplig nivå. Redan dessa förhållanden pekar på att polisdatalagen inte kan passa särskilt väl för de skilda verksamheter det är fråga om.
I polisdatalagen bör alltså uttryckligen anges att lagen inte är tillämplig för personuppgiftsbehandlingen inom SKL. För övrig personuppgiftsbehandling inom SKL, som rör rent administrativa frågor samt undersökningar efter uppdrag från privata aktörer, står det i och för sig klart redan genom polisdatalagens nuvarande tillämpningsområde, att polisdatalagen inte är tillämplig.
För att lösa behovet för SKL att kunna behandla känsliga personuppgifter som påtalats i föregående avsnitt, bör däremot bestämmelsen som med angivna begränsningar tillåter Polismyndigheten att behandla känsliga personuppgifter tillämpas inom SKL:s forensiska undersökningsverksamhet. När det gäller känsliga personuppgifter får sådana inte användas som sökbegrepp i uppgifter som är gemensamt tillgängliga (3 kap. 5 § polisdatalagen). För att uppnå samma integritetsskydd för känsliga personuppgifter som gäller inom Polisens övriga verksamhet bör inte heller känsliga personuppgifter få användas som sökbegrepp inom SKL. Denna sökbegränsning bör dock gälla oavsett om uppgifter inom SKL ska anses gemensamt tillgängliga eller inte.
Bestämmelsen i polisdatalagen om tillgång till personuppgifter i 2 kap. 11 § med upplysningen att regeringen eller den myndighet regeringen bestämmer meddelar närmare föreskrifter om tillgången till personuppgifter bör också vara tillämplig inom SKL. Som polisorganisationskommittén påpekat blir informationsutbyte som i dag regleras genom bestämmelser om utlämnande i olika registerförfattningar i de nya Polismyndigheten fråga om interna behörighetsbestämmelser.133 Frågan om tillgång till personuppgifter i den brottsbekämpande verksamheten för
133 SOU 2012:78, del 1, s. 116.
117
personalen inom SKL bör därför närmare kunna bestämmas genom sådana myndighetsinterna föreskrifter som i dag meddelas av Rikspolisstyrelsen i enlighet med 3 och 4 §§ polisdataförordningen.
I dag behandlar SKL personuppgifter i
Ikraftträdande
Behovet av den av oss föreslagna författningsändringen gör sig gällande i princip först när SKL blir en del av den nya Polismyndigheten. Författningsregleringen bör träda i kraft när den nya Polismyndigheten förverkligas, i dagsläget per den 1 januari 2015.
134 Prop. 2009/10:85 s. 230.
118
6Överväganden och förslag avseende elimineringsdatabasen
6.1Grundläggande utgångpunkter
Elimineringsdatabasens kvalitetssäkrande funktion
Som tidigare redogjorts för (avsnitt 3.5) kan kontaminerade
Ändamålen med att ha en elimineringsdatabas – att stärka tillförlitligheten kring och skärpan hos
119
spår, dvs. spår som registrerats i spårregistret innan den berörda personens
Vid utformningen av de rättsliga arrangemangen kring elimineringsdatabasen måste man alltså ta ställning till om den databasen principiellt och uteslutande ska vara ett kvalitetssäkringsverktyg eller om den indirekt också ska kunna tjäna som ett slags ytterligare brottsbekämpande
De förhållanden, såsom vi har erfarit råder idag, är att endast nya spår, som i normalfallet redan är inlagda i spårregistret, jämförs mot elimineringsdatabasens
120
ningen eller andra konsekvenser. Ett sådant avslöjande måste emellertid också anses vara ett vällovligt ändamål för elimineringsdatabasen.
I det dilemma rörande det rättsliga förhållningssättet till elimineringsdatabasen som beskrivits här har vår ledstjärna varit att databasens användning primärt ska vara inriktad på att stärka
Personer som bör registreras i elimineringsdatabasen
För att elimineringsdatabasen ska fylla en kvalitetssäkrande funktion i den forensiska
121
lösning att begränsa tillträdet för vissa anställda till lokaler och andra utrymmen där DNA hanteras. Närmare hur avgränsningen av vilka anställda vid Polisen och SKL ska göras återkommer vi till i avsnitt 6.3.2 och 6.4.
Eftersom offentligt anställda har ett grundlagsskydd mot påtvingade kroppsliga ingrepp, däribland provtagning för DNA- analys, är det inte möjligt att reglera deras deltagande t.ex. genom tillämpning av arbetsrättsliga principer. Att som i dag basera registreringen i databasen på samtycke är inte hållbart redan av den anledningen att anställda då kan avstå från registrering, vilket får till följd att deras DNA fortfarande kan utgöra en källa till kontamineringar som inte upptäcks.
Andra personer som behöver ingå i databasen är, förutom anställda vid SKL, de som har tillträde till SKL:s lokaler av skilda anledningar och personer som kommer i kontakt med den materiel som bl.a. används vid
Det finns slutligen en annan kategori personer som i och för sig kan utgöra en kontamineringsrisk på en brottsplats, nämligen räddningstjänstpersonal eller annan sjukvårdspersonal. Att införa en skyldighet för hela denna arbetstagargrupp att ingå i elimineringsdatabasen, är inte proportionerligt i förhållande till ändamålet att undvika kontamineringar. Här kan istället erinras om den möjlighet som finns att i enskilda fall be personer som kan ha påverkat bevissäkringen på en brottsplats, att frivilligt lämna olika slag av jämförelseprov. Möjligheten utnyttjas redan när det gäller t.ex. fingeravtryck och skospår. För den som inte är, och i princip inte heller kan bli, misstänkt för brottet torde det inte finnas några rättsliga hinder eller andra betänkligheter mot att
122
efterfråga ett prov för
Till sist kan anmärkas att personal inom Polisen som ombesörjer eller hanterar topsningar inte ska behöva ingå i elimineringsdatabasen. Skälen för detta utvecklas i det följande.
Behovet av jämförelser med
Som tidigare beskrivits (avsnitt 3.5) behövs elimineringsdatabasen för att upptäcka kontamineringar i praktiken endast när det gäller
123
När bör de nya reglerna träda i kraft?
Ombildningen av polismyndigheterna till en enda myndighet ska vara genomförd så att den nya myndigheten kan påbörja sitt arbete den 1 januari 2015. Detta innebär bl.a. att det kommer att vara Polismyndigheten som blir personuppgiftsansvarig för Polisens personuppgiftsbehandling i allmänhet och även för t.ex. behandlingen av personuppgifter i
Införandet av en författningsreglerad elimineringsdatabas bör dock av lätt insedda skäl inte vänta till den 1 januari 2015. En sådan reglering bör träda i kraft redan den 1 januari 2014. Vi utgår därför i våra författningsförslag i den delen från de förhållanden som råder i dag, dvs. att SKL är en självständig myndighet och att det är Rikspolisstyrelsen som för
Elimineringsdatabasens benämning
Samlingen av
124
på ett visst sätt.135 Denna beskrivning av behandlingen av uppgifter i
6.2Normgivningsnivån
Bedömning: För att alla anställda vars DNA kan komma att kontaminera undersökningsmaterial och prover ska bli registrerade i elimineringsdatabasen måste en skyldighet att genomgå provtagning för
Skälen för bedömningen
Inledning
Som tidigare nämnts (avsnitt 4.1) rör en eventuell författningsreglering av en elimineringsdatabas två olika frågor, dels frågan om insamling av
135 Prop. 2009/10:85 s. 61.
125
Grundlagsskyddet för offentligt anställda
Som redogjorts för i avsnitt 4.3.1 omfattas offentligt anställda av regeringsformens skydd mot påtvingade kroppsliga ingrepp i förhållande till sin arbetsgivare. Skyddet mot påtvingade kroppsliga ingrepp kan inskränkas men bara i lag och under de övriga förutsättningar som gäller för rättighetsinskränkande lagstiftning. För att säkerställa att alla berörda anställda registreras i elimineringsdatabasen måste alltså en lagreglering ske av skyldigheten att genomgå provtagning.
