Regeringens proposition 2019/20:106

Stärkt integritet i Rättsmedicinalverkets Prop.
verksamhet 2019/20:106

Regeringen överlämnar denna proposition till riksdagen.

Stockholm den 5 mars 2020

Stefan Löfven

Morgan Johansson (Justitiedepartementet)

Propositionens huvudsakliga innehåll

Regeringen föreslår två nya lagar för Rättsmedicinalverkets verksamhet, lagen om Rättsmedicinalverkets behandling av personuppgifter och lagen om Rättsmedicinalverkets elimineringsdatabas, i syfte att både stärka skyddet för den personliga integriteten och öka effektiviteten i verksamheten. De nya lagarna kommer att uppfylla kraven i både EU:s

dataskyddsförordning och EU:s dataskyddsdirektiv på det brottsbekämpande området.

Lagen om Rättsmedicinalverkets behandling av personuppgifter kommer, med de undantag som uttryckligen anges i lagen, att vara tillämplig på all behandling av personuppgifter som äger rum vid Rättsmedicinalverket. Genom lagen om Rättsmedicinalverkets elimineringsdatabas införs tydliga rättsliga förutsättningar för att Rättsmedicinalverket ska kunna föra en elimineringsdatabas i syfte att stärka kvaliteten i den rättsgenetiska verksamheten med dna-analyser.

De nya lagarna föreslås träda i kraft den 1 juli 2020.

1

Prop. 2019/20:106 Innehållsförteckning

1 Förslag till riksdagsbeslut ................................................................. 4
2 Lagtext .............................................................................................. 5
  2.1 Förslag till lag om Rättsmedicinalverkets behandling  
    av personuppgifter.............................................................. 5
  2.2 Förslag till lag om Rättsmedicinalverkets  
    elimineringsdatabas ............................................................ 9
3 Ärendet och dess beredning ............................................................ 12
4 Rättsmedicinalverkets organisation och uppdrag............................ 13
5 Dataskyddsregleringen.................................................................... 14
  5.1 Dataskyddsförordningen och dataskyddslagen ................ 14
  5.2 Dataskyddsdirektivet och brottsdatalagen ........................ 16
  5.3 Dataskyddsregleringens tillämpning i  
    Rättsmedicinalverkets verksamhet ................................... 17
6 En lag om Rättsmedicinalverkets behandling av  
  personuppgifter ............................................................................... 17
  6.1 Behovet av en särskild reglering av behandlingen av  
    personuppgifter i Rättsmedicinalverkets verksamhet ....... 17
  6.2 Gränsdragningsfrågor....................................................... 19
  6.3 En lag om behandling av personuppgifter i  
    Rättsmedicinalverkets verksamhet ................................... 22
    6.3.1 Normgivningsnivå och författningens  
      namn ................................................................ 22
    6.3.2 Förhållandet till den allmänna  
      dataskyddsregleringen och till  
      brottsdatalagen................................................. 25
    6.3.3 Förhållandet till andra författningar ................ 27
    6.3.4 Utgångspunkter för den nya lagen................... 28
    6.3.5 Lagens syfte..................................................... 29
    6.3.6 Lagens tillämpningsområde............................. 30
    6.3.7 Dataskyddsregleringen ska i tillämpliga  
      delar även gälla vid behandling av  
      uppgifter om avlidna ....................................... 31
    6.3.8 Rättsmedicinalverket ska vara  
      personuppgiftsansvarigt................................... 33
    6.3.9 Rättslig grund och ändamål för  
      behandling av personuppgifter på  
      dataskyddsförordningens  
      tillämpningsområde ......................................... 36
    6.3.10 Rättslig grund och ändamål för  
      behandling av personuppgifter på  
      brottsdatalagens tillämpningsområde .............. 41
    6.3.11 Begreppet känsliga personuppgifter ................ 44
    6.3.12 Behandling av känsliga personuppgifter  
      inom dataskyddsförordningens  
      tillämpningsområde ......................................... 45

2

    6.3.13 Behandling av känsliga personuppgifter Prop. 2019/20:106
      inom brottsdatalagens  
      tillämpningsområde ........................................ 50
    6.3.14 Elektroniskt utlämnande av  
      personuppgifter............................................... 54
    6.3.15 Rätt att meddela föreskrifter ........................... 56
    6.3.16 Tillsyn och sanktionsavgifter.......................... 57
    6.3.17 Skadestånd...................................................... 59
    6.3.18 Tillgången till personuppgifter ....................... 60
    6.3.19 Dataskyddsombud .......................................... 61
    6.3.20 Avgiftsfri information..................................... 63
    6.3.21 Begränsning av rätten till information om  
      personuppgiftsincidenter ................................ 64
7 En lag om Rättsmedicinalverkets elimineringsdatabas .................. 66
  7.1 Rättsmedicinalverkets elimineringsdatabas..................... 66

7.2Rättsmedicinalverkets elimineringsdatabas bör

författningsregleras.......................................................... 67

7.3Förutsättningar och ändamål för behandlingen av

    personuppgifter................................................................ 69
  7.4 Innebörden av vissa uttryck............................................. 70
  7.5 Förhållandet till annan dataskyddsreglering .................... 71
  7.6 Rättsmedicinalverket är personuppgiftsansvarigt ............ 72
  7.7 Elimineringsdatabasens innehåll ..................................... 72
  7.8 Provtagning ..................................................................... 74
  7.9 Användning av elimineringsdatabasen ............................ 75
  7.10 Längsta tid för behandling............................................... 76
  7.11 Skadestånd....................................................................... 77
  7.12 Rätt att meddela föreskrifter ............................................ 78
  7.13 Sekretess för uppgifter i elimineringsdatabasen .............. 79
8 Ikraftträdande- och övergångsbestämmelser.................................. 80
9 Konsekvenser av förslagen ............................................................ 82
10 Författningskommentar .................................................................. 84

10.1Förslaget till lag om Rättsmedicinalverkets

behandling av personuppgifter ........................................ 84

10.2Förslaget till lag om Rättsmedicinalverkets

  elimineringsdatabas ....................................................... 100
Bilaga 1 Sammanfattning av betänkandet Stärkt integritet i  
  Rättsmedicinalverkets verksamhet (SOU 2017:80)....... 107
Bilaga 2 Betänkandets lagförslag................................................. 114
Bilaga 3 Förteckning över remissinstanser .................................. 122
Bilaga 4 Lagrådsremissens lagförslag.......................................... 123
Bilaga 5 Lagrådets yttrande ......................................................... 130
Utdrag ur protokoll vid regeringssammanträde den 5 mars 2020 ........ 131

3

Prop. 2019/20:106 1 Förslag till riksdagsbeslut

Regeringens förslag:

1.Riksdagen antar regeringens förslag till lag om Rättsmedicinalverkets behandling av personuppgifter.

2.Riksdagen antar regeringens förslag till lag om Rättsmedicinalverkets elimineringsdatabas.

4

2 Lagtext Prop. 2019/20:106
 

Regeringen har följande förslag till lagtext.

2.1Förslag till lag om Rättsmedicinalverkets behandling av personuppgifter

Härigenom föreskrivs följande.

1 kap. Allmänna bestämmelser Lagens tillämpningsområde

1 § Denna lag gäller vid behandling av personuppgifter i Rättsmedicinalverkets verksamhet.

Lagen gäller endast om behandlingen är helt eller delvis automatiserad eller om personuppgifterna ingår i eller kommer att ingå i ett register.

Lagens uppbyggnad

2 § I detta kapitel finns allmänna bestämmelser om behandling av personuppgifter i Rättsmedicinalverkets verksamhet.

Bestämmelserna i 2 kap. gäller vid behandling av personuppgifter inom det område som omfattas av Europaparlamentets och rådets förordning (EU) 2016/679 av den 27 april 2016 om skydd för fysiska personer med avseende på behandling av personuppgifter och om det fria flödet av sådana uppgifter och om upphävande av direktiv 95/46/EG (allmän dataskyddsförordning), här benämnd EU:s dataskyddsförordning.

Bestämmelserna i 3 kap. gäller vid behandling av personuppgifter inom det område som omfattas av brottsdatalagen (2018:1177).

Förhållandet till annan reglering

3 § Denna lag kompletterar EU:s dataskyddsförordning.

Vid behandling av personuppgifter enligt denna lag gäller lagen

(2018:218) med kompletterande bestämmelser till EU:s dataskyddsförordning och föreskrifter som har meddelats i anslutning till den lagen, om inte annat följer av denna lag eller föreskrifter som har meddelats i anslutning till lagen.

4 § När Rättsmedicinalverket i egenskap av behörig myndighet enligt 1 kap. 6 § brottsdatalagen (2018:1177) behandlar personuppgifter enligt denna lag i syfte att förebygga, förhindra eller upptäcka brottslig verksamhet, utreda eller lagföra brott eller verkställa straffrättsliga påföljder gäller brottsdatalagen och föreskrifter som har meddelats i anslutning till den lagen, om inte annat följer av denna lag eller föreskrifter som har meddelats i anslutning till lagen.

5 § Denna lag gäller inte när personuppgifter behandlas med stöd av  
1. lagen (1999:353) om rättspsykiatriskt forskningsregister, 5

Prop. 2019/20:106 2. lagen (2003:460) om etikprövning av forskning som avser människor, eller

3. patientdatalagen (2008:355).

6 § I lagen (2020:0000) om Rättsmedicinalverkets elimineringsdatabas finns bestämmelser om Rättsmedicinalverkets behandling av personuppgifter i myndighetens elimineringsdatabas.

Uppgifter om avlidna

7 § Följande reglering ska i tillämpliga delar gälla även vid behandling av uppgifter om avlidna i Rättsmedicinalverkets verksamhet:

1.denna lag och föreskrifter som har meddelats i anslutning till den,

2.EU:s dataskyddsförordning, lagen (2018:218) med kompletterande bestämmelser till EU:s dataskyddsförordning och föreskrifter som har meddelats i anslutning till den, och

3.brottsdatalagen (2018:1177) och föreskrifter som har meddelats i anslutning till den.

Personuppgiftsansvar

8 § Rättsmedicinalverket är personuppgiftsansvarigt för behandling av personuppgifter i myndighetens verksamhet.

Elektroniskt utlämnande av personuppgifter

9 § Personuppgifter får lämnas ut elektroniskt om det inte är olämpligt. Utlämnande får dock inte ske i form av direktåtkomst.

Regeringen eller den myndighet som regeringen bestämmer kan med stöd av 8 kap. 7 § regeringsformen meddela ytterligare föreskrifter om begränsningar av möjligheten att lämna ut personuppgifter elektroniskt.

2 kap. Behandling av personuppgifter inom det område som omfattas av EU:s dataskyddsförordning

Ändamål

1 § Rättsmedicinalverket får behandla personuppgifter om det är nödvändigt för att myndigheten ska kunna utföra sina uppgifter i den rättspsykiatriska, rättskemiska, rättsmedicinska eller rättsgenetiska verksamheten.

2 § Personuppgifter som behandlas enligt 1 § får även behandlas för att fullgöra uppgiftslämnande som sker i överensstämmelse med lag eller förordning.

Personuppgifterna får behandlas även för andra ändamål, under förutsättning att uppgifterna inte behandlas på ett sätt som är oförenligt med det ändamål för vilket uppgifterna samlades in.

6

Sökförbud

3 § Det är förbjudet att göra sökningar i syfte att få fram ett urval av personer grundat på personuppgifter som avslöjar ras, etniskt ursprung, politiska åsikter, religiös eller filosofisk övertygelse eller medlemskap i fackförening eller som rör sexualliv eller sexuell läggning.

4 § Sökförbudet i 3 § hindrar inte att särskilda beteckningar för identifiering av en viss ärendetyp, brottsrubriceringar eller uppgifter som beskriver en persons utseende används som sökbegrepp.

Sökförbudet hindrar inte heller sökning i en viss handling eller i ett visst ärende.

Tillgången till personuppgifter

5 § Tillgången till personuppgifter ska begränsas till det som var och en behöver för att kunna fullgöra sina arbetsuppgifter.

Information om personuppgiftsincidenter

6 § Den personuppgiftsansvariges skyldighet att informera den registrerade om en personuppgiftsincident enligt artikel 34 i EU:s dataskyddsförordning gäller inte sådana uppgifter som den personuppgiftsansvarige inte får lämna ut till den registrerade enligt lag eller annan författning eller enligt beslut som har meddelats med stöd av författning.

Rätt att meddela föreskrifter

7 § Regeringen eller den myndighet som regeringen bestämmer kan med stöd av 8 kap. 7 § regeringsformen

1.meddela föreskrifter om begränsningar av möjligheten att göra sökningar i syfte att få fram ett urval av personer grundat på uppgifter om hälsa, biometriska uppgifter och genetiska uppgifter samt sådana sökningar som anges i 4 §, och

2.meddela närmare föreskrifter om tillgången till personuppgifter enligt

5 §.

3 kap. Behandling av personuppgifter inom det område som omfattas av brottsdatalagen

Ändamål

1 § Rättsmedicinalverket får behandla personuppgifter om det är nödvändigt för att myndigheten ska kunna utföra följande uppgifter:

1.förebygga, förhindra eller upptäcka brottslig verksamhet,

2.utreda eller lagföra brott,

3.verkställa straffrättsliga påföljder, eller

4.fullgöra förpliktelser som följer av internationella åtaganden.

Prop. 2019/20:106

7

Prop. 2019/20:106 2 § Förutsättningarna för att behandla personuppgifter som behandlas
med stöd av 1 § för nya ändamål regleras i 2 kap. 4 och 22 §§

8

brottsdatalagen (2018:1177).

Biometriska och genetiska uppgifter

3 § Rättsmedicinalverket får behandla biometriska och genetiska uppgifter om det är absolut nödvändigt för ändamålet med behandlingen.

Sökförbud

4 § Det är förbjudet att göra sökningar i syfte att få fram ett urval av personer grundat på personuppgifter som avslöjar ras, etniskt ursprung, politiska åsikter, religiös eller filosofisk övertygelse eller medlemskap i fackförening eller som rör sexualliv eller sexuell läggning.

5 § Sökförbudet i 4 § hindrar inte att särskilda beteckningar för identifiering av en viss ärendetyp, brottsrubriceringar eller uppgifter som beskriver en persons utseende används som sökbegrepp.

Sökförbudet hindrar inte heller sökning i en viss handling eller i ett visst ärende.

Sanktionsavgifter

6 § En sanktionsavgift får tas ut av den personuppgiftsansvarige vid överträdelse av bestämmelserna i

1 § om ändamål, eller

4 § om sökförbud.

En sanktionsavgift får också tas ut vid överträdelse av de föreskrifter som anges i 8 § 1.

Sanktionsavgiften ska bestämmas till högst 10 000 000 kronor.

Skadestånd

7 § Bestämmelsen om skadestånd i 7 kap. 1 § brottsdatalagen (2018:1177) ska tillämpas vid behandling av personuppgifter i strid med denna lag eller föreskrifter som har meddelats i anslutning till den.

Rätt att meddela föreskrifter

8 § Regeringen eller den myndighet som regeringen bestämmer kan med stöd av 8 kap. 7 § regeringsformen

1.meddela föreskrifter om begränsningar av möjligheten att göra sökningar i syfte att få fram ett urval av personer grundat på uppgifter om hälsa, biometriska uppgifter och genetiska uppgifter samt sökningar som anges i 5 §, och

2.meddela närmare föreskrifter om tillgången till personuppgifter.

1. Denna lag träder i kraft den 1 juli 2020.

2. En sanktionsavgift enligt 3 kap. 6 § får beslutas endast för överträdelser som har skett efter ikraftträdandet.

2.2 Förslag till lag om Rättsmedicinalverkets Prop. 2019/20:106 elimineringsdatabas

Härigenom föreskrivs följande.

Ändamål

1 § Rättsmedicinalverket får föra ett register över dna-profiler i syfte att stärka kvaliteten i den rättsgenetiska verksamheten med dna-analyser (elimineringsdatabasen) i enlighet med denna lag.

Uppgifter i elimineringsdatabasen får endast behandlas för att upptäcka och utreda kontamineringar av det som är föremål för dna-analys.

Innebörden av vissa uttryck

2 § I denna lag avses med

dna-analys: varje förfarande som kan användas för analys av deoxiribonukleinsyra i humant material, och

dna-profil: resultatet av en dna-analys som presenteras i form av siffror eller bokstäver.

Förhållandet till annan dataskyddsreglering

3 § Vid behandling av personuppgifter enligt denna lag gäller lagen (2020:000) om Rättsmedicinalverkets behandling av personuppgifter och föreskrifter som har meddelats i anslutning till den lagen, om inte annat följer av denna lag eller föreskrifter som har meddelats i anslutning till lagen.

Personuppgiftsansvar

4 § Rättsmedicinalverket är personuppgiftsansvarigt för behandling av personuppgifter i elimineringsdatabasen.

Innehåll

5 § Elimineringsdatabasen får innehålla dna-profiler från personer som anges i 6 och 7 §§ och som genom att komma i kontakt med material eller prover som ska bli föremål för dna-analys eller lokaler där sådana analyser utförs riskerar att kontaminera dessa. Databasen får också innehålla dnaprofiler som har påträffats vid en dna-analys och som inte kan hänföras till en identifierad person.

En dna-profil som registreras i databasen får endast ge information om identitet och inte om personliga egenskaper.

Utöver dna-profiler får elimineringsdatabasen innehålla uppgifter om vem dna-profilen avser.

Provtagning

6 § Anställda vid Rättsmedicinalverket och andra som återkommande kan komma i kontakt med och därigenom riskerar att kontaminera material

som används vid dna-analys, prover som ska bli föremål för dna-analys

9

Prop. 2019/20:106 eller lokaler där sådana analyser utförs, är skyldiga att lämna prov för dnaanalys i syfte att dna-profilen ska registreras i elimineringsdatabasen. Provet tas i form av salivprov.

7 § För att få tillträde till en lokal där dna-prover hanteras eller förvaras är även den som inte omfattas av 6 § men som riskerar att kontaminera lokalen, prover som ska bli föremål för dna-analys eller material som används för dna-analys skyldig att lämna prov för dna-analys i syfte att dna-profilen ska registreras i elimineringsdatabasen. Provet tas i form av salivprov.

8 § Ett prov för dna-analys som har tagits med stöd av 6 eller 7 § får inte användas för något annat ändamål än det som provet togs för och ska förstöras senast sex månader efter det att provet togs.

Användning av elimineringsdatabasen

9 § Dna-profiler i elimineringsdatabasen får endast användas för jämförelser med

1.dna-profiler från prov som analyseras vid Rättsmedicinalverket, och

2.dna-profiler som har tagits fram för att kvalitetssäkra den rättsgenetiska verksamheten med dna-analyser.

Längsta tid för behandling

10 § Uppgifter i elimineringsdatabasen får behandlas så länge de behövs för att upptäcka och utreda om en persons dna kan ha kontaminerat material, prover eller lokaler, dock som längst den tid som anges i andra– fjärde styckena.

Uppgifter som rör anställda vid Rättsmedicinalverket får inte behandlas längre än två år efter det att det förhållande som grundade skyldigheten att lämna prov upphörde.

Uppgifter som har registrerats med stöd av 7 § får inte behandlas längre än ett år efter det att uppgifterna registrerades.

Uppgifter som rör andra än de som anges i andra och tredje styckena får inte behandlas längre än ett år efter det att det förhållande som grundade skyldigheten att lämna prov upphörde.

Bestämmelsen i 2 kap. 17 § andra stycket brottsdatalagen (2018:1177) gäller inte vid tillämpning av denna paragraf.

Skadestånd

11 § Inom det område som omfattas av brottsdatalagen (2018:1177) ska bestämmelsen om skadestånd i 7 kap. 1 § brottsdatalagen tillämpas vid behandling av personuppgifter i strid med denna lag eller föreskrifter som har meddelats i anslutning till den.

Rätt att meddela föreskrifter

12 § Regeringen eller den myndighet som regeringen bestämmer kan med stöd av 8 kap. 7 § regeringsformen

10

1.meddela närmare föreskrifter om vilka personalkategorier vid Rättsmedicinalverket och vilka andra personkategorier enligt 6 och 7 §§ som är skyldiga att lämna prover för dna-analys till elimineringsdatabasen,

2.meddela närmare föreskrifter om tillgången till uppgifter i elimineringsdatabasen, och

3.meddela föreskrifter om förfarandet vid överensstämmelse mellan en dna-profil i elimineringsdatabasen och en annan dna-profil.

1.Denna lag träder i kraft den 1 juli 2020.

2.En dna-profil som har registrerats före den 1 juli 2020 i syfte att upptäcka och utreda kontamineringar av det som är föremål för dnaanalys, får registreras i elimineringsdatabasen om den registrerade godtar det. De dna-profiler som inte registreras i elimineringsdatabasen ska gallras senast den 1 januari 2021.

Prop. 2019/20:106

11

Prop. 2019/20:106 3 Ärendet och dess beredning

Den EU-rättsliga dataskyddsregleringen har genomgått en genomgripande reform. Efter reformen består regelverket av i huvudsak dels Europaparlamentets och rådets förordning (EU) 2016/679 av den 27 april 2016 om skydd för fysiska personer med avseende på behandling av personuppgifter och om det fria flödet av sådana uppgifter och om upphävande av direktiv 95/46/EG (allmän dataskyddsförordning), kallad EU:s dataskyddsförordning, dels Europaparlamentets och rådets direktiv (EU) 2016/680 av den 27 april 2016 om skydd för fysiska personer med avseende på behöriga myndigheters behandling av personuppgifter för att förebygga, förhindra, utreda, avslöja eller lagföra brott eller verkställa straffrättsliga påföljder, och det fria flödet av sådana uppgifter och om upphävande av rådets rambeslut 2008/977/RIF, kallat dataskyddsdirektivet. EU:s dataskyddsförordning började tillämpas den 25 maj 2018. Dataskyddsdirektivet har i huvudsak genomförts genom brottsdatalagen (2018:1177) som trädde i kraft den 1 augusti 2018.

Regeringen beslutade den 1 september 2016 att tillkalla en särskild utredare, med uppdrag att föreslå hur regelverket för Rättsmedicinalverket ska anpassas så att verksamheten kan bedrivas med effektiva arbetsformer och stor hänsyn tagen till människors integritet (dir. 2016:75). I uppdraget ingick att se över frågor om personuppgiftsreglering, humanbiologiskt material, uppgiftsinhämtning och uppdrag från enskilda. Utredningen antog namnet Utredningen om dataskydd vid Rättsmedicinalverket (Ju 2016:18).

I oktober 2017 överlämnade utredningen betänkandet Stärkt integritet i Rättsmedicinalverkets verksamhet (SOU 2017:80). I denna proposition behandlas utredningens förslag om att införa en särskild personuppgiftsreglering för Rättsmedicinalverket och att författningsreglera Rättsmedicinalverkets elimineringsdatabas. Regeringen kommer att i ett annat sammanhang återkomma till de övriga förslagen i betänkandet. En sammanfattning av betänkandet och utredningens lagförslag i relevanta delar finns i bilagorna 1 och 2. Betänkandet har remissbehandlats. En förteckning över remissinstanserna finns i bilaga 3. Remissyttrandena finns tillgängliga i Justitiedepartementet (dnr Ju2017/08254/Å).

Lagrådet

Regeringen beslutade den 30 januari 2020 att inhämta Lagrådets yttrande över de lagförslag som finns i bilaga 4. Lagrådets yttrande finns i bilaga 5. Lagrådet har lämnat förslagen utan erinran. Vissa språkliga och redaktionella ändringar har gjorts i förhållande till lagrådsremissens förslag.

12

4 Rättsmedicinalverkets organisation och Prop. 2019/20:106
 

uppdrag

Rättsmedicinalverket bildades 1991, som central förvaltningsmyndighet för rättspsykiatrisk undersökningsverksamhet, rättsmedicin, rättskemi och rättsgenetik. Rättsmedicinalverket bedriver verksamhet på sex olika orter runt om i landet, med ett gemensamt huvudkontor. Verksamheten är indelad i tre avdelningar – avdelningen för rättsgenetik och rättskemi, avdelningen för rättsmedicin och avdelningen för rättspsykiatri – men består av fyra verksamhetsområden, nämligen rättspsykiatri, rättskemi, rättsmedicin och rättsgenetik.

En viktig uppgift för verket är att avge sakkunnigutlåtanden till rättsväsendets myndigheter. Främst rör det sig om utredningar i form av analyser och utlåtanden till polis, allmän åklagare och domstol. Utredningarna från Rättsmedicinalverket är ofta en viktig del i brottsutredningar. Det kan exempelvis vara fråga om utredningar av onaturliga dödsfall eller bedömningar av om en person har begått ett brott under påverkan av en allvarlig psykisk störning. Verksamheten innefattar också uppdrag som inte har anknytning till brottsbekämpning. Det rör sig bl.a. om uppdrag från socialnämnderna gällande fastställande av faderskap. Vid Rättsmedicinalverket bedrivs också utvecklings- och forskningsarbete.

Rättsmedicinalverkets uppgifter framgår av myndighetens instruktion. Enligt 1 § förordningen (2007:976) med instruktion för Rättsmedicinalverket ansvarar verket för rättspsykiatrisk, rättskemisk, rättsmedicinsk och rättsgenetisk verksamhet i den utsträckning sådana frågor inte ska handläggas av någon annan statlig myndighet. Av 2 § i instruktionen framgår att Rättsmedicinalverket särskilt ska ansvara för bl.a. rättspsykiatriska undersökningar i brottmål och läkarintyg som avses i 7 § lagen (1991:2041) om särskild personutredning i brottmål, m.m. (personutredningslagen), rättsmedicinska obduktioner och andra rättsmedicinska undersökningar, utfärdande av intyg enligt lagen (2005:225) om rättsintyg i anledning av brott, rättsmedicinsk medverkan på begäran av domstol, allmän åklagare, Polismyndigheten eller Säkerhetspolisen, rättskemiska och rättsgenetiska undersökningar, rättsmedicinska åldersbedömningar samt utredningar om risk för återfall i brottslighet enligt lagen (2006:45) om omvandling av fängelse på livstid. Rättsmedicinalverket får därutöver i enlighet med 3 § i instruktionen utföra uppdrag inom sitt ansvarsområde om verksamheten i övrigt medger det.

Vid Rättsmedicinalverket förekommer således en rad olika ärendetyper. Gemensamt för i princip samtliga ärenden är att de innefattar behandling av personuppgifter som i många fall medför särskilda risker för den personliga integriteten, exempelvis uppgifter om enskildas hälsa eller om misstanke om brott. Uppgifterna kommer bl.a. från Polismyndigheten, åklagarmyndigheterna och Migrationsverket, men det kommer också uppgifter från andra myndigheter liksom från enskilda. På vissa av myndighetens verksamhetsområden förekommer särskild lagstiftning.

13

Prop. 2019/20:106 Någon särskild lag om behandling av personuppgifter vid Rättsmedicinalverket finns dock inte.

5 Dataskyddsregleringen

5.1 Dataskyddsförordningen och dataskyddslagen

Dataskyddsförordningen antogs den 27 april 2016. Syftet med förordningen är att skydda fysiska personers grundläggande rättigheter och friheter, särskilt deras rätt till skydd för personuppgifter, och att främja det fria flödet av personuppgifter inom unionen. Dataskyddsförordningen, som är direkt tillämplig i alla medlemsstater, ersatte från och med den 25 maj 2018 1995 års dataskyddsdirektiv och utgör numera den generella regleringen av personuppgiftsbehandling inom EU.

Det materiella tillämpningsområdet för dataskyddsförordningen omfattar sådan behandling av personuppgifter som helt eller delvis företas på automatisk väg samt annan behandling av personuppgifter som ingår i eller kommer att ingå i ett register (artikel 2.1). Vissa undantag från tillämpningsområdet görs dock. Exempelvis ska behandling av personuppgifter som utgör ett led i en verksamhet som inte omfattas av unionsrätten inte heller omfattas av förordningens bestämmelser (artikel 2.2 a). Genom lagen (2018:218) med kompletterande bestämmelser till EU:s dataskyddsförordning, härefter dataskyddslagen, har dock förordningens tillämpningsområde utvidgats till att även omfatta behandling av personuppgifter i verksamhet som inte omfattas av unionsrätten, med vissa specifika undantag (1 kap. 2 och 3 §§

  dataskyddslagen). Dataskyddsförordningen gäller inte heller för sådan
  personuppgiftsbehandling som omfattas av dataskyddsdirektivets
  tillämpningsområde (artikel 2.2 d).
  I artikel 6 i dataskyddsförordningen uttrycks det grundläggande kravet
  att det ska finnas en giltig rättslig grund för varje behandling av
  personuppgifter. Bland de rättsliga grunder som anges i artikeln kan
  nämnas att behandlingen är nödvändig för att fullgöra en rättslig
  förpliktelse som åvilar den personuppgiftsansvarige (artikel 6.1 c) eller för
  att utföra en uppgift av allmänt intresse eller som ett led i den
  personuppgiftsansvariges myndighetsutövning (artikel 6.1 e).
  Därutöver omgärdas varje behandling av personuppgifter också av andra
  krav. I artikel 5 ställs ett antal allmänna principer för behandlingen upp.
  Däribland kan nämnas att uppgifterna ska behandlas på ett lagligt, korrekt
  och öppet sätt i förhållande till den registrerade. Uppgifterna ska vidare
  vara adekvata, relevanta och inte för omfattande i förhållande till de
  ändamål för vilka de behandlas. De ska vidare vara riktiga och, om
  nödvändigt, uppdaterade. Alla rimliga åtgärder måste vidtas för att
  säkerställa att personuppgifter som är felaktiga i förhållande till de
  ändamål för vilka de behandlas raderas eller rättas utan dröjsmål.
  Personuppgifter ska samlas in för särskilda, uttryckligt angivna och
14 berättigade ändamål. De får inte senare behandlas på ett sätt som är
 

oförenligt med dessa ursprungliga ändamål. Vidare får personuppgifter inte förvaras under en längre tid än vad som är nödvändigt och de måste behandlas på ett sätt som säkerställer lämplig säkerhet. Artiklarna 5 och 6 är grundläggande och kumulativa. Det innebär att någon av de rättsliga grunderna i artikel 6 måste vara tillämplig, samtidigt som samtliga principer i artikel 5 ska följas.

Även om dataskyddsförordningen är direkt tillämplig och ska tillämpas precis som om den vore svensk lag, både förutsätter och medger den nationella bestämmelser som kompletterar delar av förordningen genom specificeringar eller undantag. Detta gäller särskilt sådan behandling som sker inom den offentliga sektorn. I artikel 6.2 anges att medlemsstaterna får behålla eller införa mer specifika bestämmelser för att anpassa tillämpningen av bestämmelserna i förordningen när det gäller behandling som sker enligt artikel 6.1 c (rättslig förpliktelse) och 6.1 e (uppgift av allmänt intresse och myndighetsutövning). Detta får ske genom att medlemsstaterna närmare fastställer specifika krav för uppgiftsbehandlingen och andra åtgärder för att säkerställa en laglig och rättvis behandling. Av skäl 10 till förordningen framgår att detta även gäller för behandlingen av känsliga personuppgifter. Enligt artikel 6.3 andra stycket ska vidare syftet med behandlingen fastställas i den rättsliga grunden eller, i fråga om behandling enligt artikel 6.1 e, vara nödvändig för att utföra en uppgift av allmänt intresse eller som ett led i den personuppgiftsansvariges myndighetsutövning. Av artikel 6.3 framgår vidare att vid behandling enligt artikel 6.1 c och e, ska den rättsliga grunden fastställas i unionsrätten eller i nationell rätt. Där anges också att den rättsliga grunden kan innehålla särskilda bestämmelser för att anpassa tillämpningen av bestämmelserna i dataskyddsförordningen, bl.a. de allmänna villkor som ska gälla för den personuppgiftsansvariges behandling, vilken typ av uppgifter som ska behandlas, vilka registrerade som berörs, de enheter till vilka personuppgifterna får lämnas ut och för vilka ändamål, ändamålsbegränsningar, lagringstid samt typer av behandling och förfaranden för behandling, inbegripet åtgärder för att tillförsäkra en laglig och rättvis behandling.

Förordningen innehåller också andra artiklar som tillåter kompletterande bestämmelser i vissa avseenden, exempelvis när det gäller känsliga personuppgifter (artikel 9) och begränsningar av den registrerades rättigheter enligt artikel 23. Vissa av de rättigheter och skyldigheter som föreskrivs i förordningen får begränsas i nationell rätt. Detta förutsätter att begränsningarna sker med respekt för andemeningen i de grundläggande rättigheterna och friheterna och utgör en nödvändig och proportionell åtgärd i ett demokratiskt samhälle. Det förutsätter också att begränsningen sker i syfte att säkerställa något av de ändamål som anges i artikel 23.1, t.ex. en medlemsstats viktiga mål av generellt allmänt intresse.

Om dataskyddsförordningen föreskriver att förtydliganden eller begränsningar av dess bestämmelser kan ske genom medlemsstaternas nationella rätt, kan medlemsstaterna, i den utsträckning det är nödvändigt för samstämmigheten och för att göra de nationella bestämmelserna begripliga för de personer som de tillämpas på, införliva delar av förordningen i nationell rätt (se skäl 8).

Prop. 2019/20:106

15

Prop. 2019/20:106 Som framgår av den bedömning regeringen har gjort i propositionen Ny dataskyddslag innebär detta att förordningen ger medlemsstaterna möjlighet att i lagar på nationell nivå föreskriva vissa anpassade bestämmelser (prop. 2017/18:105 s. 21–23). Principen om unionsrättens företräde innebär dock att bestämmelser i sådana författningar måste vara förenliga med dataskyddsförordningen.

Den 25 maj 2018 trädde dataskyddslagen i kraft och samtidigt upphävdes personuppgiftslagen (1998:204). Dataskyddslagen innehåller bestämmelser som kompletterar dataskyddsförordningen på ett generellt plan i svensk rätt. Inom ramen för det utrymme som dataskyddsförordningen ger reglerar lagen bl.a. frågor om rättslig grund för behandling av personuppgifter, känsliga personuppgifter, tillsynsmyndighetens handläggning och beslut samt skadestånd och överklagande. Dataskyddslagen är, på samma sätt som personuppgiftslagen var, subsidiär i förhållande till annan lag eller förordning. Det gör det möjligt att även fortsättningsvis ha från dataskyddslagen avvikande bestämmelser i sektorsspecifika registerförfattningar.

5.2Dataskyddsdirektivet och brottsdatalagen

Dataskyddsdirektivet innehåller bestämmelser om skydd för fysiska personer med avseende på behandling av personuppgifter som utförs av behöriga myndigheter i syfte att förebygga, förhindra, utreda, avslöja eller lagföra brott eller verkställa straffrättsliga påföljder, inklusive att skydda mot samt förebygga och förhindra hot mot den allmänna säkerheten (artikel 1.1). Direktivet ska tillämpas på behandling av personuppgifter som utförs av behöriga myndigheter för de ändamål som anges i artikel

1.1(artikel 2.1). Det är tillämpligt på behandling av personuppgifter som helt eller delvis företas på automatiserad väg samt på annan behandling än automatiserad behandling av personuppgifter som ingår i eller kommer att ingå i ett register (artikel 2.2). Direktivet är däremot inte tillämpligt på behandling av personuppgifter som utgör ett led i en verksamhet som inte omfattas av unionsrätten eller som utförs av unionens institutioner, organ och byråer (artikel 2.3). Ett bakomliggande syfte med dataskyddsdirektivets bestämmelser är att uppnå effektivitet på det straffrättsliga området, samtidigt som en enhetlig och hög skyddsnivå för fysiska personers personuppgifter ska upprätthållas. I direktivet framhålls att det är av avgörande betydelse för att säkerställa ett effektivt straffrättsligt samarbete och polissamarbete att man kan upprätthålla en enhetlig och hög skyddsnivå för fysiska personers personuppgifter och underlätta utbytet av personuppgifter mellan behöriga myndigheter i medlemsstaterna (skäl 7).

Dataskyddsdirektivet hindrar inte medlemsstaterna från att föreskriva starkare skyddsåtgärder än de som fastställs i direktivet för skyddet av den registrerades rättigheter och friheter med avseende på behöriga myndigheters behandling av personuppgifter (artikel 1.3).

Dataskyddsdirektivet har genomförts i huvudsak genom införandet av

en ny ramlag, brottsdatalagen (2018:1177), som trädde i kraft den 1 augusti 2018. Vidare har nya och anpassade registerförfattningar för bl.a.

16

de brottsbekämpande myndigheterna och domstolarna tagits fram (prop. Prop. 2019/20:106 2017/18:269). Brottsdatalagen gäller således för behandling av personuppgifter som utförs av behöriga myndigheter i syfte att förebygga,

förhindra eller upptäcka brottslig verksamhet, utreda eller lagföra brott eller verkställa straffrättsliga påföljder. Den gäller också för behandling av personuppgifter som en behörig myndighet utför i syfte att upprätthålla allmän ordning och säkerhet (1 kap. 2 §). Brottsdatalagen är, liksom dataskyddslagen, subsidiär. I den mån det för en myndighet som bedriver verksamhet inom brottsdatalagens tillämpningsområde finns en författning med bestämmelser som avviker från brottsdatalagen, ska därför den författningen tillämpas (1 kap. 5 § brottsdatalagen).

5.3Dataskyddsregleringens tillämpning i Rättsmedicinalverkets verksamhet

Rättsmedicinalverket bedriver verksamhet som kan omfattas av både dataskyddsförordningens och dataskyddsdirektivets tillämpningsområde. Enligt artikel 2.2 d i dataskyddsförordningen undantas behandling som omfattas av dataskyddsdirektivets tillämpningsområde från data-

skyddsförordningens tillämpningsområde. I den utsträckning Rättsmedicinalverkets personuppgiftsbehandling inte omfattas av

dataskyddsdirektivets, och därmed även brottsdatalagens, tillämpningsområde omfattas den alltså av bestämmelserna i dataskyddsförordningen och dataskyddslagen samt andra författningar med för Rättsmedicinalverket tillämplig särreglering som förordningen medger. Syftet med behandlingen är avgörande för vilket regelverk som är tillämpligt. Regeringen behandlar frågan om gränsdragning mellan tillämpliga personuppgiftsregleringar närmare i avsnitt 6.2.

6En lag om Rättsmedicinalverkets behandling av personuppgifter

6.1Behovet av en särskild reglering av behandlingen av personuppgifter i Rättsmedicinalverkets verksamhet

Regeringens bedömning: En särskild författning om Rättsmedicinalverkets behandling av personuppgifter bör införas.

Utredningens bedömning överensstämmer med regeringens. Remissinstanserna: Flertalet remissinstanser, bl.a. Justitiekanslern,

Kammarrätten i Stockholm och Polismyndigheten, är positiva till eller lämnar inga synpunkter på bedömningen. Riksförbundet för social och mental hälsa (RSMH) delar inte bedömningen och anför att det i stället för en ny registerförfattning vore bättre att förtydliga de lagar som redan är

17

Prop. 2019/20:106 tillämpliga på Rättsmedicinalverkets verksamhet. Dataskydd.net anser att förslaget leder till en onödig dubbelreglering.

Skälen för regeringens bedömning: Vid Rättsmedicinalverket behandlas i stor utsträckning personuppgifter som är särskilt integritetskänsliga, bl.a. genetiska uppgifter och uppgifter om hälsa. De personuppgifter som behandlas vid Rättsmedicinalverket är till stor del samma uppgifter som behandlas vid de uppdragsgivande myndigheterna. Antingen får Rättsmedicinalverket del av uppgifterna i samband med att uppdraget lämnas till verket, eller så genereras personuppgifterna vid Rättsmedicinalverket och lämnas ut till uppdragsgivaren i samband med att Rättsmedicinalverkets utredningsarbete är färdigt och uppdraget redovisas. Det kan konstateras att samtliga de myndigheter som lämnar uppdrag till Rättsmedicinalverket har registerförfattningar som reglerar behandlingen av personuppgifter. Skyddet för personuppgifter bör som utgångspunkt inte vara mindre omfattande vid Rättsmedicinalverket än vid de uppdragsgivande myndigheterna. Det kan bäst säkerställas genom en särskild reglering för personuppgiftsbehandlingen vid Rättsmedicinalverket. Genom en sådan reglering är det även möjligt att ta hänsyn till de särskilda behov som föreligger i Rättsmedicinalverkets verksamhet samtidigt som ett starkt skydd för enskildas personliga integritet upprätthålls.

För delar av Rättsmedicinalverkets personuppgiftsbehandling gäller dataskyddsförordningen, som på generell nivå kompletteras av dataskyddslagen. När Rättsmedicinalverket behandlar personuppgifter för sådana syften som anges i brottsdatalagen är den lagen i stället tillämplig. På vissa områden finns dessutom särlagstiftning med bestämmelser om personuppgiftsbehandling som ska tillämpas i vissa fall, exempelvis patientdatalagen (2008:355) som gäller då Rättsmedicinalverket är att betrakta som vårdgivare. För enskilda registrerade som vill göra gällande sina rättigheter enligt det dataskyddsrättsliga regelverket är det viktigt att förhållandet mellan de olika regleringarna framgår på ett så begripligt och överblickbart sätt som möjligt. Även för Rättsmedicinalverket och de enskilda tjänstemän som ska tillämpa bestämmelserna är detta naturligtvis av stort värde, särskilt eftersom det minskar risken för att personuppgifter behandlas på ett felaktigt sätt. Detta uppnås, enligt regeringens mening, bäst genom att behandlingen av personuppgifter vid Rättsmedicinalverket regleras av särskilda bestämmelser. Till skillnad från RSMH och Dataskydd.net anser regeringen sammanfattningsvis därför att övervägande skäl talar för att en särskild författning som reglerar behandlingen av personuppgifter i Rättsmedicinalverkets verksamhet bör införas.

18

6.2 Gränsdragningsfrågor Prop. 2019/20:106

Regeringens bedömning: EU:s dataskyddsförordning och den kompletterande dataskyddslagen är som utgångspunkt tillämpliga på behandlingen av personuppgifter vid Rättsmedicinalverket. När Rättsmedicinalverket fullgör ett uppdrag i syfte att stödja sådan brottsutredande och liknande verksamhet som avses i dataskyddsdirektivet är i stället brottsdatalagen tillämplig för verkets behandling av personuppgifter.

Utredningens bedömning överensstämmer i huvudsak med regeringens. Utredningen anser att drogfrihetsanalyser på begäran av Kriminalvården som avser en person som får en straffrättslig påföljd verkställd bör anses falla inom dataskyddsdirektivets tillämpningsområde.

Remissinstanserna: Rättsmedicinalverket anför att samtliga drogfrihetsanalyser som inbegriper verkställighet av straffrättslig påföljd bör falla inom dataskyddsdirektivets tillämpningsområde. Övriga remissinstanser yttrar sig inte särskilt i denna del.

Skälen för regeringens bedömning

Två parallella regelverk – syftet med behandlingen avgör vilket som ska tillämpas

För regeringens överväganden och förslag om hur en författning som reglerar Rättsmedicinalverkets behandling av personuppgifter bör utformas är det av avgörande betydelse hur de EU-rättsliga dataskyddsbestämmelserna ska tillämpas på personuppgiftsbehandlingen vid Rättsmedicinalverket. Behandling av personuppgifter i verksamhet som omfattas av unionsrätten faller antingen inom tillämpningsområdet för dataskyddsdirektivet, vilket huvudsakligen genomförs genom brottsdatalagen, eller inom tillämpningsområdet för dataskyddsförordningen. Brottsdatalagen och dataskyddsförordningen kan inte vara tillämpliga på samma behandling för samma syfte. Har samma behandling däremot flera olika syften kan regelverken vara tillämpliga parallellt. Det bör då betraktas som två olika behandlingar av personuppgifter som var och en måste ha stöd i och följa gällande regelverk (prop. 2017/18:232 s. 101). En konsekvens av att det är syftet med behandlingen som avgör vilket regelverk som är tillämpligt för en viss personuppgiftsbehandling, är att om detta syfte ändras, kan också andra bestämmelser bli tillämpliga. Det är således nödvändigt för den som behandlar personuppgifter att ha syftet med behandlingen klart för sig för att kunna veta vilket regelverk som är tillämpligt.

I förarbetena till brottsdatalagen redogör regeringen för ett antal allmänna principer som bör gälla för gränsdragningsfrågor som kan uppkomma (prop. 2017/18:232 s. 109–113).

En tudelad verksamhet

Rättsmedicinalverket kommer, liksom andra myndigheter som bedriver verksamhet som kan omfattas av både dataskyddsförordningens och dataskyddsdirektivets regelverk, att ställas inför vissa gränsdragnings-

19

Prop. 2019/20:106 problem. Rättsmedicinalverket utför vissa uppgifter som i normalfallet inte har något samband med att förebygga, förhindra eller upptäcka

  brottslig verksamhet, utreda eller lagföra brott eller verkställa
  straffrättsliga påföljder. Det gäller exempelvis arbetet med släktskaps-
  eller faderskapsanalyser på det rättsgenetiska verksamhetsområdet,
  tillvaratagandet av vävnader för transplantationsändamål inom det
  rättsmedicinska verksamhetsområdet och de toxikologiska analyser som
  på det rättskemiska verksamhetsområdet genomförs på uppdrag av hälso-
  och sjukvården. För sådan behandling, som inte faller inom
  dataskyddsdirektivets tillämpningsområde, ska dataskyddsförordningen
  tillämpas.    
  Vid Rättsmedicinalverket bedrivs emellertid även verksamhet som
  omfattas av dataskyddsdirektivets, och därigenom brottsdatalagens,
  tillämpningsområde. Det måste i myndighetens verksamhet klargöras
  vilka regler som ska tillämpas vid olika typer av personuppgifts-
  behandling.    
  Eftersom dataskyddsförordningen, med några undantag som inte är
  relevanta i detta sammanhang, är tillämplig på all behandling av
  personuppgifter som inte omfattas av dataskyddsdirektivets bestämmelser,
  är det nödvändigt att beskriva Rättsmedicinalverkets verksamhet utifrån
  detta tudelade regelverk. Brottsdatalagen är, som nämns ovan, tillämplig
  på behandling av personuppgifter för olika brottsbekämpande syften. Den
  gäller också när en behörig myndighet behandlar personuppgifter i syfte
  att upprätthålla allmän ordning och säkerhet. Av central betydelse är
  således om den myndighet som behandlar personuppgifterna är att betrakta
  som behörig myndighet och om behandlingen utförs i något eller några av
  de syften som anges i dataskyddsdirektivet och brottsdatalagen.  
  I brottsdatalagen definieras en behörig myndighet som en myndighet
  som har till uppgift att förebygga, förhindra eller upptäcka brottslig
  verksamhet, utreda eller lagföra brott, verkställa straffrättsliga påföljder,
  eller upprätthålla allmän ordning och säkerhet. Som behörig myndighet
  ska också förstås en annan aktör som anförtrotts att utöva myndighet för
  något av dessa syften (1 kap. 6 §).  
  Myndigheter som arbetar med bl.a. brottsbekämpande verksamhet, som
  exempelvis Polismyndigheten eller Åklagarmyndigheten, behöver ibland
  stöd från myndigheter med annan kompetens än den som finns inom den
  egna verksamheten. Det kan röra sig om medicinsk, psykiatrisk eller viss
  forensisk kompetens. De myndigheter som har en författningsreglerad
  skyldighet att biträda behöriga myndigheter med särskild kompetens eller
  särskilda resurser bör anses som behöriga myndigheter när de utför dessa
  uppgifter. För behandling av personuppgifter ska i dessa fall
  brottsdatalagen tillämpas (se prop. 2017/18:232 s. 112).  
  Rättsmedicinalverket ansvarar för rättspsykiatrisk, rättskemisk,
  rättsmedicinsk och rättsgenetisk verksamhet i den utsträckning sådana
  frågor inte ska handläggas av någon annan statlig myndighet (1 §
  förordningen [2007:976] med instruktion för Rättsmedicinalverket).
  Verket ska bl.a. ansvara för rättspsykiatriska undersökningar i brottmål
  och läkarintyg som avses i 7 § personutredningslagen, rättsmedicinska
  obduktioner och andra rättsmedicinska undersökningar, utfärdande av
  intyg enligt lagen (2005:225) om rättsintyg i anledning av brott,
20 rättsmedicinsk medverkan på begäran av domstol, allmän åklagare,
Polismyndigheten eller Säkerhetspolisen, rättskemiska och rättsgenetiska Prop. 2019/20:106
undersökningar, rättsmedicinska åldersbedömningar samt utredningar om  
risk för återfall i brottslighet enligt lagen (2006:45) om omvandling av  
fängelse på livstid (2 § i instruktionen).  
Rättsmedicinalverkets arbete är av central betydelse för den  
brottsutredande verksamhet som bedrivs vid Polismyndigheten och av  
åklagare, men också för t.ex. domstolarnas påföljdsbestämning i mål där  
fråga är om den tilltalade kan dömas till fängelse eller om påföljden i stället  
bör vara rättspsykiatrisk vård. Många av de uppgifter som  
Rättsmedicinalverket svarar för kan inte utföras av någon annan aktör och  
samarbetet med de myndigheter som lämnar uppdrag till verket är nära.  
Rättsmedicinalverket har således en viktig funktion att fylla på det  
straffrättsliga området, men myndigheten är en självständig aktör och kan  
inte alltid med självklarhet betraktas som ett led i exempelvis en  
brottsförebyggande eller brottsutredande verksamhet.  
I Rättsmedicinalverkets instruktion finns inget uppdrag att förebygga,  
förhindra eller upptäcka brottslig verksamhet, utreda eller lagföra brott  
eller verkställa straffrättsliga påföljder. Vid utförandet av de uppgifter som  
nyss nämnts kan Rättsmedicinalverket dock sägas fylla en stödfunktion för  
den brottsbekämpande verksamhet som bedrivs vid främst  
Polismyndigheten och Åklagarmyndigheten. Även när det gäller  
domstolarnas påföljdsbestämning kan Rättsmedicinalverkets verksamhet  
med att genomföra rättspsykiatriska undersökningar sägas utgöra en  
stödfunktion i syfte att lagföra brott. I ärenden vid Rättsmedicinalverket  
där det bakomliggande syftet med behandlingen är de ändamål som anges  
i 1 kap. 2 § brottsdatalagen, dvs. att förebygga, förhindra eller upptäcka  
brottslig verksamhet, utreda eller lagföra brott eller verkställa  
straffrättsliga påföljder, är därför dataskyddsdirektivet och brottsdatalagen  
tillämpliga. Att Rättsmedicinalverket, när verket behandlar person-  
uppgifter för något av de syften som omfattas av dataskyddsdirektivet,  
som utgångspunkt ska tillämpa brottsdatalagen, stämmer väl överens med  
det bakomliggande syftet med dataskyddsdirektivet. Genom en sådan  
tillämpning kan behandlingen av personuppgifter genom hela  
brottmålsprocessen omfattas av samma regler och samma skyddsnivå kan  
säkerställas mellan de olika myndigheter som är involverade.  
Regeringen anser i likhet med Rättsmedicinalverket att samtliga  
drogfrihetsanalyser som görs inom ramen för verkställighet av en  
straffrättslig påföljd faller inom dataskyddsdirektivet tillämpningsområde.  
Exempel på sådana prov är de som analyseras på begäran av  
Kriminalvården om provet avser en person som är intagen på  
kriminalvårdsanstalt eller som på något annat sätt verkställer en  
straffrättslig påföljd. Sådana analyser kan även utföras på uppdrag av  
socialtjänsten. Provtagningen, som normalt sett inte genomförs av  
Rättsmedicinalverket, är ett led i straffverkställigheten och verket fyller  
vid analysen av provet en sådan stödfunktion som behandlas ovan.  
Rättsmedicinalverkets behandling av personuppgifter i sådana ärenden om  
drogfrihetsanalyser bör därför anses falla inom dataskyddsdirektivets  
tillämpningsområde. Fler exempel på gränsdragningen mellan vilket  
regelverk – dataskyddsförordningen eller brottsdatalagen – som typiskt  
sett bör tillämpas återfinns i författningskommentaren till 1 kap. 4 § i den  
nu föreslagna lagen. 21
Prop. 2019/20:106 6.3 En lag om behandling av personuppgifter i
  Rättsmedicinalverkets verksamhet
6.3.1 Normgivningsnivå och författningens namn

Regeringens förslag: De huvudsakliga bestämmelserna om behandling av personuppgifter i Rättsmedicinalverkets verksamhet ska tas in i en ny lag om Rättsmedicinalverkets behandling av personuppgifter.