Som redogörs för i de följande avsnitten anser vi att en DNA- profil som erhållits efter ett tvångsvis taget prov från en anställd ska få registreras och behandlas i elimineringsdatabasen utan krav på något samtycke från den som varit föremål för provtagningen. Om inte efterföljande registrering av
136 Prop. 2009/10:80 s. 180.
126
elimineringsdatabasen inte alls samma möjligheter till kartläggning som registreringen i något av de andra
Vid bedömningen av om ett förfarande faller inom regeringsformens tillämpningsområde ska man enligt regeringen också ta hänsyn till ändamålet med t.ex. en personuppgiftsbehandling. En hantering som syftar till att utreda brott kan normalt anses vara mer känslig än t.ex. en hantering som uteslutande sker för att ge en myndighet underlag för förbättringar av kvaliteten i handläggningen.137 Även om elimineringsdatabasen har en potential att i undantagsfall avslöja anställda som begått brott eller tjänsteförseelse, hör elimineringsdatabasen snarare till den senare kategorin. Dessutom innebär ju också elimineringsdatabasen ett skydd mot den integritetskränkning det skulle innebära att få sin
Registreringen och behandlingen av en anställds
Författningsreglering av behandlingen
Regeringen framhöll i den tidigare nämnda propositionen att integritetsintresset inte kommer att sakna skydd i de situationer en åtgärd faller utanför tillämpningsområdet för bestämmelsen i 2 kap. 6 § andra stycket regeringsformen. Av bestämmelsen i 8 kap. 2 § första stycket 2 regeringsformen följer nämligen att förhållandet mellan enskilda och det allmänna ska regleras i lag om föreskrifterna gäller skyldigheter för enskilda eller i övrigt avser ingrepp i enskildas personliga eller ekonomiska förhållanden.138 Normgivningskompetensen inom detta område (det s.k.
137Prop. 2009/10:80 s. 183.
138A. prop. s. 177.
127
primära lagområdet) kan delegeras till regeringen i enlighet med 8 kap. 3 § regeringsformen.
Utanför det primära lagområdet faller föreskrifter som avser t.ex. myndigheters inre organisation. Föreskrifter som innefattar skyldigheter för offentligt anställda kan dock omfattas av det primära lagområdet.139
Behandlingen av en anställds
En särskild form av behandling av personuppgifter utgörs av jämförelser mellan
Eftersom behandlingen av
139Holmberg m.fl, Grundlagarna, 1 januari 2012, Zeteo, kommentaren till 8 kap. 2 § regeringsformen.
140Detta följer av den s.k. formella lagkraftens princip i enlighet med 8 kap. 18 § regeringsformen.
128
att göra jämförelser i ett enskilt fall mellan ett gammalt spår och elimineringsdatabasen, t.ex. om en gammal förundersökning rörande ett mycket grovt brott öppnas igen p.g.a. att nya uppslag föreligger och där det kan vara av särskild betydelse att få reda på om en kontaminering kan ha lett till en felaktig registrering i det enskilda fallet. Jämförelser mellan spårregistret och elimineringsdatabasen i sådana fall bör därför i undantagsvis vara tillåtna och måste då ges stöd i lag.
I dag görs jämförelser mellan andra
Författningsreglering avseende andra än arbetstagare
Andra personer än arbetstagare, som behöver vara med i elimineringsdatabasen för att den ska fylla avsedd funktion, intar inte
129
samma ställning i förhållande till SKL som arbetstagare gör, utan de kan sägas ha en frivillig relation till laboratoriet. Om de inte vill bli registrerade i elimineringsdatabasen kan detta inte få någon annan konsekvens än att de t.ex. inte kan ingå ett avtal med SKL eller kan nekas tillträde till laboratoriet i stort eller vissa lokaler. För andra personer än anställda bör alltså samtycke vara den rättsliga grunden för provtagning, registrering i databasen och behandling av uppgifterna. Detta kräver i och för sig ingen författningsreglering utöver den som finns i personuppgiftslagen (1998:204). Inte heller behöver en bedömning göras av om regeringsformens skydd mot intrång i den personliga integriteten är tillämpligt på förfarandet, eftersom regeringsformens skydd bara avser förfaranden som sker utan samtycke.
Även för den som samtycker kan behandlingen av personuppgifter i en elimineringsdatabas få till konsekvens bl.a. att brottsmisstankar riktas mot personen eller att han eller hon drabbas av avbräck i näringsutövning. Härtill kommer att behandlingen i form av jämförelser med andra
Hantering av prover m.m.
I polisdatalagen finns bestämmelser om användningen av själva det biologiska provmaterialet som tas från personer. I 4 kap. 8 – 9 §§ anges dels att
130
är sådan information som får registreras har reglerats i lag avseende de nuvarande
Att även bestämmelser om gallring regleras i lag när det gäller
6.3En särskild lag eller en del av polisdatalagen?
Förslag: Lagregleringen av elimineringsdatabasen införs i 4 kap. polisdatalagen.
Skälen för förslaget
Elimineringsdatabasen regleras i polisdatalagen
Lagstöd för provtagning till och förande av elimineringsdatabasen skulle kunna regleras i en särskild lag. Eftersom dagens lagstiftning berör de redan existerande
141 Jfr prop. 1997/98:97 s. 139 med motivering till bestämmelsen som först infördes i 1998 års polisdatalag.
131
datalagen.142 Å andra sidan innehåller även polisdatalagen bestämmelser som rör den rent fysiska provtagning för DNA- analys, nämligen bestämmelser om användningen och förstörandet av provet som använts vid provtagning (4 kap. 8 – 9 §§ polisdatalagen). Att en bestämmelse införs i den lagen som rör den fysiska provtagningen till elimineringsdatabasen bör därför inte utgöra ett hinder i sig.
En annan fråga är om polisdatalagens syfte och tillämpningsområde talar emot att elimineringsdatabasen regleras där. Utifrån den avgränsning av termen brottsbekämpande som regeringen gav uttryck för i polisdatalagspropositionen och som tidigare redogjorts för (se avsnitt 4.2.8) innefattas i princip inte någon verksamhet vid SKL av begreppet brottsbekämpande i vedertagen mening. Som vi tidigare gett uttryck för framstår en sådan avgränsning inte i alla avseenden som helt självklar. Att tillförsäkra den forensiska
Förhållandet till personuppgiftslagen
Redan vid insamlingen av personuppgifter till elimineringsdatabasen står det klart att ändamålet med insamlingen är att förebygga och ta reda på kontamineringar, men att en personupp-
142 Jfr förhållandet att tvånget att ta prov för den som är misstänkt regleras i rättegångsbalken och den efterföljande behandlingen i
132
giftsbehandling också i undantagsfall kan komma att ha ett mer direkt brottsutredande syfte, nämligen om den enskildes DNA- profil träffar mot ett spår och detta inte kan förklaras med att personen kontaminerat spårprovet på ett arbetsrelaterat sätt. Be- handlingen strider alltså inte mot finalitetsprincipen. Den gallringsbestämmelse som föreslås (se nedan) avviker heller inte från personuppgiftslagens generella bevarandebestämmelse.