Utredningens förslag överensstämmer i huvudsak med regeringens. Utredningen föreslår att lagen ska benämnas Rättsmedicinalverkets datalag.

Remissinstanserna: Ingen remissinstans yttrar sig särskilt i denna del.

Skälen för regeringens förslag

Allmänt om bestämmelserna i regeringsformen

  I målsättningsstadgandet i 1 kap. 2 § första stycket regeringsformen slås
  det fast att den offentliga makten ska utövas med respekt bl.a. för den
  enskilda människans frihet och i fjärde stycket anges bl.a. att det allmänna
  ska värna den enskildes privatliv och familjeliv.    
  Grundlagens regler om hur normgivningsmakten är fördelad mellan
  riksdagen och regeringen finns i huvudsak i 8 kap. regeringsformen.
  Föreskrifter meddelas av riksdagen genom lag och av regeringen genom
  förordning. Föreskrifter ska meddelas genom lag bl.a. om de avser
  skyldigheter för enskilda eller ingrepp i enskildas personliga eller
  ekonomiska förhållanden (8 kap. 2 § första stycket 2). Kravet på att sådana
  föreskrifter ska ha lagform är dock inte obligatoriskt. Riksdagen kan med
  vissa undantag som inte är aktuella här bemyndiga regeringen att meddela
  föreskrifterna (8 kap. 3 §). Regeringen får i övrigt meddela bl.a. sådana
  föreskrifter som inte enligt grundlag ska meddelas av riksdagen
  (8 kap. 7 §). Denna föreskriftsrätt brukar kallas för regeringens
  restkompetens.      
  Att det allmänna behandlar personuppgifter om enskilda anses inte
  innebära någon skyldighet för den enskilde eller något ingrepp i enskildas
  personliga förhållanden i den mening som avses i 8 kap. 2 § första stycket
  2. Bestämmelser om personuppgiftsbehandling som utförs av statliga
  myndigheter under regeringen har därmed i princip ansetts kunna beslutas
  av regeringen med stöd av dess restkompetens enligt 8 kap. 7 § första
  stycket 2 regeringsformen (se prop. 2017/18:105 s. 26).  
  Både riksdagen och regeringen har tidigare uttalat att
  myndighetsregister som innehåller ett stort antal registrerade och har ett
  särskilt känsligt innehåll bör regleras i lag, även om lagform inte krävs
  enligt regeringsformen (bet. 1990/91:KU11 s. 11 och 1997/98:KU18 s. 48
  och prop. 1990/91:60 s. 58 och prop. 1997/98:44 s. 41).  
  Sedan 2011 gäller ett utökat grundlagsskydd för den personliga
  integriteten enligt 2 kap. 6 § andra stycket regeringsformen. Där anges att
  var och en gentemot det allmänna är skyddad mot betydande intrång i den
  personliga integriteten, om det sker utan samtycke och innebär
  övervakning eller kartläggning av den enskildes personliga förhållanden.
22 Enligt 2 kap. 20 § regeringsformen får skyddet begränsas genom lag under

de förutsättningar som anges i 2 kap. 21 § regeringsformen. Skyddet får Prop. 2019/20:106 således inte begränsas genom förordning.

Omfattas behandlingen av personuppgifter i Rättsmedicinalverkets verksamhet av 2 kap. 6 § andra stycket regeringsformen?

Inledningsvis kan det konstateras att de uppgifter som behandlas i Rättsmedicinalverkets verksamhet rör enskildas personliga förhållanden i den mening som avses i 2 kap. 6 § andra stycket regeringsformen. Begreppet har samma innebörd som i sekretesslagstiftningen och omfattar bl.a. namn och andra identifikationsuppgifter, adress, familjeförhållanden, hälsa och vandel. Även fotografisk bild omfattas av uttrycket (prop. 2009/10:80 s. 177).

Av förarbetena till grundlagsbestämmelsen framgår också att begreppet samtycke bör bedömas på samma sätt som motsvarande krav enligt bestämmelsen om förbud mot åsiktsregistrering i 2 kap. 3 § första stycket regeringsformen. Vidare uttalas att de krav på ett samtycke som följde av personuppgiftslagstiftningen kunde tjäna som vägledning (prop. 2009/10:80 s. 179). Som regeringen konstaterar i avsnitt 6.3.9 är möjligheten för en myndighet att på dataskyddsförordningens område använda sig av samtycke som grund för behandling av personuppgifter begränsad. Enligt dataskyddsdirektivet är inte samtycke en laglig grund för behandling (se artikel 8). Merparten av Rättsmedicinalverkets personuppgiftsbehandling måste anses ske utan ett sådant samtycke från den enskilde som avses i 2 kap. 6 § andra stycket regeringsformen.

Avgörande för bedömningen av om en åtgärd ska anses innebära övervakning eller kartläggning i den mening som avses i 2 kap. 6 § andra stycket regeringsformen är inte det huvudsakliga syftet utan åtgärdens effekt. Vad som avses med övervakning respektive kartläggning får bedömas utifrån vad som enligt normalt språkbruk läggs i dessa begrepp. Enligt förarbetena till 2 kap. 6 § andra stycket regeringsformen är uppgifter i myndighetsspecifika verksamhetsregister och databaser med information som är knuten till en myndighets ärendehantering i många fall tillgängliga för myndigheten på ett sådant sätt att lagringen och behandlingen av uppgifterna kan sägas innebära att enskilda kartläggs, även om det huvudsakliga ändamålet med behandlingen är ett helt annat (prop. 2009/10:80 s. 180 och 250).

Vid Rättsmedicinalverket förekommer en rad olika ärendetyper och verket behandlar många olika slag av uppgifter. I samtliga ärendetyper förekommer regelmässigt uppgifter för att identifiera den person som ärendet gäller. I stor utsträckning behandlar verket även mycket integritetskänsliga uppgifter, exempelvis uppgifter om enskildas hälsa eller misstankar om brott. Dessa kommer till stor del från olika myndigheter inom rättsväsendet som Rättsmedicinalverket arbetar på uppdrag av, t.ex. Polismyndigheten och Åklagarmyndigheten. Även bl.a. Migrationsverket, socialnämnder och Statens institutionsstyrelse lämnar integritetskänsliga uppgifter om bl.a. narkotikaanvändning och sjukdomar till Rättsmedicinalverket. Inte endast uppgifter om de personer som är föremål för Rättsmedicinalverkets undersökningar eller analyser förekommer, utan även uppgifter om anhöriga till dessa personer.

Rättsmedicinalverket använder sig av ett flertal olika informationsstöd i

23

Prop. 2019/20:106 sin ärendehandläggning, bl.a. olika register och databaser. Regeringens bedömning är att den personuppgiftsbehandling som sker inom ramen för

  Rättsmedicinalverkets verksamhet får anses innefatta en sådan
  kartläggning av enskildas personliga förhållanden som avses i 2 kap. 6 §
  andra stycket regeringsformen, även om syftet med behandlingen är ett
  annat.
  Den avgörande frågan är då om det intrång i den personliga integriteten
  som behandlingen kan innebära är betydande. Det är bara vissa
  kvalificerade intrång som omfattas av grundlagsskyddet. Enligt
  förarbetena till grundlagsbestämmelsen bör flera omständigheter vägas in
  vid denna bedömning. Stor vikt ska läggas vid uppgifternas karaktär. Ju
  känsligare uppgifterna är, desto mer ingripande måste hanteringen normalt
  sett anses vara. Vid bedömningen av intrångets karaktär är det också
  naturligt att stor vikt läggs vid ändamålet med behandlingen. En hantering
  som syftar till att utreda brott kan normalt anses vara mer känslig än t.ex.
  en hantering som uteslutande sker för att ge en myndighet underlag för
  förbättringar av kvaliteten i handläggningen. Därutöver kan mängden
  uppgifter vara en betydelsefull faktor, liksom omfattningen av utlämnande
  av personuppgifter till andra, som sker utan omedelbart stöd av
  offentlighetsprincipen (prop. 2009/10:80 s. 183 och 184).
  Som framhålls ovan behandlar Rättsmedicinalverket i stor utsträckning
  integritetskänsliga uppgifter. När Rättsmedicinalverket har fullgjort ett
  uppdrag redovisas detta till uppdragsgivaren, t.ex. när en rättspsykiatrisk
  undersökning redovisas till en domstol, varvid personuppgifter lämnas ut
  till uppdragsgivaren. Rättsmedicinalverket agerar då ofta i sin roll som
  stödfunktion för den brottsbekämpande och lagförande verksamhet som
  sker inom rättsväsendet. Med beaktande av främst dessa förhållanden, dvs.
  uppgifternas karaktär, ändamålet med behandlingen och det omfattande
  utlämnandet av känsliga uppgifter, gör regeringen bedömningen att i vart
  fall en stor del av Rättsmedicinalverkets personuppgiftsbehandling
  innebär ett sådant betydande intrång som avses i 2 kap. 6 § andra stycket
  regeringsformen.
  Av 2 kap. 20–21 §§ regeringsformen följer bl.a. att enskildas skydd mot
  sådana intrång får begränsas genom lag endast för att tillgodose ändamål
  som är godtagbara i ett demokratiskt samhälle. Begränsningen får aldrig
  gå utöver vad som är nödvändigt med hänsyn till det ändamål som har
  föranlett den och inte heller sträcka sig så långt att den utgör ett hot mot
  den fria åsiktsbildningen såsom en av folkstyrelsens grundvalar.
  Den nya reglering om Rättsmedicinalverkets personuppgiftsbehandling
  som nu föreslås syftar till att balansera verkets behov av effektiva
  arbetsformer och ett starkt skydd för enskildas personliga integritet.
  Rättsmedicinalverket fullgör viktiga samhällsuppgifter, bl.a. som en
  betydelsefull aktör i samhällets strävan att utreda och lagföra brott, och för
  att kunna utföra dessa uppgifter behöver verket behandla personuppgifter.
  En begränsning av skyddet i 2 kap. 6 § andra stycket regeringsformen för
  ändamålet att Rättsmedicinalverket ska kunna fullgöra sina åligganden är
  godtagbart i ett demokratiskt samhälle. Genom den aktuella lagen
  säkerställs att den tillåtliga behandlingen av personuppgifter inte går
  längre än vad som är nödvändigt för att uppnå detta ändamål.
  Sammanfattningsvis innebär det att den föreslagna regleringen är förenlig
24 med regeringsformens krav.

Ramarna för Rättsmedicinalverkets personuppgiftsbehandling måste Prop. 2019/20:106 slås fast i lag. Även de bestämmelser som är av central betydelse för integritetsskyddet bör ges lagform. Det finns dock alltjämt utrymme att

reglera viss annan personuppgiftsbehandling på lägre normgivningsnivå. Den lag med bestämmelser om Rättsmedicinalverkets personuppgifts-

behandling som nu föreslås bör ha ett enkelt och tydligt namn. Som framhålls i avsnitt 6.3.2 är det viktigt att så långt som möjligt eftersträva en likartad systematik i alla de lagar och förordningar som relegerar personuppgiftsbehandling. Mot bakgrund av de namn som registerförfattningarna på närliggande områden givits anser regeringen att lagen bör benämnas lag om Rättsmedicinalverkets behandling av personuppgifter (se prop. 2017/18:269).

6.3.2Förhållandet till den allmänna dataskyddsregleringen och till brottsdatalagen

Regeringens förslag: I lagen införs en bestämmelse som klargör att den kompletterar EU:s dataskyddsförordning.

Det införs också en bestämmelse som anger att dataskyddslagen och föreskrifter som har meddelats i anslutning till den lagen gäller, om inte annat följer av den nu föreslagna lagen eller föreskrifter som har meddelats i anslutning till den.

Det införs vidare en bestämmelse som klargör att när Rättsmedicinalverket i egenskap av behörig myndighet enligt brottsdatalagen behandlar personuppgifter i syfte att förebygga, förhindra eller upptäcka brottslig verksamhet, utreda eller lagföra brott eller verkställa straffrättsliga påföljder, gäller brottsdatalagen och föreskrifter som har meddelats i anslutning till den, om inte annat följer av den nu föreslagna lagen eller föreskrifter som har meddelats i anslutning till lagen.

Regeringens bedömning: Behandling av personuppgifter i syfte att upprätthålla allmän ordning och säkerhet förekommer inte i Rättsmedicinalverkets verksamhet. Lagen bör därför inte innehålla några bestämmelser om personuppgiftsbehandling som sker i sådant syfte.

Utredningens förslag och bedömning överensstämmer i huvudsak med regeringens. Utredningen föreslår att lagen ska gälla i stället för dataskyddslagen och att det i lagen särskilt ska anges vilka bestämmelser i dataskyddslagen som ska gälla.

Remissinstanserna: Justitiekanslern påpekar att det är av vikt att så långt det är möjligt eftersträva en likartad systematik i alla de lagar och förordningar som reglerar personuppgiftsbehandling. I övrigt yttrar sig ingen remissinstans i sak över förslaget eller bedömningen.

25

Prop. 2019/20:106

26

Skälen för regeringens förslag

Lagens förhållande till dataskyddsförordningen

Den nu föreslagna lagen kommer att innehålla bestämmelser som kompletterar dataskyddsförordningen. Det bör införas en bestämmelse i lagen som upplyser om detta.

De hänvisningar till dataskyddsförordningen som föreslås i denna proposition bör vara dynamiska, dvs. avse förordningen i den vid varje tidpunkt gällande lydelsen. På så sätt säkerställs att eventuella ändringar i dataskyddsförordningen får omedelbart genomslag. Det kan emellertid inte uteslutas att lagen ändå kan behöva ändras i samband med framtida ändringar i förordningen.

Lagens förhållande till dataskyddslagen och brottsdatalagen

Dataskyddslagen innehåller de bestämmelser som på ett generellt plan kompletterar de direkt tillämpliga bestämmelserna i dataskyddsförordningen. Brottsdatalagen innehåller de bestämmelser som genomför dataskyddsdirektivet. Dataskyddslagen och brottsdatalagen är båda subsidiära i förhållande till bestämmelser i annan lag eller förordning.

Utredningen föreslår att lagen ska gälla i stället för dataskyddslagen och att det i lagen särskilt ska anges vilka bestämmelser i dataskyddslagen som ska tillämpas vid personuppgiftsbehandlingen hos Rättsmedicinalverket. En annan lagteknisk lösning är att dataskyddslagen gäller för personuppgiftsbehandling vid Rättsmedicinalverket, om inte annat följer av lagen eller föreskrifter som har meddelats i anslutning till den. Denna systematik har vanligtvis valts i de registerförfattningar som gäller på dataskyddsförordningens område (se t.ex. 4 § domstolsdatalagen [2015:728] och 4 b § utlänningsdatalagen [2016:27]). Som Justitiekanslern påpekar är det viktigt att eftersträva en så likartad lagstiftningsteknik som möjligt i de lagar som reglerar personuppgiftsbehandling. Vidare anser regeringen att det finns ett värde i att Rättsmedicinalverkets personuppgiftsreglering så långt det är möjligt utformas på ett enhetligt sätt oavsett om personuppgiftsbehandlingen sker inom dataskyddsdirektivets eller dataskyddsförordningens tillämpningsområde. Regeringen bedömer dessutom att dataskyddslagens bestämmelser i stora delar är relevanta och att det i förhållandevis begränsad utsträckning krävs undantag från dataskyddslagens reglering. Sammantaget talar alltså övervägande skäl för att dataskyddslagen bör gälla vid behandling av personuppgifter enligt lagen, om inte annat följer av den eller anslutande föreskrifter. Regeringen föreslår således en annan lagteknisk lösning än utredningen.

Den lagtekniska lösning som regeringen föreslår innebär att det inte behövs några sådana hänvisningar till bestämmelser i dataskyddslagen som utredningen föreslår. Utredningens förslag till hänvisningar i fråga om känsliga personuppgifter behandlas i avsnitt 6.3.12. När det gäller övriga hänvisningar, exempelvis till bestämmelserna om administrativa sanktionsavgifter och skadestånd, instämmer regeringen i utredningens bedömning att aktuella bestämmelser i dataskyddslagen bör gälla i Rättsmedicinalverkets verksamhet. Att bestämmelserna i dataskyddslagen blir tillämpliga följer av att regeringens förslag innebär att

dataskyddslagen ska gälla vid behandling av personuppgifter enligt lagen Prop. 2019/20:106 om inte annat följer av den eller anslutande föreskrifter.

Även i de fall det inte finns avvikande bestämmelser i den nu föreslagna lagen, kan vissa bestämmelser i dataskyddslagen sakna betydelse för myndigheternas behandling av personuppgifter. Den av utredningen utpekade bestämmelsen om behandling för arkivändamål av personuppgifter som rör lagöverträdelser, 3 kap. 8 § andra stycket, är exempelvis inte relevant för Rättsmedicinalverket eftersom den tar sikte på behandling som utförs av andra än myndigheter, se prop. 2017/18:105 s. 117. Sådana bestämmelser blir därmed inte aktuella för Rättsmedicinalverket att tillämpa, även om detta inte uttryckligen regleras i lagen.

Registerförfattningarna för bl.a. domstolarna, Kriminalvården, Polismyndigheten, Kustbevakningen, åklagarväsendet, Tullverket och Skatteverket har utformats på så sätt att de gäller utöver brottsdatalagen. Regeringen instämmer i utredningens förslag att även den nu föreslagna lagen enbart bör innehålla bestämmelser som innebär preciseringar, undantag eller avvikelser från brottsdatalagen. För att uppnå större enhetlighet i förhållande till den bestämmelse som anger hur lagen förhåller sig till dataskyddslagen anser regeringen dock att en delvis annan lagteknisk lösning bör väljas. Denna har i stort utformats på samma sätt som motsvarande bestämmelse i lagen (2006:444) om passagerarregister.

Brottsdatalagen omfattar, som nämns ovan, bl.a. personuppgiftsbehandling som en behörig myndighet utför i syfte att upprätthålla allmän ordning och säkerhet (1 kap. 2 § brottsdatalagen). Det är framför allt Polismyndigheten som har i uppdrag att skydda allmänheten mot hot mot den allmänna säkerheten. Rättsmedicinalverket utför inga uppdrag i syfte att upprätthålla allmän ordning och säkerhet. Tillämpningsområdet för lagen bör inte vara mer vidsträckt än nödvändigt och inte omfatta fler situationer än som i praktiken kan uppstå. Lagen bör därför inte innehålla några bestämmelser om behandling av personuppgifter i syfte att upprätthålla allmän ordning och säkerhet.

6.3.3Förhållandet till andra författningar

Regeringens förslag: Lagen ska inte tillämpas när personuppgifter behandlas med stöd av lagen om rättspsykiatriskt forskningsregister, lagen om etikprövning av forskning som avser människor eller patientdatalagen. Lagen ska innehålla en bestämmelse som upplyser om att det finns bestämmelser om Rättsmedicinalverkets behandling av personuppgifter i elimineringsdatabasen i den föreslagna lagen om Rättsmedicinalverkets elimineringsdatabas.

Regeringens bedömning: Den föreslagna lagen ska gälla även för den behandling av personuppgifter i Rättsmedicinalverkets verksamhet som sker genom kamerabevakning.

Utredningens förslag överensstämmer delvis med regeringens förslag. Utredningen föreslår att den föreslagna lagen inte ska tillämpas när personuppgifter behandlas med stöd av kameraövervakningslagen

(2013:460). Vidare föreslår utredningen inte någon

27

Prop. 2019/20:106 upplysningsbestämmelse angående lagen om Rättsmedicinalverkets elimineringsdatabas.

Remissinstanserna: Ingen remissinstans yttrar sig särskilt i denna del.

Skälen för regeringens förslag och bedömning: Bestämmelser om behandling av personuppgifter finns i lagen (1999:353) om rättspsykiatriskt forskningsregister, lagen (2003:460) om etikprövning av forskning som avser människor och patientdatalagen (2008:355). Rättsmedicinalverket kan inom ramen för sitt uppdrag utföra åtgärder som omfattas av nämnda lagars tillämpningsområde. När så är fallet bör dessa lagar, som är utformade för sitt specifika område, tillämpas i stället för den nu föreslagna lagen, som är av mer generell karaktär.

Den kamerabevakning som förekommer vid Rättsmedicinalverket, t.ex. vid verkets utredningsenheter på det rättspsykiatriska verksamhetsområdet, får anses utgöra en integrerad del av myndighetens verksamhet. Kameraövervakningslagen har ersatts av kamerabevakningslagen (2018:1200) som trädde i kraft den 1 augusti 2018. Kameraövervakningslagen gällde i stället för den tidigare generella dataskyddsregleringen i personuppgiftslagen och innehöll en mer omfattande reglering än den nuvarande kamerabevakningslagen. Den sistnämnda lagen kompletterar i stället övrig dataskyddsreglering. Mot den bakgrunden anser regeringen att den föreslagna lagen bör tillämpas även för den behandling av personuppgifter som sker vid kamerabevakning i Rättsmedicinalverkets verksamhet.

Av tydlighetsskäl bör lagen vidare innehålla en bestämmelse som upplyser om att det i lagen om Rättsmedicinalverkets elimineringsdatabas finns bestämmelser om den behandling av personuppgifter som sker i databasen.

6.3.4Utgångspunkter för den nya lagen

Regeringens bedömning: Bestämmelserna om behandling av personuppgifter i Rättsmedicinalverkets verksamhet bör samlas i en lag, som omfattar både den personuppgiftsbehandling som faller inom dataskyddsförordningens tillämpningsområde och den behandling som faller inom brottsdatalagens tillämpningsområde.

Den terminologi som används i lagen bör så långt det är möjligt stämma överens med de uttryck och begrepp som används i dataskyddsförordningen, dataskyddslagen, dataskyddsdirektivet och brottsdatalagen.

Utredningens bedömning överensstämmer med regeringens. Remissinstanserna: Polismyndigheten anför att den omständigheten att

lagen tar ett helhetsgrepp och förhåller sig till såväl dataskyddsförordningen som dataskyddsdirektivet förhoppningsvis kommer att underlätta i rättstillämpningen. Justitiekanslern framhåller att det är viktigt att så långt som möjligt eftersträva en likartad systematik i alla de lagar och förordningar som reglerar personuppgiftsbehandling. I övrigt yttrar sig ingen remissinstans särskilt över bedömningen.

28

Skälen för regeringens bedömning Prop. 2019/20:106

En sammanhållen lag

Den EU-rättsliga dataskyddsreformen ger upphov till ett regelkomplex som till sin struktur kan uppfattas som relativt komplicerat. Så är särskilt fallet för myndigheter som Rättsmedicinalverket, där både dataskyddsförordningens och dataskyddsdirektivets bestämmelser är tillämpliga. För en del av de myndigheter vars verksamhet till stor del faller under direktivets tillämpningsområde har det införts två separata registerförfattningar (prop. 2017/18:269). En lag reglerar då personuppgiftsbehandlingen på förordningens område och en annan innehåller motsvarande bestämmelser på direktivets område.

Frågan är om de bestämmelser som nu föreslås bör vara intagna i en och samma lag eller om de i stället bör delas upp i en brottsdatalag för Rättsmedicinalverket och en lag om övrig behandling av personuppgifter för Rättsmedicinalverket. Av betydelse vid den bedömningen är att de särbestämmelser som behövs i Rättsmedicinalverkets verksamhet till viss del är desamma, oavsett om det är fråga om behandling av personuppgifter på dataskyddsförordningens eller dataskyddsdirektivets tillämpningsområde. Av det skälet kan det vara en fördel med en lag, i stället för två som i så fall delvis skulle behöva vara likalydande. De båda EU-rättsliga dataskyddsregleringarna kommer dock också att kräva överväganden som i vissa avseenden skiljer sig åt beroende på i vilket syfte personuppgiftsbehandlingen sker. Sådana särregleringar kan emellertid, som utredningen föreslår, lämpligen placeras i ett kapitel för bestämmelser som gäller på dataskyddsförordningens område och ett annat för bestämmelser på brottsdatalagens. Regeringen bedömer att en sammanhållen registerförfattning med en sådan struktur är det lämpligaste alternativet.

Terminologi

Som Justitiekanslern framhåller är en likartad systematik i författningarna på dataskyddsområdet önskvärd. Detta underlättar tillämpningen av regleringen. Av den anledningen bör uttryck och begrepp i den lag för personuppgiftsbehandling vid Rättsmedicinalverket som nu föreslås så långt det är möjligt anpassas till den terminologi som används i dataskyddsförordningen, dataskyddslagen, dataskyddsdirektivet och brottsdatalagen.

6.3.5Lagens syfte

Regeringens bedömning: Det saknas behov av att införa en särskild bestämmelse om lagens syfte.

Utredningens förslag överensstämmer inte med regeringens bedömning. Utredningen föreslår att lagen ska innehålla en särskild syftesbestämmelse.

Remissinstanserna: Datainspektionen påpekar att formuleringen av syftet avviker något från dataskyddsdirektivets formulering och menar att

det bör övervägas att i lagen tydliggöra att ett syfte med lagen särskilt ska

29

Prop. 2019/20:106 vara att skydda fysiska personers personliga integritet vid behandling av personuppgifter. Polismyndigheten påpekar att det av både bestämmelsen som reglerar lagens syfte och lagens tillämpningsområde framgår att lagen gäller behandling av personuppgifter i Rättsmedicinalverkets verksamhet och att det bör vara tillräckligt att ange detta i en av dessa bestämmelser.

30

Skälen för regeringens förslag: Dataskyddsförordningens syfte återfinns i artikel 1. Där slås fast att förordningen fastställer bestämmelser om skydd för fysiska personer med avseende på behandling av personuppgifter och om det fria flödet av personuppgifter. Där anges vidare att förordningen skyddar fysiska personers grundläggande rättigheter och friheter, särskilt deras rätt till skydd av personuppgifter. Det fria flödet av personuppgifter inom unionen får varken begränsas eller förbjudas av skäl som rör skyddet för fysiska personer med avseende på behandlingen av personuppgifter. Förordningens syftesbestämmelse är direkt tillämplig för Rättsmedicinalverket vid behandling av personuppgifter på förordningsområdet.

Syftesbestämmelsen i dataskyddsdirektivet är snarlik. Av artikel 1.2 i direktivet framgår att direktivets syfte är att skydda fysiska personers grundläggande rättigheter och friheter, särskilt deras rätt till skydd av personuppgifter. Dessutom ska direktivet säkerställa att behöriga myndigheters utbyte av personuppgifter inom unionen, när sådant utbyte krävs enligt unionsrätten eller nationell rätt, varken begränsas eller förbjuds av skäl som rör skyddet för fysiska personer med avseende på behandlingen av personuppgifter. Mot bakgrund av dataskyddsdirektivets syftesbestämmelse, anges i brottsdatalagen att syftet med lagen är att skydda fysiska personers grundläggande fri- och rättigheter i samband med behandling av personuppgifter och att säkerställa att behöriga myndigheter kan behandla och utbyta personuppgifter med varandra på ett ändamålsenligt sätt (1 kap. 1 § andra stycket).

När den kompletterande lagstiftningen till brottsdatalagen infördes gjorde regeringen bedömningen att det inte behövdes några syftesbestämmelser (prop. 2017/18:269 s. 104–105), eftersom registerförfattningarna ska läsas tillsammans med brottsdatalagen. Regeringen konstaterade att det därför inte fanns skäl att i registerförfattningarna införa bestämmelser som anger att syftet med lagen i stort sett är detsamma som det övergripande syftet med brottsdatalagen.

Regeringen anser mot denna bakgrund att det saknas skäl att införa en särskild bestämmelse om lagens syfte.

6.3.6Lagens tillämpningsområde

Regeringens förslag: Lagen ska gälla vid behandling av personuppgifter i Rättsmedicinalverkets verksamhet. Lagen ska gälla endast om behandlingen är helt eller delvis automatiserad eller om personuppgifterna ingår i eller kommer att ingå i ett register.

Utredningens förslag överensstämmer i sak med regeringens. Remissinstanserna: Ingen remissinstans yttrar sig särskilt i denna del. Skälen för regeringens förslag: Lagen bör, som utgångspunkt och med

de undantag som uttryckligen anges (se avsnitt 6.3.3), vara tillämplig för

all behandling av personuppgifter i Rättsmedicinalverkets verksamhet. Prop. 2019/20:106 Om inte annat anges ska lagen således tillämpas på personuppgiftsbehandling inom verkets samtliga verksamhetsområden

och ärendeslag. Även behandling av en utomstående aktör som Rättsmedicinalverket gett i uppdrag att utföra en uppgift som åvilar verket anses ske i verkets verksamhet och faller således inom lagens tillämpningsområde. I dessa situationer agerar uppdragstagaren som personuppgiftsbiträde i förhållande till Rättsmedicinalverket (se vidare avsnitt 6.3.8).

Den föreslagna lagen bör i likhet med den EU-rättsliga dataskyddsregleringen endast vara tillämplig vid helt eller delvis automatiserad behandling av personuppgifter samt icke-automatiserad behandling som avser vissa strukturerade uppgiftssamlingar. Utredningen föreslår att uttrycket ”en strukturerad samling av personuppgifter som är tillgängliga för sökning eller sammanställning enligt särskilda kriterier” ska användas för att beteckna dessa uppgiftssamlingar. Detta uttryck används bl.a. i 1 kap. 3 § brottsdatalagen. I dataskyddsförordningen (artiklarna 2.1 och 4.6) och i dataskyddsdirektivet (artiklarna 2.2 och 3.6) används emellertid begreppet ”register” för uppgiftssamlingar av detta slag. Registerbegreppet återfinns också i flera registerförfattningar främst på dataskyddsförordningens område, t.ex. vägtrafikdatalagen (2019:369).

Eftersom den föreslagna lagen ska gälla både inom dataskyddsförordningens och brottsdatalagens område talar övervägande skäl för att detta begrepp bör användas. Lagen bör alltså gälla för sådan behandling av personuppgifter som är helt eller delvis automatiserad och för annan behandling av personuppgifter som ingår i eller kommer att ingå i ett register. Detta innebär inte någon skillnad i sak i förhållande till utredningens förslag.

6.3.7Dataskyddsregleringen ska i tillämpliga delar även gälla vid behandling av uppgifter om avlidna

Regeringens förslag: I tillämpliga delar ska lagen om Rättsmedicinalverkets behandling av personuppgifter, EU:s

dataskyddsförordning, dataskyddslagen, brottsdatalagen och föreskrifter som meddelats i anslutning till dessa lagar gälla även vid behandling av uppgifter om avlidna i Rättsmedicinalverkets verksamhet.

Utredningens förslag överensstämmer i huvudsak med regeringens. Remissinstanserna: Endast ett fåtal remissinstanser yttrar sig i denna

del. Datainspektionen tillstyrker förslaget, men efterfrågar att det tydligare i lagtexten anges vilka delar av lagen som ska gälla för avlidna. Kammarrätten i Stockholm påpekar att förslaget kan komma att innebära att uppgifter om avlidna omfattas av det integritetsskyddande regelverket vid Rättsmedicinalverket men sedan inte skyddas på motsvarande sätt när de efter att ha förts över av verket behandlas av andra myndigheter och väcker frågan om det är en lämplig ordning. Polismyndigheten efterfrågar ett förtydligande avseende huruvida förslaget innebär någon förändring av

hur länge Rättsmedicinalverket kan behandla uppgifter om avlidna.

31

Prop. 2019/20:106 Skälen för regeringens förslag: Varken dataskyddsförordningen eller
  dataskyddsdirektivet gäller avlidna personer (skäl 27 i förordningen och
  1 kap. 6 § brottsdatalagen). Medlemsstaterna får dock enligt förordningen
  fastställa bestämmelser för behandling av uppgifter även rörande avlidna.
  Samma rätt torde vara förbehållen medlemsstaterna även inom direktivets
  tillämpningsområde. Något hinder mot att lagen i tillämpliga delar även
  ska omfatta uppgifter om avlidna personer finns, som utredningen
  konstaterar, således inte. Vid Rättsmedicinalverket förekommer uppgifter
  om avlidna personer i relativt stor utsträckning. Det rör sig ofta om
  uppgifter som är särskilt känsliga, t.ex. uppgifter om personer som utsatts
  för grov brottslighet. Det förekommer också uppgifter om enskildas
  psykiska eller fysiska hälsa, vilket kan innefatta information om
  exempelvis allvarlig sjukdom. För efterlevande kan det vara betydelsefullt
  att sådana uppgifter skyddas. De uppgifter om avlidna som kan
  förekomma vid Rättsmedicinalverket är regelmässigt så känsliga att det
  framstår som angeläget att sådana uppgifter kan omfattas av
  skyddsreglerna i den förslagna lagen. Det kan också konstateras att en
  sådan reglering skulle ligga väl i linje med de bestämmelser i lagen
  (1995:832) om obduktion m.m., som tillämpas i Rättsmedicinalverkets
  rättsmedicinska verksamhet, och som anger att åtgärder enligt lagen ska
  fullgöras med respekt för den avlidne (1 § andra stycket). Att uppgifterna,
  såsom Kammarrätten i Stockholm påpekar, inte skyddas på motsvarande
  sätt sedan de lämnats ut till andra myndigheter utgör enligt regeringen inte
  skäl att avstå från att införa en sådan ordning. Att lagen, i tillämpliga delar,
  gäller även uppgifter om avlidna personer bidrar också till att upprätthålla
  den frid som bör tillkomma en avliden person (jfr 5 kap. 4 § brottsbalken).
  Eftersom dataskyddsförordningen, dataskyddslagen och brottsdatalagen
  inte omfattar behandling av uppgifter om avlidna personer, bör den lag
  som regeringen nu föreslår utsträcka tillämpningsområdet för dessa
  regelverk när det gäller uppgiftsbehandling vid Rättsmedicinalverket.
  Något hinder mot det finns inte och det är nödvändigt för att bestämmelser
  om bl.a. tillåtna rättsliga grunder, grundläggande krav på behandlingen
  och tillsyn ska bli tillämpliga även när det gäller behandling av uppgifter
  om avlidna personer. Även brottsdataförordningen (2018:1202) och
  förordningen (2018:219) med kompletterande bestämmelser till EU:s
  dataskyddsförordning innehåller bestämmelser som kan vara relevanta när
  Rättsmedicinalverket behandlar uppgifter om avlidna. Brottsdata-
  förordningen innehåller t.ex. föreskrifter om tillgången till personuppgifter
  och anmälan av personuppgiftsincidenter. Vidare är det en fördel om
  uppgifter om avlidna i så stor utsträckning som möjligt behandlas på
  samma sätt som personuppgifter i Rättsmedicinalverkets verksamhet.
  Enligt regeringen bör därför även föreskrifter som meddelats i anslutning
  till dataskyddslagen, brottsdatalagen och lagen om Rättsmedicinalverkets
  behandling av personuppgifter tillämpas på uppgifter om avlidna.
  Bestämmelser som på något sätt kräver den registrerades agerande eller
  medverkan i övrigt är givetvis inte tillämpliga på avlidna personer. Någon
  möjlighet för efterlevande eller andra att överta rättigheter som tillkom den
  avlidne när denne var i livet finns inte heller. Det innebär exempelvis att
  bestämmelser om rätten till information, rätten till skadestånd och
  möjligheten att begära rättelse av registrerade personuppgifter inte är
32 tillämpliga i förhållande till avlidna. Däremot gäller bl.a. kravet på att det

ska finnas en rättslig grund för varje behandling av uppgifter och de Prop. 2019/20:106 principer som följer av artikel 4 i dataskyddsdirektivet (jfr 2 kap. 3–8 §§ brottsdatalagen) och artikel 5 i dataskyddsförordningen även vid

behandling av uppgifter om avlidna. På samma sätt förhåller det sig med bestämmelser om tillsyn och sanktionsavgifter. Regeringen anser inte, till skillnad från Datainspektionen, att det krävs något ytterligare förtydligande om vilka delar av lagen som ska gälla för avlidna. Den lagtekniska lösningen är också i linje med t.ex. patientdatalagen (2008:355) där tillämpningsområdet utsträckts till att även omfatta personer som inte längre är i livet.

Polismyndigheten efterfrågar ett förtydligande avseende huruvida förslaget innebär någon förändring av hur länge Rättsmedicinalverket kan behandla uppgifter om avlidna. Vidare framhåller myndigheten att uppgifter om exempelvis dna från en avliden person som behandlas hos Rättsmedicinalverket många gånger kan vara av stor betydelse i polisiära utredningar för att kunna knyta den avlidne till brott och samtidigt avskriva misstankar mot personer som är i livet. Genom den föreslagna bestämmelsen kommer uppgifter om avlidna att, till skillnad från tidigare ordning, omfattas av det skydd för personuppgifter som gäller vid Rättsmedicinalverket och skyddet för uppgifter om avlidna utvidgas alltså jämfört med vad som gäller i dag. Brottsdatalagen gäller när Rättsmedicinalverket behandlar uppgifter för brottsbekämpande syften om inte annat följer av den föreslagna lagen. Enligt brottsdatalagen får uppgifter inte behandlas under en längre tid än vad som är nödvändigt med hänsyn till ändamålet med behandlingen (2 kap. 17 § första stycket). En bestämmelse av motsvarande innebörd finns i artikel 5.1 e i dataskyddsförordningen. Innebörden av dessa bestämmelser torde vara att Rättsmedicinalverket även fortsättningsvis kommer att kunna behandla nödvändiga uppgifter om avlidna som har betydelse för exempelvis olösta mordfall eller resningsförfaranden.

6.3.8Rättsmedicinalverket ska vara personuppgiftsansvarigt

Regeringens förslag: Rättsmedicinalverket ska vara personuppgiftsansvarigt för behandling av personuppgifter i myndighetens verksamhet.

Regeringens bedömning: Det behövs inga bestämmelser om personuppgiftsbiträden. Bestämmelserna i dataskyddsförordningen och brottsdatalagen är tillräckliga.

Utredningens förslag och bedömning överensstämmer med regeringens.

Remissinstanserna: Ingen remissinstans yttrar sig särskilt i denna del.

33

Prop. 2019/20:106

34

Skälen för regeringens förslag

Rättsmedicinalverket bör ha ett helhetsansvar för personuppgiftsbehandlingen

Begreppet personuppgiftsansvarig är centralt inom all dataskyddsreglering. Skyldigheten att se till att behandling av personuppgifter sker i enlighet med tillämpliga bestämmelser åvilar den som är personuppgiftsansvarig och enskilda ska alltid kunna vända sig till den personuppgiftsansvarige för att göra sina rättigheter gällande.

Dataskyddsförordningen slår fast att med personuppgiftsansvarig avses en fysisk eller juridisk person, offentlig myndighet, institution eller annat organ som ensamt eller tillsammans med andra bestämmer ändamålen och medlen för behandlingen av personuppgifter (artikel 4.7). Den personuppgiftsansvarige har en rad skyldigheter enligt förordningen. Däribland kan nämnas att den personuppgiftsansvarige ska se till och kunna visa att principerna om behandlingen av personuppgifter i artikel 5 följs. Ett annat exempel är den personuppgiftsansvariges skyldighet att genomföra lämpliga tekniska och organisatoriska åtgärder för att säkerställa och kunna visa att behandlingen av personuppgifter utförs i enlighet med förordningen (artikel 24).

Även dataskyddsdirektivet innehåller en definition av begreppet personuppgiftsansvarig. Direktivet anger att med personuppgiftsansvarig avses en behörig myndighet, som ensam eller tillsammans med andra, bestämmer ändamålen och medlen för behandlingen av personuppgifter (artikel 3.8). Motsvarande bestämmelse finns i 1 kap. 6 § brottsdatalagen.

Registerförfattningar innehåller regelmässigt en reglering av vem som är personuppgiftsansvarig. En sådan bestämmelse är, såvitt gäller myndigheter, av störst vikt när det är fråga om en myndighet som är del av en större myndighetsstruktur, om det finns utrymme för tvekan kring vilken myndighet som har ansvaret för behandlingen av personuppgifter. Regleringen kan dock ha ett berättigande även i andra fall, för att förenkla för rättstillämparen och undvika otydligheter. Eftersom båda de EU- rättsliga regelverken gör det möjligt att i nationell författning ange vem som är personuppgiftsansvarig (artikel 4.7 i dataskyddsförordningen och artikel 3.8 i dataskyddsdirektivet), och det enligt regeringens mening är viktigt att detta tydligt framgår, bör en bestämmelse införas som anger att Rättsmedicinalverket är personuppgiftsansvarigt för behandling av personuppgifter i myndighetens verksamhet. I detta ligger även att Rättsmedicinalverket är personuppgiftsansvarigt för behandling inom myndighetens verksamhet som utförs av andra aktörer på uppdrag av Rättsmedicinalverket (se vidare nedan).

Inget behov av ytterligare bestämmelser om personuppgiftsbiträden

Den som är personuppgiftsansvarig är, enligt såväl dataskyddsförordningen som dataskyddsdirektivet och brottsdatalagen, ansvarig för all behandling av personuppgifter som utförs under den personuppgiftsansvariges ledning eller på dennes vägnar. Detta helhetsansvar innebär således att ansvaret för behandlingen sträcker sig till att även omfatta den personuppgiftsbehandling som utförs av ett personuppgiftsbiträde (skäl 74 i dataskyddsförordningen och skäl 50 i dataskyddsdirektivet). I 3 kap. 1 § brottsdatalagen anges att den

personuppgiftsansvarige är ansvarig för all behandling av personuppgifter Prop. 2019/20:106 som utförs under dennes ledning eller på dennes vägnar.

Vid Rättsmedicinalverket förekommer i ett antal olika delar av verksamheten att personuppgiftsbiträden anlitas. Så är exempelvis fallet när det gäller rättsmedicinska åldersbedömningar. Fristående leverantörer genomför, efter Rättsmedicinalverkets upphandling, de undersökningar som ligger till grund för verkets utlåtande i åldersfrågan. Utöver avtal som reglerar själva uppdraget ingår Rättsmedicinalverket också s.k. personuppgiftsbiträdesavtal med dessa leverantörer.

Att personuppgiftsbiträden och personer som utför arbete under den personuppgiftsansvariges eller personuppgiftsbiträdets överinseende, och som får tillgång till personuppgifter, endast får behandla dessa uppgifter på instruktion från den personuppgiftsansvarige, såvida han eller hon inte är skyldig att göra det enligt unionsrätten eller medlemsstaternas nationella rätt, framgår av artikel 29 i dataskyddsförordningen. Om en behandling ska genomföras på en personuppgiftsansvarigs vägnar, ska den personuppgiftsansvarige endast anlita personuppgiftsbiträden som ger tillräckliga garantier om att genomföra lämpliga tekniska och organisatoriska åtgärder på ett sådant sätt att behandlingen uppfyller kraven i förordningen och säkerställer att den registrerades rättigheter skyddas (artikel 28.1). Personuppgiftsbiträdets hantering av personuppgifter för den personuppgiftsansvariges räkning, ska regleras genom ett avtal eller annan rättsakt som är bindande för biträdet (artikel 28.3, som också innehåller närmare föreskrifter om vad ett sådant avtal eller en sådan bindande rättsakt ska reglera).

Motsvarande bestämmelser på dataskyddsdirektivets område finns i bl.a. artikel 23, som anger att medlemsstaterna ska föreskriva att ett personuppgiftsbiträde och personer som utför arbete under den personuppgiftsansvariges eller personuppgiftsbiträdets överinseende, och som får tillgång till personuppgifter, endast får behandla dessa uppgifter enligt instruktion från den personuppgiftsansvarige, såvida han eller hon inte är skyldig att göra det enligt unionsrätten eller medlemsstaternas nationella rätt. Likaså finns i direktivet bestämmelser om anlitande av personuppgiftsbiträden och vad som ska gälla för avtal mellan den personuppgiftsansvarige och ett sådant biträde (artikel 22). Direktivets bestämmelser om personuppgiftsbiträden har genomförts genom 3 kap.

16–19 §§ brottsdatalagen.

De bestämmelser i dataskyddsförordningen och brottsdatalagen som reglerar vad som gäller när en personuppgiftsansvarig anlitar ett personuppgiftsbiträde är enligt regeringens mening tillräckliga. Något behov av att i den nu föreslagna lagen införa bestämmelser om personuppgiftsbiträden finns därför inte.

35

Prop. 2019/20:106 6.3.9 Rättslig grund och ändamål för behandling av
    personuppgifter på dataskyddsförordningens
    tillämpningsområde
   
  Regeringens förslag: Rättsmedicinalverket ska få behandla
  personuppgifter om det är nödvändigt för att utföra myndighetens
  uppgifter i den rättspsykiatriska, rättskemiska, rättsmedicinska och
  rättsgenetiska verksamheten.
  Personuppgifter som behandlas för dessa ändamål ska också få
  behandlas för att fullgöra uppgiftslämnande som sker i
  överensstämmelse med lag eller förordning.
  Personuppgifterna ska även få behandlas för andra ändamål, under
  förutsättning att uppgifterna inte behandlas på ett sätt som är oförenligt
  med det ändamål för vilket uppgifterna samlades in.
  Regeringens bedömning: Den behandling av personuppgifter inom
  dataskyddsförordningens tillämpningsområde som regleras i den
  förslagna lagen är nödvändig för att utföra en uppgift av allmänt
  intresse.  
  Det behövs ingen upplysning om att EU:s dataskyddsförordning
  anger att personuppgifter får behandlas om minst ett av de villkor som
  anges i artikel 6.1 i förordningen är uppfyllt eller om att personuppgifter
  även får behandlas om det behövs för arkivändamål av allmänt intresse,
  vetenskapliga eller historiska forskningsändamål eller statistiska
  ändamål i enligt med artikel 89.1 i dataskyddsförordningen.
  Det behövs ingen bestämmelse om ytterligare behandling av
  personuppgifter som behandlas eller har behandlats med stöd av de
  bestämmelser i lagen som gäller på brottsdatalagens område.
   
  Utredningens förslag överensstämmer i sak med regeringens.
  Utredningen föreslår en annan lagteknisk utformning. Utredningen
  föreslår bl.a. att den inledande ändamålsbestämmelsen ska innehålla en
  upplysning om vad som anges i artikel 6.1 i dataskyddsförordningen.
  Remissinstanserna: Datainspektionen avstyrker utredningens förslag
  att Rättsmedicinalverket ska kunna använda samtycke enligt artikel 6.1 a
  och intresseavvägning enligt artikel 6.1 f som stöd för behandling av
  personuppgifter i sin rättspsykiatriska, rättskemiska, rättsmedicinska och
  rättsgenetiska verksamhet. Ingen annan remissinstans yttrar sig särskilt i
  denna del.  
  Skälen för regeringens förslag och bedömning
  Rättslig grund
  Av artikel 6.1 i dataskyddsförordningen framgår att behandling av
  personuppgifter endast är laglig om och i den mån som åtminstone ett av
  följande villkor är uppfyllt: a) den registrerade har lämnat sitt samtycke till
  att dennes personuppgifter behandlas för ett eller flera specifika ändamål,
  b) behandlingen är nödvändig för att fullgöra ett avtal i vilket den
  registrerade är part eller för att vidta åtgärder på begäran av den
  registrerade innan ett sådant avtal ingås, c) behandlingen är nödvändig för
  att fullgöra en rättslig förpliktelse som åvilar den personuppgiftsansvarige,
36 d) behandlingen är nödvändig för att skydda intressen som är av

grundläggande betydelse för den registrerade eller för en annan fysisk person, e) behandlingen är nödvändig för att utföra en uppgift av allmänt intresse eller som ett led i den personuppgiftsansvariges myndighetsutövning eller f) behandlingen är nödvändig för ändamål som rör den personuppgiftsansvariges eller en tredje parts berättigade intressen, om inte den registrerades intressen eller grundläggande rättigheter och friheter väger tyngre och kräver skydd av personuppgifter, särskilt när den registrerade är ett barn. Sistnämnda rättsliga grund får dock inte åberopas av offentliga myndigheter när de fullgör sina uppgifter.