I övrigt kommer personuppgiftslagens bestämmelser att vara tillämpliga i den utsträckning de är tillämpliga enligt polisdatalagen.
6.4Ändamål och innehåll
Förslag: Rikspolisstyrelsen får föra ett register med DNA- profiler i syfte att stärka kvaliteten i den forensiska DNA- verksamheten. Behandling av personuppgifter i databasen ska få ske dels för att spåra och utreda kontamineringar, dels för att utreda brott. I sistnämnda avseende får behandling endast ske i de fall en
Elimineringsdatabasen får innehålla
Skälen för förslaget: Lagregleringen avseende de befintliga
133
Elimineringsdatabasen kommer i första hand att användas i kvalitetssäkringssyfte, men om förekomsten av en registrerads
Elimineringsdatabasen ska få innehålla
På samma sätt som för de andra
6.5Provtagning
Förslag: Arbetstagare hos en polismyndighet eller SKL ska under vissa förutsättningar vara skyldiga att lämna prov för
Skälen för förslaget: Skyldigheten för offentligt anställda att lämna ett prov för en
134
ringsformen. En rättighet enligt regeringsformen får enligt bestämmelsen endast inskränkas för att tillgodose ett ändamål som är godtagbart i ett demokratiskt samhälle och får aldrig gå utöver vad som är nödvändigt med hänsyn till det ändamål som har föranlett begränsningen. Elimineringsdatabasens övergripande syfte är att stärka kvaliteten i den forensiska
I ett lagstiftningsärende som avsåg skyldighet för arbetstagare som är sysselsatta i arbete med joniserande strålning anmärkte lagrådet att enbart en skyldighet att underkasta sig läkarundersökning för en viss kategori arbetstagare behövde preciseras för att inte gå utöver ändamålet med inskränkningen. Eftersom syftet med skyldigheten var att utreda om den som var eller skulle bli sysselsatt med arbete med strålning löpte särskild risk att skadas av strålningen, behövde denna precisering också framgå av lagen.143
Syftet med att vissa arbetstagares
143 Prop. 1987/88:88 s. 78 f.
135
lagreglering, om inte alla personer inom en viss anställningskategori kan anses i praktiken utgöra en kontamineringsrisk.
Skyldigheten för de anställda att genomgå provtagning innebär inte att några fysiska tvångsåtgärder kan tillämpas mot den som trots allt inte är beredd att lämna ett prov för att bli registrerad i elimineringsdatabasen. Istället får den som vägrar räkna med att arbetsrättsliga konsekvenser kan följa.144 Provtagningen sker genom salivprov och den som ska genomgå provtagning kan själv ta saliv till provet med en bomullstops.
För den som samtycker till att ingå i elimineringsdatabasen och inte står i ett formellt beroendeförhållande till SKL, t.ex. leverantörer av varor och tjänster eller besökare, behövs i och för sig ingen lagreglering med anledning av regeringsformens bestämmelser om rättighetsinskränkningar. Att bli registrerad i elimineringsdatabasen kan dock ha långtgående konsekvenser även för den som samtycker. Samtycket ensamt bör inte vara avgörande för om registrering ska ske, utan även för samtyckesfallen bör det lagfästas att det endast är personer vars DNA kan komma att kontaminera undersökningsprover eller material som får ingå i databasen.
Behovet som finns att ha besökare och leverantörer m.fl. registrerade i elimineringsdatabasen bör alltså även fortsättningsvis grundas på att registrering i elimineringsdatabasen är en förutsättning för att man t.ex. ska få besöka SKL, när det bedöms som nödvändigt p.g.a. risken för kontaminering.
SKL har hittills inte haft en registrering i elimineringsdatabasen som ett krav vid t.ex. upphandlingar. Om ett sådant krav skulle uppställas, kan det inte anses strida mot bestämmelserna i lagen (2007:1091) om offentlig upphandling. Kravet skulle inte innebära en konkurrensfördel för något visst företag, utan skulle gälla lika för alla som vill leverera eller utföra tjänster åt SKL. Kravet i sig är en fråga om vilken kvalitet SKL efterfrågar i upphandlingen. När det gäller frågan om näringsfrihet kan man till att börja med konstatera att den lagbestämmelse som nu föreslås
144 Jfr prop. 2003/04:3 s. 30 och 37.
136
inte innebär något åliggande för företag eller personer som driver näring. Samtidigt bör man ta hänsyn till förslagets faktiska konsekvenser för näringsfriheten (se avsnitt 4.4.1). Ett krav på registrering i elimineringsdatabasen kan uppfattas som en ingripande åtgärd och i och för sig något som alla näringsidkare kanske inte vill gå med på. Det kan däremot inte sägas vara en förutsättning som vissa näringsidkare generellt har svårare att uppfylla än andra. Ett krav på registrering kan därför inte anses inskränka näringsfriheten.
6.6Jämförelser mellan
Förslag: En
Skälen för förslaget: Elimineringsdatabasens syfte är att vara ett verktyg för att säkerställa att
137
brottsspår kan ha flera naturliga och legitima orsaker, men också i värsta fall ha sin grund i anknytning till själva brottet.
Ett skäl som skulle kunna tala för en sådan ordning är att fånga upp kontamineringar som kan ha skett i ärenden innan elimineringsdatabasen i den nu föreslagna omfattningen inrättas. Träffar mellan spårregistret och elimineringsdatabasen kan dock inte bara avskrivas som en arbetsrelaterad kontaminering, utan en utredning av förhållandena i den aktuella brottsutredningen skulle då behöva göras i varje fall. Detta skulle i och för sig någon gång kanske kunna leda till att brott klaras upp, nämligen om det skulle visa sig att det i något fall inte ligger en kontaminering bakom en träff utan att träffen faktiskt beror på att den registrerade haft anknytning till ett brott. Funktionen med registreringen i elimineringsdatabasen, skulle med den angivna ordningen, ha då glidit över från att handla inte bara om kvalitetssäkring till att också bli brottsutredande. Som vi redan inledningsvis i detta övervägandeavsnitt framhållit har vi tagit principiellt avstånd från en sådan ordning. I saken kan vidare anföras följande.
Ett argument för att det inte är godtagbart att använda elimineringsdatabasen i ett brottsutredande syfte är det förhållande att personer som inte är misstänkta för brott, men vars DNA- profil ändå analyseras fram i en enskild brottsutredning, inte får registreras i
138
person som i en brottsutredning frivilligt lämnar ett prov för
Sammantaget anser vi alltså att elimineringsdatabasen primärt ska få användas för att jämföra enskilda profiler som tagits fram i en brottsutredning i samband med att de första gången läggs in i spårregistret. En jämförelse bör också kunna ske även om DNA- profilen faktiskt inte lagts in i CODIS, utan jämförelsen sker på ett tidigare stadium.
Det kan emellertid tänkas att det finns enskilda fall där man behöver jämföra ett gammalt spår mot elimineringsdatabasen, t.ex. om en brottsutredning avseende ett mycket grovt brott öppnas igen och där det kan vara av särskild betydelse att få reda på om en kontaminering föreligger som kan ha lett till en felaktig registrering i det enskilda fallet. Sådana jämförelser bör därför också vara möjliga att göra. Avgränsningen av vilka brott som avses bör göras med utgångspunkt i straffskalan för brotten. Efter förebild av 3 kap. 7 § andra stycket polisdatalagen, anser vi att gränsen bör sättas vid brott för vilka är föreskrivna fängelse i fyra år eller mer. Sådana brott innefattar bl.a. grovt narkotikabrott, människohandel, mord och dråp, grov misshandel och våldtäkt.
Behovet att jämföra gamla spår kommer att minska över tid, eftersom nya spår snart kommer att regelmässigt jämföras med elimineringsdatabasen och gamla spår som inte redan jämförts så småningom kommer att gallras. Detta förhållande utgör dock
139
inte tillräckliga skäl att nu helt utesluta möjligheten att jämföra gamla spår med uppgifter i elimineringsdatabasen.
6.7Andra jämförelser än med spårregistret
Förslag: Elimineringsdatabasen ska få användas för att göra jämförelser med dels
Skälen för förslaget: En kontaminering kan, som tidigare beskrivits (avsnitt 3.5, allmänt om kontamineringar och utredningen av kontamineringar) visa sig som en blandbild, både i ett brottsplatsspår och i ett prov från en person som topsats i en brottsutredning. I båda fallen kan en jämförelse behöva ske mot profilerna i elimineringsdatabasen. I det första fallet behövs jämförelsemöjligheten med elimineringsdatabasen för att kunna utreda vad blandbilden i spårprovet beror på. En blandbild i ett prov från en brottsplats kan ju också bero på att bakgrunds- DNA från brottsplatsen finns i provet eller att biologiskt material från personer som varit inblandade i brottet sammanblandats, vid brottstillfället eller senare under hanteringen. Att med hjälp av elimineringsdatabasen så långt det är möjligt försöka utreda vad blandbilden beror på kan vara viktigt för brottsutredningen. En blandbild i ett personprov fyller inte samma funktion för en brottsutredning, utan har endast den kvalitetssäkrande funktionen att utreda hur kontamineringen uppkommit för att t.ex. ha ett underlag för att förbättra rutiner i hanteringen. Samma kvalitetssäkrande funktion har jämförelsen med elimineringsdatabasen när det gäller
140
Man skulle kunna tänka sig att med elimineringsdatabasen jämföra alla
6.8Gallring
Förslag: Personuppgifterna i elimineringsdatabasen ska gallras när de inte längre behövs för sitt syfte, dock senast ett år från det att en anställning upphörde eller ett samtycke att ingå i elimineringsdatabasen återtogs.
Skälen för förslaget: Liksom för de andra
141
För att säkerställa gallring bör en maximigräns lagfästas. Vid bestämmandet av hur lång tid som kan vara acceptabel får man beakta att DNA i sig är mycket tidsbeständigt och att SKL undersökningsärenden kan ta olika lång tid beroende på bl.a. ett ärendes komplexitet. Samtidigt bör tiden inte framstå som orimligt lång för den enskilde registrerade. Vid en avvägning mellan dessa olika intressen anser vi att en maximal gallringsfrist på ett år bör införas. Man kan naturligtvis tänka sig att frågan om kontaminering kan uppkomma, t.ex. om en gammal utredning tas upp på nytt, och att personer som hanterat bevismaterial eller deltagit i undersökningsärendet på SKL då har slutat sin anställning för mer än ett år sedan. I sådana undantagsfall finns en möjlighet att ta ett nytt
I dag jämförs
142
6.9Åtkomst till elimineringsdatabasen
Förslag: Direktåtkomst ska inte kunna medges till elimineringsdatabasen för andra brottsbekämpande myndigheter. Di- rektåtkomst ska inte heller kunna medges för utländska myndigheter och ett förtydligande bör därför införas i lagen (2000:343) om internationellt samarbete som reglerar samarbete enligt Prümrådsbeslutet.
Bedömning: Den sekretessbrytande bestämmelsen i 2 kap. 17 § polisdatalagen blir tillämplig även på elimineringsdatabasen.
Skälen för förslaget och bedömningen: I dag får ett antal myndigheter, däribland SKL, medges direktåtkomst till DNA- registren i enlighet med 4 kap. 10 § polisdatalagen. Att SKL kan medges direktåtkomst är en förutsättning för att laboratoriet ska kunna hantera
Enligt 16 § lagen om internationellt polisiärt samarbete får också utländska myndigheter medges direktåtkomst till svenska
Enligt 2 kap. 17 § polisdatalagen har SKL och vissa andra myndigheter som bedriver brottsbekämpande verksamhet rätt att få del av uppgifter ur
145 Prop. 2009/10:85 s. 181.
143
förutsättning för att dessa myndigheter ska kunna medges direktåtkomst till registren och att de också ska kunna ta del av uppgifter om identiteten på en person i registren (identitetsuppgifter omfattas inte av direktåtkomsten enligt 15 § polisdataförordningen [2010:1155]). Andra brottsbekämpande myndigheter kan ha behov av att få uppgifter om vem en
6.10Ytterligare föreskrifter
Förslag: En bestämmelse tas in i polisdatalagen som upplyser om att det kommer att finnas bestämmelser på lägre normgivningsnivå.
Skälen för förslaget: Som vi utvecklar närmare i våra förslag till bestämmelser i förordning (avsnitt 6.11) behöver vissa av lagbestämmelserna om elimineringsdatabasen kompletteras med verkställighetsföreskrifter. Det gäller kretsen av arbetstagare som ska omfattas av skyldigheten att genomgå provtagning och föreskrifter kring samtycke och återtagande av samtycke. Rikspolisstyrelsen bör också kunna meddela ytterligare föreskrifter i dessa frågor. En upplysning om att föreskrifter på lägre normgivningsnivå finns bör tas in i lagtexten. Av upplysningsbestämmelsen bör också framgå att kompletterande föreskrifter finns om utredningen av överensstämmelser mellan en
144
Frågan om hur man ska utreda träffar i elimineringsdatabasen när en jämförelse med
6.11Förslag till bestämmelser i förordning
Förslag: En förordning om elimineringsdatabasen införs med bestämmelser som närmare reglerar frågorna om skyldigheten att lämna prov, samtycke och återtagande av samtycke, information om vad registreringen innebär och utredningen av träffar i elimineringsdatabasen. Rikspolisstyrelsen ges också möjlighet att meddela ytterligare föreskrifter på dessa områden.
145
Skälen för förslaget
Elimineringsdatabasen regleras i en särskild förordning
Vissa bestämmelser bör tas in i förordning för att inte tynga lagtexten med alltför detaljerade föreskrifter. Rikspolisstyrelsen bör också få möjlighet att meddela ytterligare föreskrifter om samma frågor. Föreskrifter i förordning i anslutning till polisdatalagen finns i polisdataförordningen. Förordningen är relativt omfattande och innehåller i huvudsak bestämmelser som inte rör registren i 4 kap.146 Vi anser därför att författningsregleringen blir mer tillgänglig och tydlig om en särskild förordning om elimineringsdatabasen införs.
Skyldigheten att lämna
Arbetstagarkategorin hos polismyndigheterna som bör ingår i elimineringsdatabasen är de som regelmässigt hanterar brottsplatsspår eller på något annat sätt kommer i regelmässig kontakt med spår från brottsplatser. Det är framförallt kriminaltekniker och lokala brottsplatsundersökare som ingår i denna kategori. De utgör i dagsläget ca 500 personer.