Uppräkningen av rättsliga grunder i artikel 6.1 är uttömmande. Om ingen av de grunder som anges där är tillämplig är behandlingen inte laglig och får därmed inte genomföras. De rättsliga grunderna är i viss mån överlappande. Flera rättsliga grunder kan därför vara tillämpliga avseende en och samma behandling. För att en behandling av personuppgifter ska vara tillåten enligt artikel 6.1 b–f måste den vara nödvändig. Begreppet nödvändig är ett EU-rättsligt begrepp. Det innebär inte att någonting absolut fordras eller inte kan underlåtas utan att det är fråga om något som behövs för att på ett effektivt sätt kunna utföra arbetsuppgiften eller med andra ord att behandlingen leder till effektivitetsvinster (prop. 2017/18:105 s. 189 och prop. 2017/18:232 s. 117). I dagsläget får det mer eller mindre regelmässigt anses vara nödvändigt att använda tekniska hjälpmedel och därmed behandla personuppgifter på automatiserad väg, eftersom en manuell informationshantering inte utgör ett realistiskt alternativ för vare sig myndigheter eller företag (prop. 2017/18:105 s. 46– 47 och 189).

I normalfallet utgör en myndighets uppdrag enligt författning, instruktion eller regleringsbrev en rättslig grund för behandling av personuppgifter enligt artikel 6.1 e (prop. 2017/18:105 s. 53–54). All verksamhet som myndigheter bedriver, inom ramen för sin befogenhet, anses vara av allmänt intresse. Vissa myndigheter har av riksdagen eller regeringen getts befogenhet att bedriva viss uppdragsverksamhet. Även denna typ av verksamhet är motiverad av ett allmänt intresse (prop. 2017/18:105 s. 56–59). Av 2 kap. 2 § 1 dataskyddslagen följer att en uppgift av allmänt intresse som följer av lag eller annan författning, av kollektivavtal eller av beslut som har meddelats med stöd av lag eller annan författning utgör en rättslig grund för behandling av personuppgifter.

Tydliga uppdrag att behandla personuppgifter i författning, exempelvis en myndighets instruktion, kan dock också utgöra en rättslig förpliktelse. Enligt artikel 6.1 c är personuppgiftsbehandling laglig om den är nödvändig för att fullgöra en rättslig förpliktelse som åvilar den

personuppgiftsansvarige. Begreppet omfattar i första hand offentligrättsliga förpliktelser och av 2 kap. 1 § dataskyddslagen följer att en förpliktelse utgör en rättslig grund för behandling av personuppgifter om förpliktelsen följer av lag eller annan författning, av kollektivavtal eller av beslut som har meddelats med stöd av lag eller annan författning.

Enligt artikel 6.3 första stycket i dataskyddsförordningen ska de grunder för behandlingen som avses i artikel 6.1 c och e fastställas i enlighet med unionsrätten eller en medlemsstats nationella rätt som den personuppgiftsansvarige omfattas av. Med detta avses, enligt skäl 41, inte att den rättsliga grunden nödvändigtvis måste fastställas i enlighet med en

Prop. 2019/20:106

37

Prop. 2019/20:106 av riksdagen beslutad lag. Däremot måste grunden vara fastställd i laga ordning på ett konstitutionellt korrekt sätt (prop. 2017/18:105 s. 51). Av skäl 41 följer vidare att den rättsliga grunden bör vara tydlig, precis och förutsägbar.

De uppdrag som Rättsmedicinalverket har att utföra och dess befogenheter framgår av myndighetens instruktion. Instruktionen utgör en tydlig, precis och förutsägbar rättslig grund som uppfyller kraven i artikel 6 i dataskyddsförordningen. Detta får anses gälla även 3 § i instruktionen, som anger att Rättsmedicinalverket får utföra uppdrag inom sitt ansvarsområde om verksamheten i övrigt medger det. Relevant för att avgöra vilka ärendetyper och uppdrag som kan hänföras till 3 § är 1 § i instruktionen, som anger att Rättsmedicinalverket ansvarar för rättspsykiatrisk, rättskemisk, rättsmedicinsk och rättsgenetisk verksamhet i den utsträckning sådana frågor inte ska handläggas av någon annan statlig myndighet. De båda bestämmelserna sätter alltså ramarna för vilka uppdrag Rättsmedicinalverket med stöd av 3 § i instruktionen kan åta sig

När Rättsmedicinalverket behandlar personuppgifter enligt sitt uppdrag sker detta för att utföra uppgifter av allmänt intresse eller som ett led i myndighetsutövning (artikel 6.1 e) som följer av lag eller annan författning. Även artikel 6.1 c om behandling för att fullgöra en rättslig förpliktelse kan vara tillämplig. Eftersom artikel 6.1 i dataskyddsförordningen är direkt tillämplig anser regeringen, till skillnad från utredningen, inte att det behövs någon upplysning om att personuppgifter får behandlas i Rättsmedicinalverkets verksamhet under förutsättning att minst ett av de villkor som anges i artikel 6.1 i förordningen är uppfyllt.

Datainspektionen instämmer, med åberopande av beaktandesatserna 43 och 47 i dataskyddsförordningen, inte i utredningens uppfattning att Rättsmedicinalverket ska kunna använda samtycke enligt artikel 6.1 a och intresseavvägning enligt artikel 6.1 f som stöd för behandling av personuppgifter i sin verksamhet. Regeringen konstaterar att det enligt förordningen inte är tillåtet för myndigheter att, när de fullgör sina uppgifter, behandla personuppgifter med stöd av den rättsliga grund som utgår från en avvägning mellan den ansvariges berättigade intressen och den registrerades rättigheter och intressen (artikel 6.1 andra stycket). När det gäller samtycke framhåller utredningen att den grunden för behandling kan vara tillämplig i de fall då Rättsmedicinalverket genomför utredningar på uppdrag av enskilda personer, exempelvis i faderskapsärenden som initierats av de inblandade parterna själva. I skäl 43 i dataskyddsförordningen uttrycks att samtycke inte bör anses ha lämnats frivilligt och därmed kunna utgöra en giltig rättslig grund i fall där det råder betydande ojämlikhet mellan den registrerade och den personuppgiftsansvarige, särskilt om den personuppgiftsansvarige är en offentlig myndighet och det därför är osannolikt att samtycket har lämnats frivilligt när det gäller alla förhållanden som denna särskilda situation omfattar. Utrymmet för offentliga myndigheter att använda sig av samtycke som rättslig grund för behandling av personuppgifter (artikel 6.1

a)får därför anses vara begränsat. I Rättsmedicinalverkets instruktion, där myndighetens uppdrag och befogenheter fastslås, uttrycks bl.a. särskilt

uppgiften att utföra rättsgenetiska undersökningar. Även Rättsmedicinalverkets uppdragsverksamhet i form av utredningar på

38

uppdrag av enskilda personer utgör därför, som konstateras ovan, en Prop. 2019/20:106 verksamhet av allmänt intresse.

Ändamålsbestämmelser och finalitetsprincipen

Att personuppgifter bara får samlas in för särskilda, uttryckligt angivna och berättigade ändamål är en allmän dataskyddsprincip. Enligt den s.k. finalitetsprincipen får personuppgifter inte vidarebehandlas för något annat ändamål som är oförenligt med insamlingsändamålen. Dessa principer kommer till uttryck i artiklarna 5.1 b och 6.4 i dataskyddsförordningen. Ytterligare behandling för arkivändamål av allmänt intresse, vetenskapliga eller historiska forskningsändamål eller statistiska ändamål i enlighet med artikel 89.1 ska inte anses vara oförenlig med de ursprungliga ändamålen (artikel 5.1 b).

Ändamålsbestämmelser anger den yttersta ram inom vilken uppgifter får behandlas (se t.ex. 6–7 §§ domstolsdatalagen [2015:728]). I vissa författningar delas ändamålen in i sekundära och primära ändamål. Bestämmelser om primära ändamål reglerar behandling som behövs i den berörda myndighetens egen verksamhet medan sekundära ändamål bl.a. reglerar i vilken utsträckning uppgifter som behandlas för något av de primära ändamålen får vidarebehandlas för att lämnas ut till enskilda eller till andra myndigheter. Syftet med uppdelningen i primära och sekundära ändamål är att göra det tydligt hur personuppgifter dels får användas i myndighetens egen verksamhet, dels får behandlas för att lämnas ut till andra.

Ändamålsbestämmelser är sådana specifika bestämmelser som anpassar tillämpningen av dataskyddsförordningen och säkerställer en laglig och rättvis behandling och är således tillåtna i nationell rätt enligt artikel 6.2 och 6.3 i dataskyddsförordningen. Enligt artikel 23.2 a ska dessutom lagstiftning som begränsar tillämpningsområdet för förordningens rättigheter och skyldigheter innehålla specifika ändamålsbestämmelser, när så är relevant. Genom väl avvägda ändamålsbestämmelser kan Rättsmedicinalverket ges ändamålsenliga möjligheter att behandla personuppgifter i sin verksamhet samtidigt som risken för obefogade intrång i den personliga integriteten minskar.

Regeringen bedömer mot denna bakgrund att ändamålsbestämmelser bör införas i den föreslagna lagen och att dessa ska delas upp i primära och sekundära ändamålsbestämmelser. Av den primära ändamålsbestämmelsen ska framgå att Rättsmedicinalverket får behandla personuppgifter om det är nödvändigt för att utföra myndighetens uppgifter i sin rättspsykiatriska, rättskemiska, rättsmedicinska och rättsgenetiska verksamhet. Det utgör en lämplig avgränsning som beaktar både verksamhetens behov av att behandla personuppgifter och skyddet för enskildas personliga integritet. För att leva upp till dataskyddsförordningens krav på särskilda, uttryckligt angivna och berättigade ändamål kommer Rättsmedicinalverket dock normalt också att behöva formulera mer preciserade ändamål för de specifika behandlingar av personuppgifter som sker i myndighetens verksamhet. När det gäller de sekundära ändamålen bör en allmän förutsättning vara att utlämnande till andra får ske om uppgiftslämnandet sker i överenstämmelse med lag eller

förordning, dvs. med stöd av bestämmelser som påbjuder eller tillåter

39

Prop. 2019/20:106 utlämnande. När bestämmelser som påbjuder eller tillåter utlämnande har införts får det förutsättas att det har gjorts en avvägning mellan intresset av att uppgiften lämnas ut och intresset av att skydda enskilda personers integritet, och att man vid denna avvägning funnit att uppgiften ska eller får lämnas ut.

40

Utredningen föreslår att det ska införas bestämmelser som uttryckligen anger att personuppgifter även får behandlas om det behövs för arkivändamål av allmänt intresse, vetenskapliga eller historiska forskningsändamål eller statistiska ändamål i enligt med artikel 89.1 i dataskyddsförordningen. Det föreslås också en uttrycklig hänvisning till dataskyddsförordningens bestämmelser om finalitetsprincipen (artiklarna

5.1b och 6.4). Regeringens instämmer i att finalitetsprincipen bör utgöra den yttersta ramen inom vilken personuppgifter får behandlas på dataskyddsförordningens område enligt den föreslagna lagen. Regeringen anser dock inte att en hänvisning till artikel 5.1 b och 6.4 i dataskyddsförordningen eller en uttrycklig bestämmelse om behandling för arkivändamål av allmänt intresse, vetenskapliga eller historiska forskningsändamål eller statistiska ändamål bör införas i lagen. I stället bör det anges att det är tillåtet att behandla personuppgifter för andra ändamål än de som uttryckligen anges i lagen, så länge behandlingen inte är oförenlig med insamlingsändamålen. En sådan tydliggörande bestämmelse finns i många andra registerförfattningar på dataskyddsförordningens område (se t.ex. 4 § kriminalvårdsdatalagen [2018:1235]) och utgör tillsammans med uppräkningen av tillåtna ändamål i 2 kap. 1 § en lämplig ändamålsbegränsning som kan införas i nationell rätt enligt artikel 6.3 i dataskyddsförordningen (prop. 2017/18:115 s. 17).

Behandling för nya ändamål utanför brottsdatalagens område

Utredningen föreslår en bestämmelse som slår fast att personuppgifter som behandlas eller har behandlats med stöd av brottsdatalagen eller 3 kap. i den nu föreslagna lagen får behandlas med stöd av dataskyddsförordningen och de bestämmelser i lagen som rör personuppgiftsbehandling på förordningens område, i de fall sådan behandling behövs för att fullgöra uppgiftslämnande enligt lag eller förordning, eller för vissa arkivändamål. Den lagtekniska lösning som regeringen väljer innebär dock att den sekundära ändamålsbestämmelsen inte är uttömmande, vilket innebär att bestämmelsen inte ska tolkas som ett hinder mot utlämnande av personuppgifter som behandlas eller har behandlats med stöd av brottsdatalagen eller 3 kap. i lagen. Eftersom frågan om behandling för nya ändamål utanför brottsdatalagens tillämpningsområde regleras i 3 kap. i lagen genom en hänvisning till brottsdatalagen, skulle bestämmelsen som föreslås av utredningen utgöra en form av dubbelreglering. En sådan bestämmelse om utlämnande av personuppgifter som behandlas eller har behandlats med stöd av brottsdatalagen eller 3 kap. i lagen som utredningen föreslår bör därför inte införas i lagen. Att den sekundära ändamålsbestämmelsen inte är uttömmande innebär vidare att den inte utgör något hinder mot att personuppgifter som behandlas eller har behandlats med stöd av brottsdatalagen eller 3 kap. i lagen får behandlas för arkivering.

Regeringen bedömer därför att inte heller sådan behandling av Prop. 2019/20:106 personuppgifter uttryckligen behöver regleras i lagens 3 kap. Motsvarande

bedömning har gjorts i förarbetena till lagen (2018:1698) om domstolarnas behandling av personuppgifter inom brottsdatalagens område (prop. 2017/18:269 s. 231–232).

6.3.10 Rättslig grund och ändamål för behandling av  
  personuppgifter på brottsdatalagens  
  tillämpningsområde  
   
Regeringens förslag: Rättsmedicinalverket ska få behandla  
personuppgifter om det är nödvändigt för att myndigheten ska kunna  
utföra följande uppgifter:  
1. förebygga, förhindra eller upptäcka brottslig verksamhet,  
2. utreda eller lagföra brott,  
3. verkställa straffrättsliga påföljder, eller  
4. fullgöra förpliktelser som följer av internationella åtaganden.  
Det ska framgå genom en hänvisning till brottsdatalagen att  
personuppgifter som behandlas med stöd av lagen ska få behandlas för  
nya ändamål enligt de förutsättningar som anges i brottsdatalagen.  
Regeringens bedömning: Det behövs ingen upplysning om att  
arbetsuppgiften ska framgå av lag, förordning eller ett särskilt beslut i  
vilket regeringen uppdragit åt Rättsmedicinalverket att ansvara för en  
sådan uppgift.  
   
Utredningens förslag överensstämmer delvis med regeringens.  
Utredningen föreslår att regleringen i brottsdatalagen om att en  
arbetsuppgift ska framgå av lag, förordning eller ett särskilt beslut i vilket  
regeringen uppdragit åt myndigheten att utföra uppgiften ska upprepas i  
den nu föreslagna lagen.  
Remissinstanserna: Dataskydd.net framför lagtekniska synpunkter. I  
övrigt yttrar sig ingen remissinstans särskilt i denna del.  
Skälen för regeringens förslag och bedömning  
Rättslig grund och ändamål  
I artikel 8.1 i dataskyddsdirektivet anges att en behandling av  
personuppgifter är laglig endast om den är nödvändig för att en behörig  
myndighet ska kunna utföra en uppgift i syfte att förebygga, förhindra,  
utreda, avslöja eller lagföra brott eller verkställa straffrättsliga påföljder  
eller skydda mot eller förebygga och förhindra hot mot den allmänna  
säkerheten. Behandlingen ska ske på grundval av unionsrätt eller  
medlemsstaternas nationella rätt. För att uppfylla detta krav är det  
nödvändigt att, i den mån det inte finns tillämpliga unionsrättsliga  
bestämmelser, i svensk rätt ange ramarna för när behandling av  
personuppgifter är tillåten.  
Av 2 kap. 1 § brottsdatalagen, som genomför artikel 8.1 i direktivet,  
framgår att personuppgifter får behandlas om det är nödvändigt för att en  
behörig myndighet ska kunna utföra sin uppgift att förebygga, förhindra  
eller upptäcka brottslig verksamhet, utreda eller lagföra brott, verkställa en 41
   

Prop. 2019/20:106 straffrättslig påföljd eller upprätthålla allmän ordning och säkerhet. Arbetsuppgiften ska framgå av en lag, en förordning eller ett särskilt beslut i vilket regeringen uppdragit åt den behöriga myndigheten att ansvara för en sådan uppgift. Personuppgifter får dessutom behandlas om det är nödvändigt för diarieföring, eller om uppgifterna har lämnats till en behörig myndighet i en anmälan, ansökan eller liknande och behandlingen är nödvändig för myndighetens handläggning (2 kap. 2 § brottsdatalagen). Begreppet nödvändig är ett EU-rättsligt begrepp. Det innebär inte att någonting absolut fordras eller inte kan underlåtas utan att det är fråga om något som behövs för att på ett effektivt sätt kunna utföra arbetsuppgiften eller med andra ord att behandlingen leder till effektivitetsvinster (prop. 2017/18:105 s. 189 och prop. 2017/18:232 s. 117).

Regeringen har tidigare gjort bedömningen att registerförfattningar på brottsdatalagens område bör innehålla bestämmelser om tillåtna rättsliga grunder (prop. 2017/18:269 s. 151). En sådan bestämmelse bör införas även i Rättsmedicinalverkets registerförfattning. Den bör utformas med hänsyn tagen till de syften för vilka Rättsmedicinalverket behöver kunna behandla personuppgifter och på ett motsvarande sätt som i andra registerförfattningar på brottsdatalagens område (se t.ex. 2 kap. 1 § lagen [2018:1697] om åklagarväsendets behandling av personuppgifter inom brottsdatalagens område).

  I 1–3 §§ förordningen (2007:976) med instruktion för Rättsmedicinal-
  verket anges vilka uppgifter Rättsmedicinalverket ansvarar för. De
  uppgifter för vilka det är nödvändigt att Rättsmedicinalverket behandlar
  personuppgifter inom brottsdalagens område är av olika slag, men i
  merparten av fallen består uppgiften antingen i att agera stödfunktion för
  att utreda eller lagföra brott eller att verkställa en straffrättslig påföljd. I
  ärenden som utförs på uppdrag av Polismyndigheten eller allmän åklagare
  är Rättsmedicinalverkets uppgift oftast brottsutredande eller utförs för
  lagföring av brott. I de fall det är fråga om rättspsykiatriska
  undersökningar eller s.k. § 7-intyg är Rättsmedicinalverkets uppgift ett led
  i lagföringen av brott eftersom sådana yttranden från verket används vid
  påföljdsbestämningen. När Rättsmedicinalverket genomför
  riskbedömningar enligt lagen om omvandling av fängelse på livstid
  omfattar uppgiften i stället verkställighet av en straffrättslig påföljd.
  Betydligt mer sällan torde det förekomma behandling av
  personuppgifter för att Rättsmedicinalverket ska kunna utföra en uppgift
  att förebygga, förhindra eller upptäcka brottslig verksamhet. I
  Rättsmedicinalverkets roll som stödfunktion för brottsutredande och
  annan verksamhet kan det dock inte uteslutas att personuppgifts-
  behandling för sådana ändamål skulle kunna aktualiseras. Som utvecklas i
  avsnitt 6.3.2 kommer det dock inte att vara aktuellt för
  Rättsmedicinalverket att behandla uppgifter i syfte att upprätthålla allmän
  ordning och säkerhet.      
  Det förekommer dessutom att Rättsmedicinalverket har vissa
  internationella förpliktelser, bl.a. i ärenden avseende identifiering av
  avlidna vid terrordåd eller i rättsmedicinska uppdrag med att lämna s.k.
  second opinion på begäran från utlandet. I likhet med vad som gäller enligt
  flera andra registerförfattningar på brottsdatalagens område, bör
  fullgörande av internationella förpliktelser vara en tillåten rättslig grund
42 för Rättsmedicinalverkets personuppgiftsbehandling.  

Den rättsliga grunden bör således uttryckas som att Rättsmedicinalverket ska få behandla personuppgifter om det är nödvändigt för att myndigheten ska kunna utföra följande uppgifter: 1. förebygga, förhindra eller upptäcka brottslig verksamhet, 2. utreda eller lagföra brott, 3. verkställa straffrättsliga påföljder, eller 4. fullgöra förpliktelser som följer av internationella åtaganden. Denna utformning av den rättsliga grunden innebär inte att Rättsmedicinalverket tilldelas några nya arbetsuppgifter. Vilka ansvarsområden myndigheten har framgår alltjämt av dess instruktion. Rättsmedicinalverkets stödfunktion i förhållande till andra myndigheter medför dock att man i ett dataskyddsrättsligt sammanhang kan tala om att myndigheten har till uppgift att bekämpa och lagföra brott, verkställa straffrättsliga påföljder och fullgöra förpliktelser som följer av internationella åtaganden.

En sådan bestämmelse i kombination med regleringen av myndighetens arbetsuppgifter i förordningen med instruktion för Rättsmedicinalverket, utgör en tydlig, precis och förutsägbar rättslig grund för Rättsmedicinalverkets personuppgiftsbehandling som uppfyller kraven i dataskyddsdirektivet (skäl 33 dataskyddsdirektivet, jfr prop. 2017/18:269

s.209–210).

I avsnitt 6.3.2 föreslås att brottsdatalagen ska gälla om inte annat följer

av den föreslagna lagen eller föreskrifter som meddelats i anslutning till den. Bestämmelsen om rättsliga grunder i den nu föreslagna lagen ersätter bestämmelsen i 2 kap. 1 § första stycket brottsdatalagen.

Det behöver inte, såsom utredningen föreslår, föreskrivas att den uppgift som ska utföras ska framgå av en lag, en förordning eller ett särskilt beslut i vilket regeringen uppdragit åt myndigheten att ansvara för uppgiften. Detta framgår nämligen redan av 2 kap. 1 § andra stycket brottsdatalagen.

Den omständigheten att en viss behandling av personuppgifter är rättsligt grundad innebär inte att vilka personuppgifter som helst får behandlas eller att det får göras på valfritt sätt. Dataskyddsdirektivet ställer upp ett antal principer för personuppgiftsbehandling som, utöver kravet på rättslig grund, ska vara uppfyllda för att behandlingen ska få utföras. Av artikel 4.1 framgår bl.a. att personuppgifter endast får samlas in för särskilda, uttryckligt angivna och berättigade ändamål. De personuppgifter som behandlas ska dessutom vara adekvata, relevanta och inte för omfattande i förhållande till de syften för vilka de behandlas.

Dessa grundläggande krav på behandling av personuppgifter genomförs i brottsdatalagen genom 2 kap. 3–8 §§. Där framgår bl.a. att personuppgifter får behandlas bara för särskilda, uttryckligt angivna och berättigade ändamål (2 kap. 3 §). I förarbetena framhålls att ändamålet måste vara tillräckligt preciserat för att det ska kunna avgöras om de personuppgifter som behandlas är adekvata och relevanta för ändamålet med behandlingen eller om för många personuppgifter behandlas. Ändamålet får alltså inte vara så vagt eller vittomfattande att någon sådan prövning i praktiken inte blir möjlig (prop. 2017/18:232 s. 441). Det innebär att Rättsmedicinalverket, precis som på dataskyddsförordningens område, många gånger kommer att behöva formulera mer preciserade ändamål för de specifika behandlingar av personuppgifter som sker i myndighetens verksamhet.

Prop. 2019/20:106

43

Prop. 2019/20:106 Behandling för nya ändamål

Innan personuppgifter får behandlas för ett nytt ändamål ska det säkerställas att det finns en tillåten rättslig grund för den nya behandlingen. Dessutom ska det vara nödvändigt och proportionerligt att personuppgifterna behandlas för det nya ändamålet (2 kap. 4 § brottsdatalagen). Motsvarande prövning ska enligt 2 kap. 22 § göras när de brottsbekämpande myndigheterna behandlar personuppgifter för nya ändamål utanför lagens tillämpningsområde. Inte i något av fallen behöver dock en prövning av om behandlingen är nödvändig och proportionerlig göras i den utsträckning en skyldighet att lämna ut uppgifter följer av lag eller förordning. En behörig myndighet får vidare behandla personuppgifter för vetenskapliga, statistiska eller historiska ändamål (2 kap. 5 §). Personuppgifter ska behandlas författningsenligt och på ett korrekt sätt (2 kap. 6 §). De ska vara korrekta och, om det är nödvändigt, uppdaterade (2 kap. 7 §). Personuppgifter som behandlas ska dessutom vara adekvata och relevanta i förhållande till ändamålen med behandlingen. Fler personuppgifter får inte behandlas än vad som är nödvändigt med hänsyn till dessa ändamål (2 kap. 8 §).