Inom SKL är det naturligtvis i första hand den personal som arbetar direkt med
Slutligen ankommer det på Rikspolisstyrelsen att genom föreskrifter avgränsa den krets arbetstagare som ska vara skyldiga att lämna prov.
146 15 och 16 §§ är bestämmelser om direktåtkomst till register som förs enligt 4 kap.
146
Samtycke, återtagande av samtycke och information
För att det inte ska råda några tveksamheter kring lämnade och återtagna samtycken att ta prov och registreras i elimineringsdatabasen bör sådana viljeyttringar vara skriftliga.
I praktiken kommer det att bli SKL som kommer att efterfråga ett samtycke från personer som man anser bör ingå i elimineringsdatabasen. Det är naturligtvis viktigt att den som blir aktuell för samtycke också har klart för sig vad det innebär att vara registrerad i elimineringsdatabasen. Därför måste personen få information om jämförelser som kommer att ske, vilka följder det kan få om en
Även en person som är skyldig att lämna prov bör kunna få i princip samma information som den som ska samtycka. En allmän informationsskyldighet för den som är personuppgiftsansvarig för en behandling följer i och för sig av personuppgiftslagen. Denna bestämmelse är också tillämplig vid behandling i de särskilt reglerade registren enligt polisdatalagen. Vi anser ändå att informationsskyldigheten är av en sådan vikt att den bör regleras i förordning. Informationen bör ju också omfatta konsekvenserna av registreringen i en vidare bemärkelse än endast vad själva behandlingen går ut på, t.ex. vad som händer vid en träff mellan den egna profilen i elimineringsdatabasen och en annan profil, hur man ska göra för att återta ett lämnat samtycke, m.m.
Utredningen av träffar
Rutiner finns redan vid SKL för att utreda träffar mellan DNA- profiler i spårprov och profiler i elimineringsdatabasen. Det torde i många fall vara tämligen lätt att konstatera om förekomsten
147
av en anställds, eller annans, DNA i ett spårprov, beror på en kontaminering. Sådana fall bör helt kunna lämnas utanför ett förfarande som avser en brottsmisstanke. Om det sannolikt inte rör sig om en kontaminering kan förekomsten av den anställdes DNA ha olika andra förklaringar som i så fall bör utredas vidare inom ramen för den brottsutredning som pågår. Att en persons DNA finns i ett spårprov innebär ju inte per automatik att personen är en misstänkt gärningsman. Om förekomsten av den anställdes DNA anses som en fråga om att den anställde kan ha begått ett brott får utredningen fortsätta i enlighet med de särskilda regler som nu finns i förordning om handläggning av ärenden om brott av anställda inom polisen m.m.
Ytterligare föreskrifter
Rikspolisstyrelsen kan behöva ge ytterligare föreskrifter, framför allt avseende vilka arbetstagare som ska omfattas av skyldigheten att lämna prov. Inom den nya Polismyndigheten kommer denna fråga dock att regleras genom interna föreskrifter om myndighetens arbetsformer med stöd av 4 § myndighetsförordningen (2007:515). Fr.o.m. 1 januari 2015 behövs alltså inget uttryckligt bemyndigande i förordning.147
6.12Införandet av elimineringsdatabasen
Förslag:
Skälen för förslaget: SKL har redan tillgång till anställdas och andras
147 Jfr SOU 2012:78, del 1, s. 77.
148
fått information om att deras profil kan gallras på begäran. De
För personer som tidigare samtyckt till provtagning, vare sig de tillhör den krets personer som kommer att bli skyldiga att lämna prov eller de som frivilligt kan göra det, torde det dock vara det mest praktiska att inte behöva göra om provtagningen för att deras
Vi anser att den författningsreglering vi föreslagit i och för sig inte hindrar att samma
För de som är skyldiga att lämna prov bör skyldigheten för deras del kunna uppfyllas genom att de godkänner att den redan registrerade
Ett sätt att uppnå detta resultat är att införa en gallringsbestämmelse för de
149
inte finns någon gallringsbestämmelse i lag eller förordning, eller något beslut från Riksarkivet, som tillåter gallring i databasen.148 En föreskrift behövs således.
Gallringsbestämmelsen hade kunnat införas i polisdatalagen på samma sätt som den gallringsbestämmelse vi föreslår avseende den nya elimineringsdatabasen. Gallringsbestämmelsen avser dock inte de
6.13En elimineringsdatabas över fingeravtryck
Under arbetet med utredningsuppdraget rörande regleringen av en elimineringsdatabas på
För att få ett underlag för en belysning av frågan har vi genomfört en enkät till nio polismyndigheter149 och Rikskriminalpolisen. Frågan har gällt bl.a. om det finns ett behov av en nationell/regional databas med uppgifter om fingeravtryck från vissa anställda inom polisorganisationen.
Dagens reglering återfinns i huvudsak i 28 kap. 14 § rättegångsbalken, 4 kap. 11 – 17 §§ polisdatalagen, förordningen (1992:824) om fingeravtryck m.m. (fingeravtrycksförordningen) samt Rikspolisstyrelsens föreskrifter och allmänna råd om fin-
148Beslut den 28 maj 2012, dnr
149Följande polismyndigheter har tillfrågats: Polismyndigheterna i Stockholms län, Uppsala län, Östergötlands län, Blekinge län, Skåne, Västra Götaland, Dalarna, Västernorrlands län och Västerbottens län.
150
geravtryck och annan signalementsupptagning (RPSFS 2005:12; FAP
Reglerna i rättegångsbalken innebär att det av den som är anhållen eller häktad får tas bl.a. fingeravtryck. Detta gäller också för annan om det – som det heter – erfordras för vinnande av utredning om brott, varpå fängelse kan följa. Fingeravtrycksförordningen anger härtill att, om det behövs för att utreda brott på vilket fängelse kan följa, fingeravtryck får tas av den som inte är misstänkt för brottet. I Rikspolisstyrelsens föreskrifter och allmänna råd sägs, som ett allmänt råd, att på personer som avsatt fingeravtrycksspår, utan att vara misstänkta för brott, och som har befunnit sig på en brottsplats, bör jämförelseavtryck tas. Så snart den jämförande undersökningen har gjorts, ska fingeravtrycket gallras.
Bestämmelserna om fingeravtrycksregister finns i polisdatalagen. Där sägs att Rikspolisstyrelsen får föra ett fingeravtrycksregister. I registret får behandlas uppgifter om en person som är misstänkt eller dömd för brott och som har varit föremål för åtgärd enligt 28 kap. 14 § rättegångsbalken. Uppgifter om fingeravtryck som inte kan hänföras till en identifierbar person får behandlas, om uppgiften har kommit fram i en utredning om brott.
Redan av den här summariska beskrivningen kan konstateras att det idag inte finns något rättsligt utrymme för en särskild databas med uppgifter om fingeravtryck från personer som inte är misstänkta för brott. Däremot lägger dagens reglering inte hinder i vägen för att i det enskilda utredningsärendet göra jämförelse mellan ett avtryck taget från en icke misstänkt person – däribland brottsplatsundersökare och annan utredningspersonal
– och säkrade fingeravtrycksspår. Så sker också idag. Fingeravtrycksjämförelser görs idag vid Rikskriminalpoli-
sen150, Polismyndigheterna i Stockholms län, Skåne och Västra Götaland samt SKL. Av ett inriktningsbeslut från Rikspolisstyrelsen i april 2012 framgår att SKL avses bli huvudman för den forensiska verksamheten avseende identifiering av fingeravtryck.
150 Nationella fingeravtrycksavdelningen, NFA.
151
SKL har i en rapport den 30 januari 2013 redogjort för hur detta ska genomföras. Tidsplanen skissar på en verksamhetsövergång hösten 2013.
Från den enkät som utredningen har företagit hos angivna myndigheter kan följande antecknas.
Någon helt entydig bild av kontamineringsfrågan vad gäller fingeravtryck har inte framkommit. Klart anses dock att ett elimineringsinstrument i sig skulle kunna stärka kvaliteten i den tekniska bevisningen som fingeravtryck utgör. Det torde också stå klart att förekomsten av ”behöriga” fingeravtryck på en brottsplats komplicerar utredningsarbetet och stjäl mer resurser än vad en
Vid några av de tillfrågade polismyndigheterna säger man att man tar jämförelsefingeravtrycksprover i anslutning till brottsutredningarna.
Sammantaget ger enkätsvaren inte något entydigt svar i frågan om behovet av en elimineringsdatabas utöver att saken i vart fall kan behövas utredas närmare.
Vi kan för egen del i och för sig instämma i uppfattningen att frågan förtjänar att utredas mer ingående, innan man kan ta ställning om det behövs en särskild databas, och i så fall hur de rättsliga och praktiska arrangemangen ska utformas.
Att det förekommer vad man kan kalla ovidkommande fingeravtryck på en brottsplats är en sak som uppenbarligen komplicerar brottsutredningsarbetet. Saken är ganska komplext, och den berör inte bara Polisen utan också i viss mån Tullverkets och Kustbevakningens brottsbekämpande verksam. Samtidigt bedömer vi att fingeravtryckskontamineringar inte är lika problemtyngda som
152
på fingeravtrycksområdet sker, beror det dessutom för det mesta på helt omedvetna misstag och missgrepp. Sådana förebyggs bäst i första hand genom att berörd personal får mer kunskap om problematiken kring kontaminering. Till detta kommer att vi har skäl att tro att den övervägande delen av de behöriga fingeravtryck som säkras på och framkallas från en brottsplats härrör från målsägande och andra enskilda, och således inte från polispersonal. Och den problematiken kommer man inte till rätta med genom en elimineringsdatabas.
Med hänsyn till frågans komplexitet och övriga redovisade faktorer nödgas vi konstatera att det inom ramen för vårt utredningsuppdrag inte har funnits utrymme att ta hand om frågan på ett ändamålsenligt sätt. Frågans lösning är inte heller mer akut än att den kan anstå till dess att en ny organisation för fingeravtrycksidentifieringsverksamheten fullt ut har genomförts.
153
7 Ekonomiska konsekvenser
I en förstudierapport från Rikspolisstyrelsen i april 2012 gjordes bedömningen att införandet av en obligatorisk elimineringsdatabas inte kommer att bli kostnadskrävande eftersom det redan finns ett
De kostnader som kommer att uppstå till följd av att en ny rättslig reglering införs av elimineringsdatabasen rör alltså främst de kostnader som kommer att uppstå för provtagning och registrering av personer som inte redan lämnat prov till den nuvarande elimineringsdatabasen och som med våra förslag kommer att omfattas av en skyldighet att lämna prov. Det är framför allt arbetstagare hos polismyndigheterna, i första hand lokala brottsplatsutredare och kriminaltekniker, som kommer att komma i fråga för provtagning och registrering. En liten del av denna personalkategori har redan lämnat prov till elimineringsdatabasen. Enligt uppgifter från Rikspolisstyrelsen finns det sammanlagt ca 300 kriminaltekniker och ca 200 lokala brottsplatsundersökare vid landets polismyndigheter.
Kostnaden för att ta fram en
151 Förstudierapport
155
initiala kostnaderna för att utvidga elimineringsdatabasen inte överstiga 0,5 milj. kr.
Till detta kommer att det kan behövas vissa administrativa åtgärder i form av informationsinsatser, inhämtande av nya samtycken från redan registrerade, m.m. (se avsnitt 6.5). Dessa kostnader och kostnaderna för provtagning m.m. enligt ovan, som i allt väsentligt är av engångskaraktär, ryms inom det befintliga polisanslaget.
Den elimineringsdatabas som finns vid SKL har under de år den funnits inneburit vissa kostnader, t.ex. för information, utskick av blanketter, etc., samt kostnader för provtagning och registrering, registervård och andra förvaltningsåtgärder. Dessa kostnader har täckts av SKL:s medelstilldelning och bör kunna göra det även i framtiden. De löpande kostnaderna är tämligen blygsamma, särskilt sedda i relation till de kostnader en oupptäckt kontaminering i en brottsutredning kan föra med sig.
156
8 Författningskommentar
8.1Förslaget till lag om ändring i lagen om internationellt polisiärt samarbete
16 § Vid samarbete enligt Prümrådsbeslutet får ett utländskt kontaktställe medges direktåtkomst till referensuppgifter i de svenska registren över
Efter överenskommelse mellan Sverige och en annan stat får kontaktstället i den andra staten göra en automatisk jämförelse mellan sina oidentifierade
Vad som sägs i första och andra styckena gäller inte för elimineringsdatabasen.
I paragrafen regleras åtkomst till de svenska registren över
157
8.2Förslaget till lag om ändring i polisdatalagen med ikraftträdande den 1 januari 2014
4 kap.
1 a § Rikspolisstyrelsen får även föra ett register över
Behandling av uppgifter i elimineringsdatabasen får ske för att spåra och utreda kontamineringar. Vid en överensstämmelse mellan en
Paragrafen reglerar förandet av och ändamålen med behandlingen av personuppgifter i elimineringsdatabasen. Skälen för förslaget har behandlats i avsnitt 6.2 och 6.4. Det främsta syftet med elimineringsdatabasen är att göra jämförelser med andra
158
basen också få användas i den aktuella brottsutredningen, vilket framgår av bestämmelsen.
Det kan också tänkas att överensstämmelser mellan DNA- profiler i elimineringsdatabasen och andra
6 §
1.som inte kan hänföras till en identifierbar person,
2.som finns i
3.som kan hänföras till en person som är skäligen misstänkt för brott.
4.som finns i elimineringsdatabasen och under de förutsättningar som anges i 6 c §.
Paragrafen behandlar de jämförelser som får ske mellan DNA- profiler i spårregistret och andra
Elimineringsdatabasen
6 a § Elimineringsdatabasen får innehålla
Det som anges i 3 § första stycket gäller också vid registrering i elimineringsdatabasen.