När det gäller förutsättningarna för Rättsmedicinalverkets behandling av personuppgifter för nya ändamål utgör brottsdatalagens bestämmelser en lämplig reglering enligt regeringen. För tydlighets skull bör dock en upplysning om att frågan regleras i brottsdatalagen tas in i den nu föreslagna lagen. Motsvarande lösning har använts i andra registerförfattningar på dataskyddsdirektivets område (se t.ex. 2 kap. 2 § lagen [2018:1694] om Tullverkets behandling av personuppgifter inom brottsdatalagens område).

Dataskydd.net har lagtekniska synpunkter på bestämmelserna som avser rättslig grund. De bestämmelser som föreslås av regeringen följer dock den systematik som används vid utformningen av bestämmelserna om rättslig grund i många andra registerförfattningar på brottsdatalagens område (se t.ex. 2 kap. 1 § lagen [2018:1695] om Kustbevakningens behandling av personuppgifter inom brottsdatalagens område). Eftersom det är angeläget att eftersträva en så likartad lagstiftningsteknik som möjligt på detta område, finner inte regeringen skäl att utforma regleringen av personuppgiftsbehandlingen vid Rättsmedicinalverket på något annat sätt.

  6.3.11 Begreppet känsliga personuppgifter
   
  Regeringens bedömning: I lagen bör uttrycket känsliga
  personuppgifter användas i stället för uttrycket särskilda kategorier av
  personuppgifter.
   
  Utredningens bedömning överensstämmer med regeringens.
  Remissinstanserna: Ingen remissinstans yttrar sig särskilt i denna del.
  Skälen för regeringens bedömning: I dataskyddsförordningen och
  dataskyddsdirektivet används uttrycket särskilda kategorier av
  personuppgifter för att beskriva de uppgifter som enligt den numera
  upphävda personuppgiftslagen kallades känsliga personuppgifter. I såväl
  brottsdatalagen (2 kap. 13 §) som dataskyddslagen (3 kap. 1 §) används
44 dock den i svensk rätt inarbetade termen känsliga personuppgifter,
   

eftersom denna term tydligare talar om vad det är för slags uppgifter som Prop. 2019/20:106 avses (se prop. 2017/18:105 s. 74 och prop. 2017/18:232 s. 150.) Av

samma skäl bör uttrycket känsliga personuppgifter, i samma betydelse som i brottsdatalagen och dataskyddslagen, användas i lagen i stället för uttrycket särskilda kategorier av personuppgifter.

6.3.12Behandling av känsliga personuppgifter inom dataskyddsförordningens tillämpningsområde

Regeringens förslag: Det ska vara förbjudet att göra sökningar i syfte att få fram ett urval av personer grundat på personuppgifter som avslöjar ras, etniskt ursprung, politiska åsikter, religiös eller filosofisk övertygelse eller medlemskap i fackförening eller som rör sexualliv eller sexuell läggning.

Sökförbudet ska inte hindra att särskilda beteckningar för identifiering av en viss ärendetyp, brottsrubriceringar och uppgifter som beskriver en persons utseende används som sökbegrepp.

Sökförbudet ska inte heller hindra sökning i en viss handling eller i ett visst ärende.

Regeringens bedömning: Rättsmedicinalverkets behandling av känsliga personuppgifter i övrigt bör inte särregleras i den lag som nu föreslås.

Det behövs ingen bestämmelse som uttryckligen anger att känsliga personuppgifter i bild får behandlas i Rättsmedicinalverkets verksamhet.

Utredningens förslag och bedömning överensstämmer i huvudsak med regeringens. Utredningen föreslår en bestämmelse som anger att känsliga personuppgifter i bild får behandlas i Rättsmedicinalverkets verksamhet. Utredningen föreslår en annan lagteknisk utformning av sökförbudet.

Remissinstanserna: Datainspektionen och Diskrimineringsombudsmannen efterfrågar ett förtydligande av undantaget gällande användningen av särskilda beteckningar för identifiering av en viss ärendetyp som sökbegrepp och menar att det med föreslagen lydelse finns en risk för kringgående av sökförbudet. RSMH avstyrker förslaget i stort och i synnerhet att det ska vara tillåtet för Rättsmedicinalverket att göra sökningar avseende känsliga personuppgifter som rör hälsa då det står i direkt strid med artikel 9.1 i dataskyddsförordningen. Dataskydd.net ifrågasätter behovet av bestämmelserna om sökbegränsningar och föreslår att de ska utgå. Övriga remissinstanser yttrar sig inte särskilt.

Skälen för regeringens förslag och bedömning

Rättsmedicinalverkets behandling av känsliga personuppgifter

I dataskyddsförordningens artikel 9.1 stadgas ett principiellt förbud mot att behandla känsliga personuppgifter. Förbudet gäller uppgifter som avslöjar ras eller etniskt ursprung, politiska åsikter, religiös eller filosofisk övertygelse eller medlemskap i fackförening och behandling av genetiska

uppgifter, biometriska uppgifter för att entydigt identifiera en fysisk

45

Prop. 2019/20:106 person, uppgifter om hälsa eller uppgifter om en fysisk persons sexualliv eller sexuella läggning. Med genetiska uppgifter avses alla

  personuppgifter som rör nedärvda eller förvärvade genetiska kännetecken
  för en fysisk person, vilka ger unik information om denna fysiska persons
  fysiologi eller hälsa och vilka framför allt härrör från en analys av ett
  biologiskt prov från den fysiska personen i fråga (artikel 4.13 i
  dataskyddsförordningen). Biometriska uppgifter utgörs av
  personuppgifter som erhållits genom en särskild teknisk behandling som
  rör en fysisk persons fysiska, fysiologiska eller beteendemässiga
  kännetecken och som möjliggör eller bekräftar identifieringen av denna
  fysiska person, såsom ansiktsbilder eller fingeravtrycksuppgifter (artikel
  4.14 i dataskyddsförordningen).      
  Från förordningens förbud görs en rad undantag, som tillåter behandling
  av känsliga personuppgifter under vissa förutsättningar, t.ex. om
  behandlingen är nödvändig för arkivändamål av allmänt intresse,
  vetenskapliga eller historiska forskningsändamål eller statistiska ändamål
  (artikel 9.2 j).        
  Ytterligare ett undantag gäller behandling som är nödvändig av hänsyn
  till ett viktigt allmänt intresse på grundval av unionsrätten eller
  medlemsstaternas nationella rätt, vilken ska stå i proportion till det
  eftersträvade syftet, vara förenligt med det väsentliga innehållet i rätten till
  dataskydd och innehålla bestämmelser om lämpliga och särskilda åtgärder
  för att säkerställa den registrerades grundläggande rättigheter och
  intressen (artikel 9.2 g). Artikel 9.2 g är visserligen direkt tillämplig men
  det är möjligt för medlemsstaterna att i nationell rätt införa mer specifika
  bestämmelser även avseende känsliga personuppgifter (artikel 6.2 och skäl
  10). Artikel 9.4 stadgar vidare att medlemsstater får behålla eller införa
  ytterligare villkor, även begränsningar, för behandlingen av genetiska eller
  biometriska uppgifter eller uppgifter om hälsa.      
  Dataskyddslagen innehåller vissa bestämmelser om känsliga
  personuppgifter. Bland annat regleras myndigheters behandling av
  känsliga personuppgifter för ett viktigt allmänt intresse i 3 kap. 3 och 4 §§.
  Där framgår att känsliga personuppgifter, med stöd av artikel 9.2 g i
  förordningen, får behandlas av en myndighet om uppgifterna har lämnats
  till myndigheten och behandlingen krävs enligt lag, om behandlingen är
  nödvändig för handläggningen av ett ärende eller, i annat fall, om
  behandlingen är nödvändig med hänsyn till ett viktigt allmänt intresse och
  inte innebär ett otillbörligt intrång i den registrerades personliga integritet
  (3 kap. 3 § första stycket).        
  Rättsmedicinalverkets uppdrag framgår i huvudsak av 1–3 §§ i
  myndighetens instruktion (se avsnitt 4). I förarbetena till dataskyddslagen
  gör regeringen bedömningen att det är ett viktigt allmänt intresse att
  myndigheterna kan sköta sitt uppdrag på ett korrekt, rättssäkert och
  effektivt sätt (prop. 2017/18:105 s. 85). När Rättsmedicinalverket
  behandlar känsliga personuppgifter som är nödvändiga för att utföra de
  uppgifter som framgår av dess instruktion rör det sig således om en sådan
  behandling som avses i artikel 9.2 g i dataskyddsförordningen.  
  Vid behandling av känsliga personuppgifter med stöd av artikel 9.2 g
  uppställer dataskyddsförordningen även ett krav på lämpliga och särskilda
  åtgärder för att säkerställa den registrerades grundläggande rättigheter och
46 intressen. I 3 kap. 3 § andra stycket dataskyddslagen har det införts ett

förbud att utföra sökningar i syfte att få fram ett urval av personer grundat Prop. 2019/20:106 på känsliga personuppgifter. I Rättsmedicinalverkets verksamhet utgör

känsliga personuppgifter en betydande del av den totala mängden personuppgifter som behandlas. En begränsning av hur känsliga personuppgifter får behandlas, exempelvis när det gäller sökning, skulle få en stor effekt i Rättsmedicinalverkets verksamhet och stärka skyddet för enskildas personliga integritet. Regeringen anser därför att den lag om nu förslås bör innehålla ett sökförbud som gäller när Rättsmedicinalverket behandlar känsliga personuppgifter inom dataskyddsförordningens tillämpningsområde. Regeringen behandlar frågan om utformningen av bestämmelserna om sökförbud vidare nedan.

Utöver bestämmelser om sökförbud innehåller den föreslagna lagen ändamålsbestämmelser som anger den yttre ramen för all behandling av personuppgifter och regler om tillgången till personuppgifter (se avsnitt 6.3.9). Därtill kommer bestämmelser om sekretess i offentlighets- och sekretesslagen (2009:400) som gäller i Rättsmedicinalverkets verksamhet. Exempelvis föreskriver 25 kap. 1 § offentlighets- och sekretesslagen att sekretess gäller i bl.a. rättsmedicinsk och rättspsykiatrisk verksamhet för uppgift om en enskilds hälsotillstånd eller andra personliga förhållanden, om det inte står klart att uppgiften kan röjas utan att den enskilde eller någon närstående till denne lider men. Sammantaget uppfyller denna reglering, enligt regeringens mening, dataskyddsförordningens krav på lämpliga och särskilda åtgärder för att säkerställa den registrerades grundläggande rättigheter och intressen.

Sammanfattningsvis bedömer regeringen att det finns stöd i artikel 9.2 g dataskyddsförordningen och 3 kap. 3 § dataskyddslagen för den behandling av känsliga personuppgifter som är nödvändig i Rättsmedicinalverkets verksamhet. Därutöver kan det, som utredningen framhåller, finnas andra undantag från förbudet att behandla känsliga personuppgifter i dataskyddsförordningen och dataskyddslagen som skulle kunna aktualiseras för Rättsmedicinalverket.

Utredningen föreslår en särreglering i förhållande till dataskyddslagen när det gäller känsliga personuppgifter i bild eftersom utredningen inte anser att bestämmelserna i 3 kap. 3 § dataskyddslagen är tillräckliga för att möjliggöra behandling av sådana uppgifter. Känsliga personuppgifter i bild förekommer i mycket stor utsträckning vid Rättsmedicinalverket. Som exempel kan nämnas digitala röntgenbilder som används vid rättsmedicinska åldersbedömningar. Sådana bilder kan bl.a. innehålla uppgifter om hälsa. Regeringens instämmer i utredningens bedömning att behandling av känsliga personuppgifter i bild är nödvändig för att Rättsmedicinalverket ska kunna utföra sitt uppdrag. I 3 kap. 3 § dataskyddslagen, såsom den slutligen kom att utformas (prop. 2017/18:105 s. 9–10), finns dock inga begränsningar som utesluter att den är tillämplig på bilder. Dataskyddsförordningen ställer inte heller upp några särskilda krav vad gäller känsliga personuppgifter i bilder. Det finns därmed inget behov av att införa en särbestämmelse för att göra det möjligt för Rättsmedicinalverket att behandla känsliga personuppgifter i bild.

47

Prop. 2019/20:106

48

Sökning

Sökningar som avslöjar och sammanställer känsliga personuppgifter innebär särskilda risker för den personliga integriteten och ett sökförbud kan vara ett viktigt och ändamålsenligt sätt att begränsa dessa risker. Som konstateras i föregående avsnitt får en sådan reglering en stor effekt i Rättsmedicinalverkets verksamhet, där känsliga personuppgifter behandlas i stor utsträckning. Ett sökförbud utgör därför en verkningsfull åtgärd för att säkerställa den registrerades grundläggande rättigheter och intressen som föreskrivs i artikel 9.2 g i dataskyddsförordningen. Som framgår ovan bedömer regeringen således att ett sådant förbud bör gälla vid Rättsmedicinalverkets behandling av känsliga personuppgifter på dataskyddsförordningens område. Regeringen anser vidare, till skillnad från Dataskydd.net och i likhet med utredningen, att dessa bestämmelser bör utformas med hänsyn tagen till de särskilda behov som föreligger i Rättsmedicinalverkets verksamhet.

Till skillnad mot sökförbudet i 3 kap. 3 § andra stycket dataskyddslagen, som endast gäller vid behandling av känsliga personuppgifter med stöd av det generella myndighetsundantaget i 3 kap. 3 § första stycket, bör en bestämmelse om sökförbud för Rättsmedicinalverket ges en mer generell utformning och kompletteras med de undantag som är nödvändiga för att verket ska kunna fullgöra sina uppgifter på ett korrekt, rättssäkert och effektivt sätt. En sådan reglering tar tillvara den enskildes intresse av att begränsa behandlingen av känsliga personuppgifter i så stor utsträckning som möjligt, samtidigt som Rättsmedicinalverkets behov av att behandla personuppgifter på ett ändamålsenligt sätt tillgodoses.

I Rättsmedicinalverkets verksamhet finns ett stort behov av sökningar avseende uppgifter om hälsa samt biometriska och genetiska uppgifter. Dessa behövs bl.a. vid dna-analyser i ärenden om uppehållstillstånd på grund av familjeanknytning som utförs på uppdrag av Migrationsverket liksom vid faderskapsutredningar. Sökförbudet bör därför inte omfatta sökningar i syfte att få fram ett urval av personer grundat på dessa uppgifter. RSMH avstyrker förslaget att det ska vara tillåtet för Rättsmedicinalverket att göra sökningar avseende uppgifter som rör hälsa då det står i direkt strid med artikel 9.1 i dataskyddsförordningen. Som redogörs för ovan innehåller dataskyddsförordningen dock en rad undantag från det generella förbudet att behandla känsliga personuppgifter och det är även möjligt att införa mer specifika bestämmelser i nationell rätt. Sökbegränsningar utgör en åtgärd för att säkerställa den registrerades grundläggande rättigheter och intressen (artikel 9.2 g i dataskyddsförordningen). En sådan bestämmelse måste utformas så att den enskildes personliga integritet värnas samtidigt som Rättsmedicinalverket ges förutsättningar att utföra sitt uppdrag. Eftersom det finns ett påtagligt behov för Rättsmedicinalverket att göra den aktuella typen av sökningar bör det tillåtas. Regeringen bedömer sammanfattningsvis att en sådan reglering är förenlig med dataskyddsförordningen.

När det gäller andra känsliga personuppgifter än uppgifter om hälsa samt biometriska och genetiska uppgifter bör särskilda undantag från sökförbudet utformas med hänsyn tagen till Rättsmedicinalverkets verksamhetsbehov. I Rättsmedicinalverkets verksamhet kan det vara nödvändigt att behandla beteckningar för identifiering av en viss

ärendetyp, exempelvis ärendekoder som används för en viss kategori av Prop. 2019/20:106
ärenden. Både domstolsdatalagen och lagen om domstolarnas behandling  
av personuppgifter inom brottsdatalagens område innehåller ett  
motsvarande undantag från sökförbudet vid användning av särskilda  
beteckningar för identifiering av en viss ärendetyp som sökbegrepp. I  
förarbetena till domstolsdatalagen anges att målgrupps- och måltypskoder  
används i mycket stor utsträckning i den dagliga verksamheten och  
regeringen gjorde bedömningen att det inte framkommit att detta skulle  
medföra några särskilda risker i integritetshänseende (prop. 2014/15:148  
s. 63).            
Att tillåta sådana sökningar skulle medföra påtaglig verksamhetsnytta  
för Rättsmedicinalverket och bedöms inte heller i detta sammanhang  
medföra några större risker i integritetshänseende. Användningen av  
särskilda beteckningar för identifiering av en viss ärendetyp som  
sökbegrepp bör därför vara tillåtna. Datainspektionen och  
Diskrimineringsombudsmannens efterlyser ett förtydligande av  
undantaget för att inte riskera en icke avsedd tillämpning av detta.  
Regeringen delar inte dessa farhågor utan anser att det framgår tämligen  
väl av undantagets ordalydelse vad som avses. Exempel på sådana  
beteckningar som omfattas av undantaget kan vara de olika  
beteckningarna som finns i de rättsgenetiska ärendena. Den föreslagna  
utformningen av bestämmelsen ansluter vidare till regleringen i 14 §  
domstolsdatalagen och 6 § andra stycket lagen om domstolarnas  
behandling av personuppgifter inom brottsdatalagens område. Regeringen  
anser sammanfattningsvis inte att det finns behov av ytterligare  
förtydliganden. Det är dock viktigt att Rättsmedicinalverket vidtar bl.a.  
tekniska åtgärder och utarbetar rutiner för att minska risken för behandling  
i strid med sökförbudet.        
I framför allt identifieringsärenden vid Rättsmedicinalverket kan det  
vara nödvändigt att som sökbegrepp använda uppgifter om en persons  
utseende. En sådan uppgift utgör många gånger inte en känslig  
personuppgift men kan i vissa fall t.ex. avslöja information om en persons  
etniska ursprung. Det finns därför skäl att införa en reglering som gör det  
möjligt att som sökbegrepp använda uppgifter om en persons utseende  
också i sådana fall som annars skulle träffas av det föreslagna sökförbudet.  
Artikel 10 i dataskyddsförordningen innehåller begränsningar vad gäller  
möjligheten att behandla personuppgifter som rör fällande domar i  
brottmål och överträdelser eller därmed sammanhängande  
säkerhetsåtgärder. Sådana uppgifter om lagöverträdelser får endast utföras  
under kontroll av en myndighet eller då behandlingen är tillåten enligt  
unionsrätten eller medlemsstaternas nationella rätt, där lämpliga  
skyddsåtgärder för de registrerades rättigheter och friheter fastställs.  
I 3 kap. 8 § dataskyddslagen förtydligas att de personuppgifter som avses  
i artikel 10 i dataskyddsförordningen får behandlas av myndigheter. Det  
finns således inte något hinder i och för sig mot att Rättsmedicinalverket  
behandlar uppgifter om lagöverträdelser. Det kan dock förekomma  
situationer då en behandling av uppgifter om lagöverträdelser också skulle  
utgöra en sådan behandling av känsliga personuppgifter som avses i den  
föreslagna sökförbudsbestämmelsen. I förarbetena till lagen (2018:1697)  
om åklagarväsendets behandling av personuppgifter inom brottsdata-  
lagens område nämns exemplet att en sökning på brottsrubriceringen 49

Prop. 2019/20:106 ”våldtäkt mot barn” skulle kunna avslöja sexuella preferenser hos gärningsmän (prop. 2017/18:269 s. 212–213). I Rättsmedicinalverkets verksamhet finns behov av att som sökbegrepp kunna använda brottsrubriceringar. En möjlighet att göra det även i de fall som annars skulle omfattas av sökförbudet bör därför införas i lagen.

Som regeringen tidigare konstaterat innebär sökning bland en begränsad mängd uppgifter mindre integritetsrisker än sökning i större uppgiftsmängder (prop. 2014/15:148 s. 63–64). Samtidigt kan en möjlighet för Rättsmedicinalverket att göra sökningar i en viss handling eller i ett visst ärende antas medföra effektivitetsvinster i det dagliga arbetet. Sådana sökningar bör därför inte heller omfattas av sökförbudet.

  6.3.13 Behandling av känsliga personuppgifter inom
    brottsdatalagens tillämpningsområde
   
  Regeringens förslag: Rättsmedicinalverket ska få behandla
  biometriska och genetiska uppgifter om det är absolut nödvändigt för
  ändamålet med behandlingen.
  Det ska vara förbjudet att göra sökningar i syfte att få fram ett urval
  av personer grundat på personuppgifter som avslöjar ras, etniskt
  ursprung, politiska åsikter, religiös eller filosofisk övertygelse eller
  medlemskap i fackförening eller som rör sexualliv eller sexuell
  läggning. Sökförbudet ska inte hindra att särskilda beteckningar för
  identifiering av en viss ärendetyp, brottsrubriceringar eller uppgifter
  som beskriver en persons utseende används som sökbegrepp. Förbudet
  ska inte heller hindra sökningar i en viss handling eller i ett visst ärende.
  Regeringens bedömning: Sökförbudet i brottsdatalagen som avser
  känsliga personuppgifter bör inte gälla för Rättsmedicinalverket. Någon
  bestämmelse som uttryckligen upplyser om detta och att i stället
  bestämmelserna om sökförbud i den föreslagna lagen ska gälla, behövs
  inte.  
  Med undantag för vad som ska gälla för behandling av biometriska
  och genetiska uppgifter samt sökning avseende känsliga
  personuppgifter bör inte några särbestämmelser införas när det gäller
  Rättsmedicinalverkets behandling av känsliga personuppgifter.
   
  Utredningens förslag och bedömning överensstämmer i huvudsak
  med regeringens. Utredningen föreslår en bestämmelse som uttryckligen
  upplyser om att andra bestämmelser än brottsdatalagens sökförbud ska
  gälla. Utredningen anser inte att det finns ett behov av att införa en särskild
  bestämmelse avseende Rättsmedicinalverkets behandling av biometriska
  och genetiska uppgifter.
  Remissinstanserna: Diskrimineringsombudsmannen anser att det
  undantag som föreslås för användningen av särskilda beteckningar för
  identifiering av en viss ärendetyp som sökbegrepp saknar tydlig
  avgränsning och att undantaget därför kan riskera att få en vidare
  tillämpning än vad som avsetts. Datainspektionen påtalar vikten av att
  Rättsmedicinalverket, som en konsekvens av den föreslagna
  bestämmelsen avseende undantag från sökförbudet, vidtar åtgärder för att
50 undvika risk för kringgående. Dataskydd.net anser att bestämmelser om
   

sökbegränsningar inte behövs. Övriga remissinstanser yttrar sig inte i sak Prop. 2019/20:106 över förslagen.

Skälen för regeringens förslag och bedömning

Behandling av känsliga personuppgifter

För behandling av känsliga personuppgifter ställer dataskyddsdirektivet upp ytterligare villkor, utöver de krav som gäller för behandling av personuppgifter i allmänhet. Av artikel 10 i direktivet framgår att behandling av personuppgifter som avslöjar ras eller etniskt ursprung, politiska åsikter, religiös eller filosofisk övertygelse eller medlemskap i fackförening, samt behandling av genetiska uppgifter, biometriska uppgifter för att unikt identifiera en fysisk person eller uppgifter om hälsa eller uppgifter om en fysisk persons sexualliv eller sexuella läggning endast är tillåten om det är absolut nödvändigt och under förutsättning att det finns lämpliga skyddsåtgärder för den registrerades rättigheter och friheter. Dessutom krävs det att behandlingen är tillåten enligt unionsrätten eller medlemsstaternas nationella rätt, att den utförs för att skydda intressen som är av grundläggande betydelse för den registrerade eller en annan fysisk person, eller att behandlingen rör uppgifter som på ett tydligt sätt har offentliggjorts av den registrerade.

Brottsdatalagens regler om behandling av känsliga personuppgifter är strängare än vad dataskyddsdirektivet kräver. Således föreskriver 2 kap.

11 § brottsdatalagen att personuppgifter som avslöjar ras, etniskt ursprung, politiska åsikter, religiös eller filosofisk övertygelse eller medlemskap i fackförening eller som rör hälsa, sexualliv eller sexuell läggning som huvudregel inte får behandlas. Om andra uppgifter om en person behandlas, får dessa dock kompletteras med sådana känsliga personuppgifter när det är absolut nödvändigt för ändamålet med behandlingen.