159
Utöver
Paragrafen, som är ny, har behandlats i avsnitt 6.2 och 6.4. I första stycket anges vilket innehåll elimineringsdatabasen får ha. Ge- nom en hänvisning i andra stycket till 3 § första stycket gäller samma förutsättningar för registrering av en
6 b § En arbetstagare hos en polismyndighet eller Statens kriminaltekniska laboratorium är skyldig att lämna prov för
Andra personer än arbetstagare som anges i första stycket får lämna prov för
Paragrafen, som är ny, har behandlats i avsnitt 6.2 och 6.5. Av bestämmelsen framgår vilken krets av personer som ingår med sina
Första stycket innehåller en skyldighet för arbetstagare att lämna
160
heterna och Statens kriminaltekniska laboratorium omfattas av grundlagsskyddet i 2 kap. 6 § regeringsformen mot påtvingade kroppsliga ingrepp, krävs lagstöd för att de ska kunna vara skyldiga att lämna ett prov för
Arbetstagare hos en polismyndighet kan också omfatta arbetstagare hos Rikspolisstyrelsen. Av 7 § polislagen (1984:387) följer att om regeringen uppdrar åt Rikspolisstyrelsen att isärskilda hänseenden leda polisverksamhet, gäller vad som i lag eller annan författning föreskrivs om polismyndighet i tillämpliga delar även för Rikspolisstyrelsen. I förordning (1989:773) med instruktion för Rikspolisstyrelsen har regeringen gett Rikspolisstyrelsen uppgifter i dessa hänseenden (4 – 6 §§).
Andra stycket innehåller en bestämmelse om att andra personer än arbetstagare får lämna prov under förutsättning bl.a. att de samtycker till provtagning och efterföljande registrering i elimineringsdatabasen. Andra personer som behöver ingå i elimineringsdatabasen för att den ska fylla en kvalitetssäkrande funktion är personer som har koppling till SKL genom att de t.ex. vistas i lokalerna. Personer som inte är arbetstagare och inte står i ett formellt beroendeförhållande till SKL kan inte anses tvingade att lämna prov för att ingå i elimineringsdatabasen, även om detta ställs upp som en förutsättning från laboratoriets sida för att en person t.ex. ska få tillträde till lokalerna. Utöver lämnat samtycke är det en förutsättning för provtagning, även för andra personer än arbetstagare, att det finns en risk för att personens DNA kan komma att kontaminera undersökningsmaterial eller prover. Denna förutsättning framgår av bestämmelsens andra stycke genom en hänvisning till första stycket.
6 c § En
161
med att så sker för första gången. Jämförelsen måste göras innan jämförelse sker med andra
Enskilda
Paragrafen, som är ny, har behandlats i avsnitt 6.2 och 6.6. I bestämmelsen anges de förutsättningar under vilka jämförelser får ske mellan
162
och med träffen i elimineringsdatabasen finns inte längre förutsättningar för att ha den registrerad i spårregistret. Begränsningarna i jämförelsemöjligheterna har införts för att så långt det är möjligt förhindra att
I andra stycket ges en möjlighet att jämföra en
6 d § En
Med
Paragrafen, som är ny, har behandlats i avsnitt 6.2 och 6.7. Den reglerar de övriga jämförelser som får ske mellan
163
blandbild. Alla
7 a § Uppgifter i elimineringsdatabasen ska gallras när de inte längre behövs för att utreda om en persons DNA kan ha kontaminerat undersökningsmaterial eller prover.
Uppgifter i elimineringsdatabasen som avser arbetstagare vid en polismyndighet och Statens kriminaltekniska laboratorium ska gallras senast ett år efter det att anställningsförhållandet har upphört.
Om någon som lämnat sitt samtycke till provtagning och registrering i elimineringsdatabasen inte längre samtycker till registrering ska uppgifterna gallras senast ett år efter det att detta har meddelats Rikspolisstyrelsen.
Paragrafen, som är ny, har behandlats i avsnitt 6.8. I första stycket anges som huvudregel att uppgifter i elimineringsdatabasen ska gallras när de inte längre behövs för sitt syfte att avslöja kontamineringar. I andra och tredje styckena anges maximifrister för hur länge uppgifterna i elimineringsdatabasen får bevaras för de olika kategorier personer som ingår i den. Maximifristen har bestämts till ett år efter att anställningen upphört eller lämnats samtycke återtagits. Uppgifter i elimineringsdatabasen ska alltså ändå gallras efter kortare tid än ett år, om det står klart att en persons DNA då inte längre utgör en kontamineringsrisk.
8 § Om det i samband med utredning av ett brott har tagits ett prov för
Detsamma gäller för ett prov som har tagits för
I paragrafen, som begränsar användningen av ett prov som tagits för
164
Första stycket är oförändrat. Bestämmelsen har behandlats i avsnitt 6.2 och 6.5.
9 § Ett prov för
Detsamma gäller för ett prov som har tagits för
I paragrafen, som anger när ett prov för
10 § Polismyndigheter, Ekobrottsmyndigheten, Åklagarmyndigheten, Tullverket, Kustbevakningen och Statens kriminaltekniska laboratorium får medges direktåtkomst till
En myndighet som medgetts direktåtkomst ansvarar för att tillgången till personuppgifter begränsas till vad varje tjänsteman behöver för att kunna fullgöra sina arbetsuppgifter.
Regeringen eller den myndighet som regeringen bestämmer meddelar närmare föreskrifter om omfattningen av direktåtkomsten samt om behörighet och säkerhet.
Paragrafen reglerar möjligheten för brottsbekämpande myndigheter och för SKL att få direktåtkomst till
165
av tillägget till första stycket. Andra och tredje styckena är oförändrade.
Ytterligare föreskrifter
10 a § Regeringen eller den myndighet regeringen bestämmer meddelar ytterligare föreskrifter om kretsen arbetstagare som omfattas av skyldigheten i 6 a § första stycket, samtycke och återtagande av samtycke samt utredningen av överensstämmelser mellan en DNA- profil i elimineringsdatabasen och en annan
Paragrafen, som är ny, har behandlats i avsnitt 6.10. Den innehåller en upplysning att det kan komma att finnas bestämmelser som rör elimineringsdatabasen på lägre normgivningsnivå, dels verkställighetsföreskrifter, dels föreskrifter som beslutas med stöd av regeringens restkompetens.
8.3Förslaget till lag om ändring i polisdatalagen med ikraftträdande den 1 januari 2015
1kap.
2b § Följande bestämmelser i lagen gäller i Statens kriminaltekniska laboratoriums verksamhet med att utföra laboratorieundersökningar som föranleds av misstanke om brott och annan verksamhet i samband därmed:
3.2 kap.
4.3 kap. 5 §.
3kap. 5 § tillämpas oavsett om uppgifterna inom Statens kriminaltekniska laboratorium anses ha gjorts gemensamt tillgängliga.
Vid sådan behandling av personuppgifter som sker i de särskilt reglerade registren enligt 4 kap. tillämpas denna lag för den behandling som sker vid Statens kriminaltekniska laboratorium.
166
I övrigt tillämpas personuppgiftslagen (1998:204) vid behandling av personuppgifter som sker vid Statens kriminaltekniska laboratorium i verksamhet som avses i första stycket.
Paragrafen, som är ny, har behandlats i avsnitt 5.4. I första stycket anges vilka bestämmelser i polisdatalagen som är tillämpliga i SKL:s forensiska verksamhet. Genom att bestämmelsen om tillgång till personuppgifter tillämpas kan tillgången till personuppgifter i den forensiska verksamheten begränsas inom Statens kriminaltekniska laboratorium, om det skulle anses nödvändigt. Personal inom laboratoriet kan också ges tillgång till andra uppgifter i Polisens brottsbekämpande verksamhet om det finns ett sådant behov. Laboratoriet har i dag direktåtkomst till uppgifter i
Av andra stycket framgår att polisdatalagens bestämmelser ska vara tillämpliga också när SKL behandlar personuppgifter i de särskilt reglerade registren, vilket också inkluderar elimineringsdatabasen.
Av tredje stycket framgår slutligen att personuppgiftslagen i övrigt är den författning som reglerar personuppgiftsbehandlingen i SKL:s forensiska verksamhet.
167
4 kap.
1 a § Polismyndigheten får även föra ett register över DNA- profiler i syfte att stärka kvaliteten i den forensiska DNA- verksamheten (elimineringsdatabasen) i enlighet med
Behandling av uppgifter i elimineringsdatabasen får ske för att spåra och utreda kontamineringar. Vid en överensstämmelse mellan en
Paragrafen reglerar förandet av och ändamålen med behandlingen av personuppgifter i elimineringsdatabasen. I första stycket har ordet Rikspolisstyrelsen bytts ut mot Polismyndigheten till följd av att Rikspolisstyrelsen per den 1 januari 2015, tillsammans med de 21 polismyndigheterna och SKL, uppgår i den nya Polismyndigheten. Andra stycket är oförändrat.
6 b § En arbetstagare hos Polismyndigheten är skyldig att lämna prov för
Andra personer än arbetstagare som anges i första stycket får lämna prov för
I paragrafen regleras vilken krets av personer som ingår med sina
168
polismyndigheterna och SKL, uppgår i den nya Polismyndigheten. Andra stycket är oförändrat.
7 a § Uppgifter i elimineringsdatabasen ska gallras när de inte längre behövs för att utreda om en persons DNA kan ha kontaminerat undersökningsmaterial eller prover.
Uppgifter i elimineringsdatabasen som avser arbetstagare hos Polismyndigheten ska gallras senast ett år efter det att anställningsförhållandet har upphört.
Om någon som lämnat sitt samtycke till provtagning och registrering i elimineringsdatabasen inte längre samtycker till registrering ska uppgifterna gallras senast ett år efter det att detta har meddelats Polismyndigheten.
Paragrafen innehåller gallringsbestämmelser för uppgifterna i elimineringsdatabasen. I första och andra styckena har ordet Rikspolisstyrelsen bytts ut mot Polismyndigheten till följd av att Rikspolisstyrelsen per den 1 januari 2015, tillsammans med de 21 polismyndigheterna och SKL, uppgår i den nya Polismyndigheten. Första stycket är oförändrat.
10 § Ekobrottsmyndigheten, Åklagarmyndigheten, Tullverket och Kustbevakningen får medges direktåtkomst till
En myndighet som medgetts direktåtkomst ansvarar för att tillgången till personuppgifter begränsas till vad varje tjänsteman behöver för att kunna fullgöra sina arbetsuppgifter.
Regeringen eller den myndighet som regeringen bestämmer meddelar närmare föreskrifter om omfattningen av direktåtkomsten samt om behörighet och säkerhet.
Paragrafen reglerar möjligheten att medge direktåtkomst till
169
har därför utgått i bestämmelsens första stycke. Andra och tredje styckena är oförändrade.
170
Uppdraget
Uppdrag angående behandling av personuppgifter vid Statens kriminaltekniska laboratorium
Bakgrund
Statens kriminaltekniska laboratorium
Statens kriminaltekniska laboratorium (SKL) är en del av polisväsendet. Myndighetens verksamhet regleras i förordningen (1978:677) med instruktion för Statens kriminaltekniska laboratorium. Laboratoriets huvudsakliga uppdrag är att utföra kriminaltekniska undersökningar som föranleds av misstanke om brott. Myndigheten ansvarar även för forskning, utveckling, information, utbildning samt stöd och service till hela det kriminaltekniska området. Vid SKL arbetar knappt 300 personer. Dessa är inte poliser utan huvudsakligen experter inom sina respektive verksamhetsområden som fungerar som sakkunniga biträden eller expertorgan åt polismyndigheterna.
Den personuppgiftsbehandling som förekommer vid SKL är dels behandling där SKL är personuppgiftsbiträde åt Rikspolisstyrelsen och då behandlar uppgifter med stöd av polisdatalagen
171
(2010:361), dels personuppgiftsbehandling med stöd av personuppgiftslagen (1998:204).
Elimineringsdatabasen
I syfte att stärka tillförlitligheten i den forensiska
I elimineringsdatabasen finns
172
profiler i elimineringsdatabasen utreds enligt särskilt fastställda rutiner vid SKL. Om det inte kan beläggas att det varit fråga om en oavsiktlig kontamination överlämnas frågan till polis eller åklagare för vidare utredning.
Datainspektionens tillsynsärende
Datainspektionen (DI) inledde den 23 mars 2012 tillsyn mot SKL i syfte att kontrollera om den personuppgiftsbehandling som sker i laboratoriets elimineringsdatabas är förenlig med gällande rätt (dnr
173
avlidna. DI ansåg därför – i motsats till SKL – att personuppgiftslagen inte kan utgöra rättslig grund för behandling av personuppgifter som innefattar en jämförelse med
När det gäller frågan om elimineringsdatabasen lagligen kan föras och användas för icke brottsbekämpande ändamål anförde DI att det finns omständigheter som talar starkt för att den behandling av
DI:s beslut har överklagats och har således inte vunnit laga kraft.
Behovet av en utredning
Utlåtanden angående
174
Det finns idag ingen särskild registerförfattning som reglerar SKL:s personuppgiftsbehandling. I samband med införandet av den nya polisdatalagen anförde regeringen att det kunde finnas anledning att i ett annat sammanhang överväga behovet av att särskilt författningsreglera personuppgiftsbehandlingen vid laboratoriet (prop. 2009/10:85 s 71 f.). Den nu aktuella frågan och den snabba utvecklingen inom området för kriminalteknik gör att det finns skäl att närmare överväga om den personuppgiftsbehandling som sker vid SKL bör regleras särskilt.
Uppdraget
En utredare ska kartlägga vilken personuppgiftsbehandling som förekommer vid SKL och med utgångspunkt i detta överväga behovet av att särskilt reglera personuppgiftsbehandlingen vid laboratoriet. Utredaren ska lämna förslag till de författningsändringar som bedöms vara nödvändiga och lämpliga.
När det gäller frågan om tillförlitligheten i den forensiska DNA- verksamheten ska utredaren se över behovet av och föreslå de författningsändringar som bedöms vara nödvändiga och lämpliga för att begränsa risken för att kontamination påverkar DNA- analyser. I denna del av uppdraget ingår bl.a. att ta ställning till
•vilka personkategorier som bör omfattas av en eventuell reglering,
•om det bör vara obligatoriskt för berörda personer att lämna prover och vad som bör gälla i fråga om prover och provtagning,
•hur regleringen av den personuppgiftsbehandling som bedöms vara nödvändig ska se ut och vilken myndighet som ska vara personuppgiftsansvarig för sådan personuppgiftsbehandling,
•vilka jämförelser med andra
tillåtas,
•hur en eventuell överensstämmelse med en annan DNA- profil ska hanteras på ett rättssäkert och effektivt sätt.
175
Vid genomförandet av uppdraget ska utredaren hålla sig underrättad om arbete i näraliggande frågor som bedrivs inom Regeringskansliet, särskilt beredningen av Polisorganisationskommitténs förslag till ny polisorganisation och förhandlingarna av EU:s nya dataskyddspaket. Utredaren ska i lämplig omfattning inhämta upplysningar från och samråda med berörda myndigheter.
Utredaren ska redovisa vilka ekonomiska konsekvenser förslagen kan komma att medföra och föreslå hur eventuella kostnader ska finansieras.
Uppdraget ska redovisas senast den 31 januari 2013.
176