För genetiska uppgifter och biometriska uppgifter innehåller brottsdatalagen specialbestämmelser. Med genetiska uppgifter avses enligt brottsdatalagen personuppgifter som rör en persons nedärvda eller förvärvade genetiska kännetecken och som härrör från analys av ett spår av eller ett prov från personen i fråga (1 kap. 6 §). Främst rör det sig om information som kan tas fram vid dna-analyser. Behandlingen kan avse genetiska uppgifter från såväl identifierade som oidentifierade personer. Själva dna-profilen är endast en siffer- eller bokstavskombination, vilket innebär att profilen i sig inte är en genetisk uppgift. Den är i stället en biometrisk uppgift.

Biometriska uppgifter är enligt brottsdatalagen personuppgifter som erhållits genom en särskild teknisk behandling som rör en fysisk persons fysiska, fysiologiska eller beteendemässiga kännetecken och som möjliggör eller bekräftar unik identifiering av denna fysiska person, såsom vissa ansiktsbilder eller fingeravtrycksuppgifter (1 kap. 6 §). Av brottsdatalagen framgår att biometriska och genetiska uppgifter får behandlas endast om det är särskilt föreskrivet och det är absolut nödvändigt för ändamålet med behandlingen (2 kap. 12 §). Känsliga personuppgifter får vidare alltid behandlas med stöd av 2 kap. 2 §, dvs. om det är nödvändigt för diarieföring eller om uppgifterna har lämnats till en

51

Prop. 2019/20:106 behörig myndighet i en anmälan, ansökan eller liknande och behandlingen

  är nödvändig för myndighetens handläggning (2 kap. 13 §).  
  Om det inte rör sig om nödvändig diarieföring eller handläggning i
  anslutning till en anmälan, ansökan eller liknande får alltså känsliga
  personuppgifter enligt brottsdatalagen bara behandlas om uppgifter om
  personen behandlas av annat skäl och om behandlingen är absolut
  nödvändig. Eftersom genetiska och biometriska uppgifter kan innehålla
  oidentifierade avtryck eller spår fungerar huvudregeln, att känsliga
  personuppgifter endast får behandlas om någon annan uppgift om den
  aktuella personen också behandlas, inte i dessa fall. Detta är den
  bakomliggande anledningen till särregleringen för genetiska respektive
  biometriska uppgifter i brottsdatalagen (prop. 2017/18:232 s. 153–154).
  Rättsmedicinalverket behandlar i stor utsträckning känsliga
  personuppgifter. Det rör sig framför allt om uppgifter om hälsa
  (exempelvis i rättsmedicinska ärenden, men även inom rättspsykiatrin)
  och genetiska respektive biometriska uppgifter. Behandlingen kan vara
  nödvändig för diarieföring eller för myndighetens handläggning i
  anslutning till en anmälan, ansökan eller liknande, på det sätt som anges i
  2 kap. 2 § brottsdatalagen. Med anmälan, ansökan eller liknande avses alla
  slag av framställningar till en behörig myndighet och paragrafen kan då ge
  stöd för behandling av uppgifter i samband med att framställningen
  besvaras (prop. 2017/18:232 s. 441). I många andra fall kompletteras
  uppgifter om en person med känsliga personuppgifter på det sätt som
  anges i 2 kap. 11 §. Även om restriktivitet är påkallad och en bedömning
  måste göras i det enskilda fallet kan den närmare innebörden av uttrycket
  absolut nödvändigt variera mellan olika myndigheter eftersom deras
  verksamheter och behov av att behandla känsliga personuppgifter skiljer
  sig åt (prop. 2017/18:232 s. 153). Att känsliga personuppgifter kan
  behandlas är en förutsättning för att Rättsmedicinalverket ska kunna
  fullgöra sitt uppdrag och den behandling av känsliga personuppgifter som
  i dag sker när verket utför sina uppgifter bör, som en utgångspunkt, anses
  vara absolut nödvändig. Bestämmelserna om behandling av känsliga
  personuppgifter i brottsdatalagen ger således i stor utsträckning stöd för
  den behandling av känsliga personuppgifter som Rättsmedicinalverket har
  behov av. För att genetiska och biometriska uppgifter ska få behandlas
  krävs dock, förutom att det är absolut nödvändigt för ändamålet, att det är
  särskilt föreskrivet (2 kap. 12 § brottsdatalagen). För att ge
  Rättsmedicinalverket ett tydligt stöd för den behandling av genetiska och
  biometriska uppgifter som är absolut nödvändig anser regeringen därför,
  till skillnad från utredningen, att det bör införas en bestämmelse i lagen
  som uttryckligen medger sådan behandling. En liknande bestämmelse
  finns i bl.a. 2 kap. 4 § lagen (2018:1694) om Tullverkets behandling av
  personuppgifter inom brottsdatalagens område.  
  Som framgått kräver dataskyddsdirektivet att det finns lämpliga
  skyddsåtgärder för den registrerades rättigheter och friheter för att känsliga
  personuppgifter ska få behandlas (artikel 10). I förarbetena till
  brottsdatalagen framhålls, utöver att känsliga personuppgifter i allmänhet
  bara får behandlas om uppgifter om personen behandlas av annat skäl och
  det är absolut nödvändigt, att ett sökförbud kan vara en verkningsfull
  skyddsåtgärd (prop. 2017/18:232 s. 153 och 155). Enligt regeringens
52 bedömning bör, precis som på dataskyddsförordningens område, ett

sökförbud gälla vid behandling av personuppgifter inom brottsdatalagens tillämpningsområde enligt den nu föreslagna lagen. I följande avsnitt behandlar regeringen hur ett sökförbud för Rättsmedicinalverkets behandling av personuppgifter på brottsdatalagens område lämpligen bör utformas. Vidare omgärdas Rättsmedicinalverkets verksamhet av omfattande sekretess, bl.a. för uppgifter om enskilds hälsotillstånd eller andra personliga förhållanden (25 kap. 1 § offentlighets- och sekretesslagen). Genom bl.a. sekretessregleringen, införandet av ett sökförbud och den ovan redovisade regleringen i brottsdatalagen, anser regeringen att direktivets krav på skyddsåtgärder är uppfyllt.

Sökning

Enligt brottsdatalagen är det förbjudet att utföra sökningar i syfte att få fram ett personurval grundat på känsliga personuppgifter (2 kap. 14 §). Utredningen föreslår att den nu föreslagna lagen ska innehålla särskilda bestämmelser om sökning avseende känsliga uppgifter som ersätter brottsdatalagens sökförbud samt en bestämmelse som upplyser om detta förhållande.

Att Rättsmedicinalverket har tillgång till ändamålsenliga sökfunktioner är viktigt för att myndigheten på ett effektivt sätt ska kunna fullgöra sina uppgifter. För att uppnå ett starkt integritetsskydd som samtidigt beaktar Rättsmedicinalverkets verksamhetsbehov bedömer regeringen i likhet med utredningen att sökförbudet i brottsdatalagen inte bör gälla för Rättsmedicinalverket utan att särskilt anpassade bestämmelser om sökning avseende känsliga uppgifter bör införas i den nu föreslagna lagen. Eftersom brottsdatalagen är subsidiär och lagen föreslås innehålla särskilda avvikande bestämmelser om sökning saknas det dock behov av en upplysningsbestämmelse om detta.

De bestämmelser som reglerar sökningar avseende känsliga personuppgifter måste utformas på ett sådant sätt att risken för obefogade integritetsintrång minimeras, samtidigt som Rättsmedicinalverket ges förutsättningar att bedriva sin verksamhet effektivt. Som utgångspunkt bör sökningar i syfte att få fram ett urval av personer grundat på känsliga personuppgifter inte vara tillåtna. Sökningar som är nödvändiga för att Rättsmedicinalverket ska kunna fullgöra sitt uppdrag bör dock tillåtas. När det gäller den närmare utformningen av det sökförbud som bör införas gör regeringen samma bedömningar som redovisas beträffande motsvarande bestämmelser på dataskyddsförordningens område (se avsnitt 6.3.12). Det innebär att sökförbudet, som utredningen föreslår, inte bör omfatta sökningar som rör hälsa, biometriska och genetiska uppgifter. Vidare bör särskilda beteckningar för identifiering av en viss ärendetyp, brottsrubriceringar och uppgifter som beskriver en persons utseende få användas som sökbegrepp. Som framgår i avsnitt 6.3.12 anser regeringen, i motsats till Diskrimineringsombudsmannen, inte att den förstnämnda kategorien av sökbegrepp är för otydligt avgränsad. Som framhålls i det avsnittet finns dessutom en motsvarande reglering både i domstolsdatalagen och lagen om domstolarnas behandling av personuppgifter inom brottsdatalagens område. Dataskyddsdirektivet och brottsdatalagen saknar, liksom dataskyddsförordningen, begränsningar vad gäller myndigheters möjlighet att behandla uppgifter om

Prop. 2019/20:106

53

Prop. 2019/20:106 lagöverträdelser. För att Rättsmedicinalverket ska ges möjlighet att använda brottsrubriceringar som sökbegrepp även i de fall detta annars skulle ha omfattats av det föreslagna sökförbudet, bör dock ett sådant undantag införas.

54

Inte heller sökningar i en viss handling eller i ett visst ärende bör omfattas av sökförbudet.

Avslutningsvis instämmer regeringen i Datainspektionens synpunkt att det är viktigt att Rättsmedicinalverket, som en konsekvens av de föreslagna undantagen från sökförbudet, vidtar åtgärder för att undvika risk för kringgående. Sådana åtgärder, utöver rent tekniska begränsningar i olika it-system, kan t.ex. vara att utarbeta rutiner som säkerställer att sökning endast kan ske för ett visst tillåtet syfte. Det är även viktigt att dokumentera syftet med sökningar avseende känsliga personuppgifter både ur ett verksamhetsperspektiv och ett tillsynsperspektiv.

6.3.14Elektroniskt utlämnande av personuppgifter

Regeringens förslag: Personuppgifter ska få lämnas ut elektroniskt, om det inte är olämpligt. Utlämnande ska dock inte få ske i form av direktåtkomst.

Utredningens förslag överensstämmer med regeringens. Remissinstanserna: Endast ett fåtal remissinstanser yttrar sig särskilt i

denna del. Datainspektionen avstyrker förslaget och efterfrågar en tydligare reglering avseende vid vilka konkreta omständigheter det är olämpligt att lämna ut personuppgifter elektroniskt. Föreningen för utgivande av Samhällsmagasinet Avsnitt anser att uttrycket lämnas ut elektroniskt är för vitt. Kammarrätten i Stockholm har synpunkter på bestämmelsernas placering. Dataskydd.net anser att utlämnande bör få ske endast om tillräckliga åtgärder för att säkerställa författningsenlig behandling har vidtagits.

Skälen för regeringens förslag: Personuppgifter hanteras vid Rättsmedicinalverket i stor utsträckning i elektronisk form. I takt med utvecklingen av modern teknik har möjligheten till olika slags elektroniskt utlämnande av personuppgifter ökat och bidragit till effektivitetsvinster vid framför allt myndigheters kommunikation sinsemellan, men också vid myndigheters kontakter med enskilda. Med elektroniskt utlämnande avses såväl s.k. direktåtkomst som annat utlämnande i elektronisk form, t.ex. via e-post eller usb-minne. Direktåtkomst innebär att en mottagare har direkt tillgång till någon annans register eller databas och därigenom på egen hand kan ta del av information (se HFD 2015 ref. 61). Det anses vara den mest integritetskänsliga formen av elektroniskt utlämnande av uppgifter.

Dataskyddsförordningen och dataskyddsdirektivet innehåller inte några uttryckliga bestämmelser om elektroniskt utlämnande av personuppgifter. Det gör inte heller brottsdatalagen eller dataskyddslagen. Något generellt hinder mot sådant utlämnande finns alltså inte. Av artikel 6.3 i dataskyddsförordningen framgår dock att den rättsliga grunden, som ska fastställas i unionsrätten eller medlemsstaternas nationella rätt, kan innehålla särskilda bestämmelser för att anpassa tillämpningen av bestämmelserna i förordningen, bland annat vad gäller typer av behandling

och förfaranden för behandling. Elektroniskt utlämnande av Prop. 2019/20:106
personuppgifter utgör en form av behandling och det är alltså möjligt att i  
nationell rätt införa regler som preciserar förutsättningarna för sådant  
utlämnande.  
En mycket stor del av de uppgifter som Rättsmedicinalverket behandlar  
finns i elektronisk form och personuppgifter lämnas i dag ut elektroniskt  
på annat sätt än genom direktåtkomst. Så är exempelvis fallet med olika  
slags rättskemiska analyssvar, men även andra uppdrag redovisas ofta i  
elektronisk form. Sådan elektronisk kommunikation är regelmässigt  
kostnadseffektiv för både avsändare och mottagare, jämfört med att skicka  
uppgifter med brev. Rättsmedicinalverket bör även fortsättningsvis kunna  
lämna ut personuppgifter i elektronisk form. Något uttryckligt hinder mot  
att så sker finns, som framgår ovan, inte i den EU-rättsliga  
dataskyddsregleringen och inte heller i de svenska författningar som  
anknyter till de unionsrättsliga bestämmelserna. En fråga att ta ställning  
till är därför om lagförslaget bör innehålla en bestämmelse om elektroniskt  
utlämnande och, i så fall, hur en sådan bestämmelse bör utformas.  
Vid Rättsmedicinalverket förekommer i stor utsträckning  
integritetskänsliga personuppgifter. Elektronisk överföring av sådana  
uppgifter bör noga övervägas. Riskerna med att överföra uppgifter  
elektroniskt, som bl.a. kan bestå i en ökad fara att uppgifter sprids eller att  
någon annan än den avsedda mottagaren får del av uppgifterna, måste  
vägas mot Rättsmedicinalverkets och mottagarnas behov av effektiva  
arbetssätt. Enligt regeringen uppnås en ändamålsenlig avvägning mellan  
dessa intressen genom en reglering som gör det möjligt för  
Rättsmedicinalverket att lämna ut uppgifter elektroniskt, men som  
samtidigt innehåller en begränsning av när så får ske. Flera  
registerförfattningar som är tillämpliga vid de myndigheter som är  
Rättsmedicinalverkets huvudsakliga uppdragsgivare innehåller en  
bestämmelse av innebörd att elektroniskt utlämnande får ske, om det inte  
är olämpligt (se t.ex. 9 § lagen om domstolarnas behandling av  
personuppgifter inom brottsdatalagens område). Det finns inte skäl att  
behandla Rättsmedicinalverket annorlunda i detta hänseende och en  
bestämmelse med motsvarande innebörd bör därför införas även för  
Rättsmedicinalverkets del.  
Datainspektionen avstyrker förslaget och efterfrågar en tydligare  
reglering avseende vid vilka konkreta omständigheter det är olämpligt att  
lämna ut personuppgifter elektroniskt. Som regeringen tidigare har  
konstaterat bör vid lämplighetsbedömningen göras skillnad mellan  
utlämnande till myndigheter och utlämnande till enskilda (prop.  
2017/18:269 s. 136). Det bör normalt inte anses olämpligt att lämna ut  
personuppgifter elektroniskt till myndigheter. Om det i ett enskilt fall  
skulle bedömas vara olämpligt bör emellertid personuppgifterna lämnas ut  
på annat sätt. När det gäller enskilda kan det krävas närmare överväganden  
bl.a. med hänsyn till vem mottagaren är och vilken säkerhet mottagaren  
har för sin personuppgiftsbehandling. Att Rättsmedicinalverket som  
personuppgiftsansvarig är skyldig att säkerställa att bl.a. adekvata tekniska  
och organisatoriska åtgärder har vidtagits följer av bestämmelserna i  
dataskyddsförordningen (artiklarna 24, 25 och 32) och brottsdatalagen  
(3 kap. 2–8 §§). Det finns inte skäl att, som Dataskydd.net förordar,  
uttryckligen hänvisa till dessa bestämmelser. Vid bedömningen om ett 55

Prop. 2019/20:106 utlämnande är olämpligt ska bl.a. typen av personuppgifter beaktas. Den närmare innebörden av vad som ska anses vara ett sådant olämpligt utlämnande får dock utvecklas genom tillsynsmyndighetens arbete och i domstolspraxis. Det finns dessutom utrymme för regeringen eller den myndighet regeringen bestämmer att meddela ytterligare föreskrifter som begränsar möjligheten att lämna ut personuppgifter elektroniskt (se avsnitt 6.3.15). Mot denna bakgrund anser regeringen inte att det finns något behov av en reglering i lagen avseende vid vilka konkreta omständigheter det är olämpligt att lämna ut personuppgifter elektroniskt.

Föreningen för utgivande av Samhällsmagasinet Avsnitt anser att uttrycket lämnas ut elektroniskt är för vitt i förhållande till uttrycket medium för automatiserad behandling. Det har tidigare föreslagits att uttrycket utlämnande på medium för automatiserad behandling bör utmönstras och att uttrycket utlämnande i elektronisk form i stället ska användas (se Informationshanteringsutredningens slutbetänkande Myndighetsdatalag, SOU 2015:39 s. 442). Regeringen har även uttalat att ett modernare uttryckssätt än utlämnande på medium för automatiserad behandling är att föredra och att det i samband med översynen av registerförfattningarna på brottsdatalagens område är lämpligt att göra den förändringen (prop. 2017/18:269 s. 136). Den förändringen bör få genomslag även i den nu föreslagna lagen. Det kan även framhållas att en begreppsmässig modernisering avsetts men däremot inte någon ändring i sak. Även i fortsättningen bör det dock göras tydlig skillnad mellan elektroniskt utlämnande i form av direktåtkomst och elektroniskt utlämnande på annat sätt. Direktåtkomst förekommer vid en del myndigheter som lämnar uppdrag till Rättsmedicinalverket. Däremot gör Rättsmedicinalverket inte någon information tillgänglig för andra genom direktåtkomst. Det är också svårt att se att det skulle uppstå ett behov av det. Det bör därför, så som utredningen föreslår, införas en bestämmelse om att utlämnande i form av direktåtkomst inte får ske.

Avslutningsvis finner regeringen, i likhet med Kammarrätten i Stockholm, att bestämmelsen bör placeras i lagens första kapitel med allmänna bestämmelser.

6.3.15Rätt att meddela föreskrifter

Regeringens förslag: I lagen ska det upplysas om att regeringen eller den myndighet som regeringen bestämmer kan meddela föreskrifter om begränsningar av möjligheten att göra vissa sökningar avseende känsliga personuppgifter, närmare föreskrifter om tillgången till personuppgifter samt ytterligare föreskrifter om begränsningar av möjligheten att lämna ut personuppgifter elektroniskt.

Utredningens förslag överensstämmer i huvudsak med regeringens. Utredningen föreslår en bestämmelse som upplyser om att regeringen eller den myndighet som regeringen bestämmer kan meddela närmare föreskrifter om tillgången till personuppgifter på dataskyddsförordningens tillämpningsområde. Någon motsvarande bestämmelse på brottsdatalens område föreslås dock inte.

56

Remissinstanserna: Dataskydd.net anser att det inte finns något behov Prop. 2019/20:106 av de föreslagna bestämmelserna. Kammarrätten i Stockholm har

synpunkter på bestämmelsens placering. I övrigt yttrar sig ingen remissinstans särskilt över förslaget.

Skälen för regeringens förslag: Regeringen får med stöd av 8 kap. 7 § regeringsformen meddela dels föreskrifter om verkställighet av lag, dels förskrifter inom den s.k. restkompetensen, dvs. sådana föreskrifter som inte enligt grundlag ska meddelas av riksdagen. Det kan finnas behov av föreskrifter om begränsningar av möjligheten att göra sökningar avseende känsliga personuppgifter och av möjligheten att lämna ut personuppgifter elektroniskt på sådan detaljnivå att dessa inte lämpar sig att intas i lag. På samma sätt förhåller det sig när det gäller regleringen av tillgången till personuppgifter i Rättsmedicinalverkets verksamhet. Behovet av en mer detaljerad reglering av tillgången till personuppgifter är lika stort inom dataskyddsförordningens som brottsdatalagens område. Regeringen anser därför, till skillnad från utredningen, att det i den lag som nu föreslås även bör införas en bestämmelse som upplyser om möjligheten att meddela föreskrifter om tillgången till personuppgifter på brottsdatalagens område.

I likhet med utredningen och till skillnad från Dataskydd.net anser regeringen därför att det bör införas bestämmelser som upplyser om att regeringen eller den myndighet som regeringen bestämmer, med stöd av 8 kap. 7 § regeringsformen, kan meddela föreskrifter med den innebörd som behandlas ovan. Regeringen finner vidare, i likhet med Kammarrätten i Stockholm, att bestämmelsen om föreskrifter avseende möjligheterna att lämna ut personuppgifter elektroniskt bör placeras i lagens första kapitel med allmänna bestämmelser.

6.3.16Tillsyn och sanktionsavgifter

Regeringens förslag: Sanktionsavgift ska få tas ut av Rättsmedicinalverket vid överträdelser på brottsdatalagens område av bestämmelserna om ändamål eller om sökförbud. Sanktionsavgift ska även få tas ut av verket vid överträdelser av föreskrifter som har meddelats i anslutning till lagen och som gäller begränsningar av möjligheten att göra sökningar avseende känsliga personuppgifter.

Sanktionsavgiften ska bestämmas till högst 10 000 000 kr. Regeringens bedömning: Dataskyddslagens bestämmelser om

sanktionsavgifter är tillämpliga på Rättsmedicinalverkets behandling av personuppgifter på dataskyddsförordningens område enligt den föreslagna lagen.

Det krävs inte några särskilda regler om tillsyn utöver regleringen i brottsdatalagen respektive dataskyddslagen.

Utredningens förslag överensstämmer delvis med regeringens. Utredningen föreslår att sanktionsavgiften ska bestämmas till högst 20 000 000 kr. Dessutom föreslår utredningen ett minimibelopp.

Remissinstanserna: Endast ett fåtal remissinstanser yttrar sig över förslaget. Justitiekanslern anför att bestämmelsen inte i alla delar överensstämmer med brottsdatalagen. Bestämmelsen ger, enligt

57

Prop. 2019/20:106 Justitiekanslern, till exempel inte besked om vem som beslutar om sanktionsavgift, hur den ska bestämmas eller om den får jämkas.

Skälen för regeringens förslag och bedömning

Vissa bestämmelser bör införas för Rättsmedicinalverkets behandling av personuppgifter på brottsdatalagens område

Bestämmelser om möjligheten att ta ut en sanktionsavgift vid vissa överträdelser av brottsdatalagen, finns i 6 kap. i nämnda lag. Enligt brottsdatalagen kan en sanktionsavgift tas ut bl.a. vid överträdelser av bestämmelser om hur personuppgifter får behandlas. Regeringen har tidigare uttalat att om en bestämmelse i en registerförfattning ersätter, preciserar eller på annat sätt kompletterar en bestämmelse i brottsdatalagen som kan föranleda sanktionsavgift, bör även överträdelser av bestämmelsen i registerförfattningen kunna föranleda sanktionsavgift (prop. 2017/18:269 s. 114). I linje med detta ställningstagande bör överträdelser av bestämmelserna på brottsdatalagens område om tillåtna ändamål och om sökförbud kunna föranleda sanktionsavgifter. Som utredningen föreslår bör motsvarande gälla vid överträdelser av föreskrifter om begränsningar av möjligheten att göra sökningar avseende känsliga personuppgifter, som har meddelats i anslutning till lagen. I övrigt finns det inte skäl att införa ytterligare bestämmelser om möjlighet att ta ut sanktionsavgift.

Regeringen delar utredningens uppfattning att sanktionsavgiftens storlek bör bestämmas i enlighet med vad som gäller för överträdelser av brottsdatalagen enligt 6 kap. 3 § andra stycket. Vid införandet av

brottsdatalagen gjorde dock regeringen bedömningen att sanktionsavgiften ska bestämmas till högst 10 000 000 kr och att något minimibelopp inte ska anges (prop. 2017/18:232 s. 325–329). Regleringarna bör inte skilja sig åt utan starka skäl. Några sådana finns inte, varför regeringen föreslår samma reglering för Rättsmedicinalverket.

Justitiekanslern anför att bestämmelsen inte ger besked om bl.a. vem som beslutar om sanktionsavgift, hur den ska bestämmas eller om den får jämkas och föreslår att en hänvisning till brottsdatalagens bestämmelser med relevant innehåll införs i lagen. I 5 kap. brottsdatalagen finns bestämmelser om tillsyn. Av 5 kap. 2 § framgår, liksom av definitionen av tillsynsmyndighet i 1 kap. 6 §, att tillsynen omfattar all personuppgiftsbehandling inom brottsdatalagens tillämpningsområde. Av 5 kap. 7 § brottsdatalagen framgår bl.a. tillsynsmyndighetens befogenhet att besluta om sanktionsavgifter. I brottsdatalagen finns det vidare bestämmelser om hur sanktionsavgiften ska bestämmas och vad som gäller i fråga om beslut om sanktionsavgift (6 kap. 3–7 §§). Den omständigheten att brottsdatalagen gäller subsidiärt i förhållande till den lag som nu föreslås innebär att de tillsyns-, handläggnings- och verkställighetsregler som finns i brottsdatalagen även gäller i de fall där sanktionsavgift tas ut för överträdelser av bestämmelser i registerförfattningarna (prop. 2017/18:269 s. 115 och prop. 2018/19:65 s. 64–68). Några bestämmelser om detta behövs därför inte i den lag som nu föreslås.

58

Inga bestämmelser behöver införas för Rättsmedicinalverkets behandling Prop. 2019/20:106 av personuppgifter på dataskyddsförordningens område

Enligt artikel 83 i dataskyddsförordningen har tillsynsmyndigheten i vissa fall möjlighet att påföra personuppgiftsansvariga och personuppgiftsbiträden administrativa sanktionsavgifter vid överträdelser av förordningens bestämmelser. Varje medlemsstat får fastställa regler för om och i vilken utsträckning sådana sanktionsavgifter kan påföras offentliga myndigheter och organ som är inrättade i medlemsstaten.

Dataskyddslagen innehåller bestämmelser som kompletterar dataskyddsförordningens reglering i dessa delar. I 6 kap. 1 § föreskrivs att de befogenheter som tillsynsmyndigheten har enligt dataskyddsförordningen även ska gälla vid tillsyn över efterlevnaden av bestämmelserna i dataskyddslagen och andra föreskrifter som kompletterar dataskyddsförordningen. I 6 kap. finns även kompletterande bestämmelser avseende tillsynsmyndighetens handläggning och beslut. Vad gäller sanktionsavgifter anges det i 6 kap. 1 § dataskyddslagen att sanktionsavgifter får tas ut av myndigheter vid vissa överträdelser av dataskyddsförordningen. Även bestämmelser om avgiftens storlek finns i

6kap.

Regeringen anser att det saknas skäl att i Rättsmedicinalverkets

registerförfattning, i den del som faller inom dataskyddsförordningens tillämpningsområde, ha ett annat förfarande för tillsyn och sanktioner än det som kommer att gälla för andra myndigheter enligt dataskyddslagen. Eftersom dataskyddslagen kommer att gälla vid Rättsmedicinalverkets behandling av personuppgifter på dataskyddsförordningens område, under förutsättning att annat inte följer av Rättsmedicinalverkets registerförfattning eller föreskrifter som har meddelats i anslutning till den, krävs det inte någon särskild reglering för att dataskyddslagens bestämmelser om tillsyn och sanktionsavgifter ska bli tillämpliga. Regeringen anser därför att det inte behöver införas några regler om tillsyn eller om sanktionsavgifter såvitt gäller personuppgiftsbehandling som omfattas av dataskyddsförordningen.

6.3.17 Skadestånd  
   
Regeringens förslag: Brottsdatalagens bestämmelse om skyldighet för  
den personuppgiftsansvarige att ersätta den registrerade för den skada  
och kränkning av den personliga integriteten som behandling av  
personuppgifter i strid med brottsdatalagen har orsakat, ska gälla vid  
behandling av personuppgifter i strid med den nu föreslagna lagen eller  
föreskrifter som har meddelats i anslutning till den.  
Regeringens bedömning: Några särskilda bestämmelser om  
skadestånd behövs inte på dataskyddsförordningens område.  
   
Utredningens förslag och bedömning överensstämmer med  
regeringens.  
Remissinstanserna: Ingen remissinstans yttrar sig särskilt över  
förslaget eller bedömningen.  
Skälen för regeringens förslag och bedömning: Enligt 7 kap. 1 §  
brottsdatalagen ska den personuppgiftsansvarige ersätta den registrerade 59
   

Prop. 2019/20:106 för den skada och kränkning av den personliga integriteten som behandling av personuppgifter i strid med brottsdatalagen, eller föreskrifter som har meddelats i anslutning till den, har orsakat. En sådan rätt till skadestånd bör gälla även när personuppgifter har behandlats i strid med den lag för Rättsmedicinalverket som nu föreslås. Lagen bör därför innehålla en bestämmelse som anger att 7 kap. 1 § brottsdatalagen ska tillämpas vid behandling av personuppgifter på brottsdatalagens område i strid med lagen eller föreskrifter som har meddelats i anslutning till den.

60

Artikel 82 i dataskyddsförordningen föreskriver att en person ska ha rätt till ersättning för skada som denne har lidit till följd av en överträdelse av förordningen. Av skäl 146 i förordningen följer att med behandling som strider mot förordningen avses även behandling som strider mot medlemsstaternas nationella rätt med närmare specifikation av förordningens bestämmelser. I 7 kap. 1 § dataskyddslagen upplyses om detta, dvs. att rätten till ersättning enligt dataskyddsförordningen gäller även vid överträdelser av bestämmelser i dataskyddslagen och andra författningar som kompletterar dataskyddsförordningen. Någon ytterligare bestämmelse om skadestånd behövs därför inte i den nu föreslagna lagen.

6.3.18Tillgången till personuppgifter

Regeringens förslag: Tillgången till personuppgifter ska begränsas till det som var och en behöver för att kunna fullgöra sina arbetsuppgifter.

Utredningens förslag överensstämmer med regeringens. Remissinstanserna: Endast ett fåtal remissinstanser yttrar sig över

förslaget. Sveriges Läkarförbund anser att bestämmelsen bör omformuleras på ett sätt som säkerställer alla aspekter på läkarnas fullgörande av arbetsuppgifter så att förslaget inte leder till att undersökningsläkare inte längre kan ta del av vissa handlingar som man kunnat ta del av tidigare. Dataskydd.net anser att det inte finns något behov av bestämmelsen.

Skälen för regeringens förslag: Registerförfattningar innehåller ofta en bestämmelse som begränsar tillgången till personuppgifter. Dataskyddsförordningen innehåller inte någon uttrycklig sådan bestämmelse. I artikel 5.1 c uttrycks dock den grundläggande principen att personuppgifter som behandlas ska vara adekvata, relevanta och inte för omfattande i förhållande till de ändamål för vilka de behandlas. Enligt artikel 24.1 gäller vidare att den personuppgiftsansvarige ska, med beaktande av bl.a. behandlingens art, omfattning, ändamål och riskerna, genomföra lämpliga tekniska och organisatoriska åtgärder för att säkerställa och kunna visa att behandlingen utförs i enlighet med förordningen. Enligt artikel 25.2 ska den personuppgiftsansvarige också genomföra lämpliga tekniska och organisatoriska åtgärder för att säkerställa att endast personuppgifter som är nödvändiga för varje specifikt ändamål med behandlingen behandlas. Den skyldigheten gäller mängden insamlade personuppgifter, behandlingens omfattning, tiden för dess lagring och deras tillgänglighet. Enligt artikel 32 i dataskyddsförordningen har den personuppgiftsansvarige vidare en skyldighet att se till att en lämplig säkerhetsnivå för behandlingen av

personuppgifter upprätthålls. Detta ska ske bl.a. genom lämpliga tekniska Prop. 2019/20:106 och organisatoriska åtgärder. Den personuppgiftsansvariges skyldigheter i

denna del återfinns även i de allmänna principer för personuppgiftsbehandling som framgår av artikel 5.1 f i dataskyddsförordningen.

Rättsmedicinalverket behandlar bl.a. stora mängder känsliga personuppgifter. För att minska risken för obefogade intrång i den personliga integriteten vid Rättsmedicinalverkets behandling av uppgifter anser regeringen, till skillnad från Dataskydd.net, att det bör införas en bestämmelse som uttryckligen begränsar den krets av personer som får ha

tillgång till personuppgifter. Även om skyldigheten för personuppgiftsansvariga att på olika sätt begränsa tillgången till personuppgifter kan sägas följa av dataskyddsförordningen menar regeringen att bestämmelsen utgör en sådan specificering som enligt artikel 6.2 och 6.3 är tillåten i nationell rätt. Genom en sådan bestämmelse åstadkoms också tydligare överensstämmelse mellan vad som gäller för Rättsmedicinalverkets personuppgiftsbehandling på brottsdatalagens respektive dataskyddsförordningens tillämpningsområde. Av 3 kap. 6 §

brottsdatalagen följer nämligen en skyldighet för den personuppgiftsansvarige att se till att tillgången till personuppgifter begränsas till vad var och en behöver för att kunna fullgöra sina

arbetsuppgifter följer. Denna bestämmelse gäller för

Rättsmedicinalverkets behandling av personuppgifter inom brottsdatalagens tillämpningsområde.

Sveriges Läkarförbund har inga invändningar mot förslaget i sig, men menar att bestämmelsen bör omformuleras på ett sätt som säkerställer alla aspekter på läkarnas fullgörande av arbetsuppgifter. Av bestämmelsen följer att tillgången till personuppgifter ska begränsas till det som var och en behöver för att kunna fullgöra sina arbetsuppgifter. Enligt regeringen ligger detta i linje med dataskyddsförordningens grundläggande princip om uppgiftsminimering (artikel 5.1 c) och utgör en rimlig och naturlig avvägning mellan effektivitet och integritet. Om en uppgift behövs för ett tjänsteåliggande är det rimligt att arbetstagaren får tillgång till uppgiften, men inte annars. Regeringen finner därför inte skäl att omformulera bestämmelsen och därigenom frångå den systematik som följer av ett flertal registerförfattningar på dataskyddsförordningens tillämpningsområde och av brottsdatalagen.

6.3.19Dataskyddsombud

Regeringens bedömning: Det behövs ingen bestämmelse som föreskriver en skyldighet för Rättsmedicinalverket att utse ett dataskyddsombud. Bestämmelserna i dataskyddsförordningen och brottsdatalagen är tillräckliga. Det bör inte införas en författningsreglerad skyldighet för dataskyddsombudet att anmäla till tillsynsmyndigheten om den personuppgiftsansvarige bryter mot bestämmelser för behandling av personuppgifter och rättelse inte vidtas.

Utredningens förslag och bedömning överensstämmer delvis med

regeringens bedömning. Enligt utredningens förslag ska dataskyddsombud

61

Prop. 2019/20:106 vara skyldiga att anmäla till tillsynsmyndigheten om
  personuppgiftsansvariga bryter mot bestämmelser för behandling av
  personuppgifter och rättelse inte vidtas.        
  Remissinstanserna: Dataskydd.net anser att det inte finns något behov
  av den bestämmelse som utredningen föreslår. I övrigt yttrar sig inte någon
  remissinstans särskilt i denna del.          
  Skälen för regeringens bedömning: Bland den person-
  uppgiftsansvariges skyldigheter finns ett krav på att i vissa fall utse ett
  dataskyddsombud. Dataskyddsförordningen   och dataskyddsdirektivet
  innehåller inte någon definition av vad som är ett dataskyddsombud. Av
  brottsdatalagen framgår dock att ett dataskyddsombud är den person som
  utses av den personuppgiftsansvarige för att självständigt se till att person-
  uppgifter behandlas författningsenligt och på ett korrekt sätt (1 kap. 6 §).
  Enligt dataskyddsförordningen ska den personuppgiftsansvarige och
  personuppgiftsbiträdet utnämna ett dataskyddsombud bl.a. om
  behandlingen av personuppgifter utförs av en myndighet (artikel 37.1 a).
  Motsvarande bestämmelse finns i artikel 32.1 i dataskyddsdirektivet, som
  anger att medlemsstaterna ska föreskriva att den personuppgiftsansvarige
  ska utnämna ett dataskyddsombud. Från denna skyldighet får undantas
  domstolars och andra oberoende rättsliga myndigheters dömande
  verksamhet. Dataskyddsdirektivet genomförs i denna del av 3 kap. 13 §
  brottsdatalagen, som anger att den personuppgiftsansvarige ska utse ett
  eller flera dataskyddsombud och anmäla till tillsynsmyndigheten när
  dataskyddsombud utses och entledigas. Rättsmedicinalverket är, enligt
  dessa bestämmelser i förordningen respektive brottsdatalagen, skyldigt att
  utse ett eller flera dataskyddsombud. Regeringen instämmer därmed i
  utredningens bedömning att det inte finns något behov av en bestämmelse
  i lagen som föreskriver en skyldighet att utse ett sådant ombud.  
  Dataskyddsombudets uppgifter framgår, såvitt gäller den behandling av
  personuppgifter som äger rum inom dataskyddsförordningens
  tillämpningsområde, av artikel 39. Artikeln innehåller en uppräkning av
  de uppgifter ett dataskyddsombud minst ska ha och lämnar således
  möjligheten öppen för medlemsstaterna att föreskriva ytterligare uppgifter
  för ombudet. Av artikel 38.4 framgår dessutom att dataskyddsombudet ska
  vara tillgängligt för registrerade, eftersom bestämmelsen anger att den
  registrerade får kontakta dataskyddsombudet med avseende på alla frågor
  som rör behandlingen av dennes personuppgifter och utövandet av dennes
  rättigheter enligt förordningen.          
  På dataskyddsdirektivets område finns motsvarande bestämmelser
  huvudsakligen i artikel 34, som genomförs genom 3 kap. 14 och 15 §§
  brottsdatalagen. Dataskyddsombudets uppgifter är i stort desamma inom
  båda regelkomplexens respektive tillämpningsområde.  
  Utredningen om 2016 års dataskyddsdirektiv föreslog att
  brottsdatalagen även skulle innehålla en skyldighet för
  dataskyddsombudet att anmäla till tillsynsmyndigheten om den
  personuppgiftsansvarige bryter mot bestämmelser för behandling av
  personuppgifter och rättelse inte vidtas. Denna reglering hade inte sitt
  ursprung i dataskyddsdirektivet, utan föreslogs med motiveringen att det
  är viktigt att dataskyddsombud uppmärksammar tillsynsmyndigheten på
  eventuella problem och brister, särskilt om den personuppgiftsansvarige
62 inte rättar sig efter ombudets påpekanden (SOU 2017:29 s. 348). Vid

införandet av brottsdatalagen gjorde dock regeringen bedömningen att Prop. 2019/20:106 dataskyddsombuden inte bör ha en sådan författningsreglerad skyldighet

(prop. 2017/18:232 s. 205). Regeringen framhöll att någon motsvarande anmälningsskyldighet inte gäller på dataskyddsförordningens område och att det inte är motiverat att införa en sådan skyldighet endast inom brottsdatalagens tillämpningsområde. Mot denna bakgrund anser regeringen, till skillnad från utredningen men i likhet med Dataskydd.net, att det inte bör införas någon anmälningsskyldighet för dataskyddsombuden i den nu föreslagna lagen.

6.3.20Avgiftsfri information

Regeringens bedömning: Det bör inte införas en bestämmelse om att Rättsmedicinalverket, ifall någon begär information och uppgifter enligt artikel 15 i dataskyddsförordningen oftare än en gång per år, ska få ta ut en rimlig avgift eller avslå begäran.

Utredningens förslag överensstämmer inte med regeringens bedömning. Utredningen föreslår att det ska införas en bestämmelse som innebär att om någon begär information och uppgifter enligt artikel 15 i dataskyddsförordningen oftare än en gång per år, ska Rättsmedicinalverket få ta ut en rimlig avgift eller avslå begäran.

Remissinstanserna: Dataskydd.net anser att det inte finns något behov av bestämmelsen. I övrigt yttrar sig inte någon remissinstans särskilt i denna del.

Skälen för regeringens bedömning: Av artikel 15 i dataskyddsförordningen framgår att den registrerade ska ha rätt att av den personuppgiftsansvarige få bekräftelse på huruvida personuppgifter som rör honom eller henne håller på att behandlas och i så fall få tillgång till personuppgifterna och viss närmare preciserad information. Av artikel 12.5 i dataskyddsförordningen följer att all kommunikation och samtliga åtgärder som vidtas enligt artikel 15 ska tillhandahållas kostnadsfritt. Om en begäran från en registrerad är uppenbart ogrundad eller orimlig, särskilt på grund av dess repetitiva art, får den personuppgiftsansvarige antingen ta ut en rimlig avgift som täcker de administrativa kostnaderna för att tillhandahålla informationen eller vidta den åtgärd som begärts, eller vägra att tillmötesgå begäran. Det åligger den personuppgiftsansvarige att visa att begäran är uppenbart ogrundad eller orimlig.

Motsvarande reglering om enskildas rätt till information finns i dataskyddsdirektivet i bl.a. artikel 12. Av artikel 12.4 framgår att informationen ska tillhandahållas kostnadsfritt och att den personuppgiftsansvarige, om en begäran är uppenbart ogrundad eller orimlig, särskilt på grund av att den är repetitiv, antingen får ta ut en rimlig avgift eller vägra att tillmötesgå begäran. Genomförandet i svensk rätt återfinns i 4 kap. 12 § brottsdatalagen. Bestämmelsen anger att information enligt 3 § i samma kapitel, som i huvudsak motsvarar den information som ska lämnas enligt artikel 15 i förordningen, ska lämnas utan avgift en gång per år. Om någon begär information och uppgifter enligt 3 § oftare än en gång per år, får den personuppgiftsansvarige ta ut

en rimlig avgift eller avslå begäran.

63

Prop. 2019/20:106 Artiklarna 12 och 15 i dataskyddsförordningen är direkt tillämpliga. Enligt regeringens bedömning är det tveksamt om det på dataskyddsförordningens område finns utrymme att i nationell rätt föreskriva att en begäran som sker oftare än en gång per år får avslås eller att en rimlig avgift får tas ut. Det finns, enligt regeringens bedömning, inte heller förutsättningar att, när det gäller Rättsmedicinalverkets personuppgiftsbehandling, begränsa enskildas rätt till information enligt artikel 15 med stöd av artikel 23 i dataskyddsförordningen. I likhet med Dataskydd.net anser regeringen därför inte att lagen bör innehålla en sådan bestämmelse som utredningen föreslår.

  6.3.21 Begränsning av rätten till information om
    personuppgiftsincidenter
   
  Regeringens förslag: Den personuppgiftsansvariges skyldighet att
  informera den registrerade om en personuppgiftsincident enligt artikel
  34 i dataskyddsförordningen ska inte gälla sådana uppgifter som den
  personuppgiftsansvarige inte får lämna ut till den registrerade enligt lag
  eller annan författning eller enligt beslut som har meddelats med stöd
  av författning.
   
  Utredningens förslag överensstämmer i sak med regeringens.
  Utredningen föreslår en annan lagteknisk utformning.
  Remissinstanserna: Dataskydd.net ifrågasätter behovet av att införa en
  begränsning av skyldigheten att informera den registrerade om en
  personuppgiftsincident.
  Skälen för regeringens förslag: Genom dataskyddsförordningen införs
  en skyldighet för den personuppgiftsansvarige att anmäla till
  tillsynsmyndigheten om det inträffar en s.k. personuppgiftsincident
  (artikel 33). Med personuppgiftsincident avses en säkerhetsincident som
  leder till oavsiktlig eller olaglig förstöring, förlust eller ändring eller till
  obehörigt röjande av eller obehörig åtkomst till de personuppgifter som
  överförts, lagrats eller på annat sätt behandlats (artikel 4.12). Om
  personuppgiftsincidenten sannolikt leder till en hög risk för fysiska
  personers rättigheter och friheter, ska den personuppgiftsansvarige utan
  onödigt dröjsmål informera den registrerade om personuppgiftsincidenten
  (artikel 34). Informationen ska bl.a. innehålla en tydlig och klar
  beskrivning av personuppgiftsincidentens art. Sådan information krävs
  dock inte om a) den personuppgiftsansvarige har genomfört lämpliga
  tekniska och organisatoriska skyddsåtgärder och dessa åtgärder tillämpats
  på de personuppgifter som påverkas av personuppgiftsincidenten, b) den
  personuppgiftsansvarige har vidtagit ytterligare åtgärder som säkerställer
  att den höga risken för de registrerades rättigheter och friheter sannolikt
  inte längre kommer att uppstå eller c) det skulle inbegripa en
  oproportionell ansträngning. I det sistnämnda fallet ska i stället
  allmänheten informeras eller en liknande åtgärd vidtas genom vilken de
  registrerade informeras på ett lika effektivt sätt.
  De direkt tillämpliga undantagen i artikel 34.3 dataskyddsförordningen
  omfattar inte situationen att de uppgifter som ska lämnas till den
64 registrerade omfattas av sekretess eller tystnadsplikt. Artikel 23 i
   

dataskyddsförordningen ger emellertid en möjlighet att i nationell rätt föreskriva begränsningar av bl.a. skyldigheten att informera den registrerade om en personuppgiftsincident förutsatt att en sådan begränsning sker med respekt för andemeningen i de grundläggande rättigheterna och friheterna och utgör en nödvändig och proportionell åtgärd i ett demokratiskt samhälle i syfte att säkerställa vissa särskilt angivna intressen, t.ex. säkerställandet av unionens eller en medlemsstats viktiga mål av generellt intresse (artikel 23.1 e) eller skyddet av rättsväsendets oberoende och rättsliga åtgärder (artikel 23.1 f).

Dataskyddsförordningens bestämmelse om information till den registrerade vid en personuppgiftsincident skulle, utan en begränsning i enlighet med artikel 23, kunna innebära att uppgifter lämnas ut till den enskilde trots att det gäller sekretess för dessa. Så skulle t.ex. kunna vara fallet beträffande uppgifter som omfattas av den allmänna säkerhetssekretess enligt 18 kap. 8 § offentlighets- och sekretesslagen som gäller i Rättsmedicinalverkets verksamhet (se prop. 2017/18:248 s. 29– 30). Enligt bestämmelsen råder sekretess för alla uppgifter om säkerhets- och bevakningsåtgärder om det kan antas att syftet med åtgärden motverkas om uppgiften lämnas ut. Bestämmelserna i offentlighets- och sekretesslagen som begränsar rätten till information är nödvändiga med hänsyn till enskilda och allmänna intressen. Regeringen anser mot denna bakgrund, till skillnad från Datskydd.net, att Rättsmedicinalverkets skyldighet enligt dataskyddsförordningen att informera den registrerade om en personuppgiftsincident inte bör gälla sådana uppgifter som den personuppgiftsansvarige inte får lämna ut till den registrerade enligt lag eller annan författning eller enligt beslut som har meddelats med stöd av författning. På detta sätt kommer nationella bestämmelser om sekretess och tystnadsplikt att gå före den registrerades rätt att få information om inträffade incidenter. Ett sådant undantag kan göras med stöd av artikel

23.1e eller f i dataskyddsförordningen. Motsvarande bedömning har gjorts även i andra registerförfattningar på dataskyddsförordningens tillämpningsområde (se t.ex. prop. 2017/18:248 s. 29–30, prop. 2017/18:113 s. 35–37 och prop. 2017/18:254 s. 38–39). Regeringen anser till skillnad från vad som föreslås av utredningen att bestämmelsens utformning bör ta sin utgångspunkt i förordningens ordalydelse och därmed i den personuppgiftsansvariges skyldighet att informera om personuppgiftincidenter istället för den registrerades rätt att få information om en personuppgiftsincident.

Av 3 kap. 9–11 §§ brottsdatalagen framgår den personuppgifts-ansvariges skyldigheter när det gäller inträffade personuppgiftsincidenter, däribland skyldigheten att lämna viss information till den registrerade. Den personuppgiftsansvarige får underlåta att lämna sådan information i den utsträckning det är särskilt föreskrivet i lag eller annan författning eller annars framgår av beslut som har meddelats med stöd av författning att uppgifter inte får lämnas ut bl.a. av hänsyn till intresset av att förebygga, förhindra eller upptäcka brottslig verksamhet, utreda eller lagföra brott, verkställa straffrättsliga påföljder eller upprätthålla allmän ordning och säkerhet. Det är främst sekretess och tystnadsplikt enligt offentlighets- och sekretesslagen som avses (prop. 2017/18:232 s. 459). Bland annat kan förundersökningssekretess enligt 18 kap. 1 och 3 §§ offentlighets- och sekretesslagen aktualiseras i Rättsmedicinalverkets verksamhet.

Prop. 2019/20:106

65

Prop. 2019/20:106 7 En lag om Rättsmedicinalverkets
  elimineringsdatabas

7.1Rättsmedicinalverkets elimineringsdatabas

Den kemiska benämningen på arvsmassan, som är bärare av en människas gener, är deoxiribonukleinsyra, förkortat dna. Genom att analysera dna kan viktig information erhållas. Vid Rättsmedicinalverket hanteras prover av dna framför allt vid verkets rättsgenetiska enhet. Med hjälp av dnainformation genomförs huvudsakligen identifieringar av avlidna personer samt faderskaps- och släktskapsutredningar. När det gäller identifiering av avlidna, kan det ske både i de fall då det finns anledning att misstänka brott och när någon sådan misstanke inte finns. Genetiska analyser genomförs också i andra ärendetyper vid Rättsmedicinalverket, som exempelvis vid vissa uppdrag för hälso- och sjukvårdens räkning. Det rör sig exempelvis om ärenden om vilken betydelse genetiska faktorer har för läkemedelseffekter. Dna kan också analyseras inom ramen för brottsutredningar. Det gäller då ofta spår från brottsplatser, som analyseras bl.a. i syfte att identifiera en tänkbar gärningsman. Sådana analyser genomförs dock oftast av Nationellt forensiskt centrum (NFC) vid Polismyndigheten och inte av Rättsmedicinalverket.

Dna-analyser är ofta mycket tillförlitliga, men kompliceras av risken för kontaminering. Det innebär att dna som ska analyseras sammanblandas med annan dna, från någon som antingen hanterar dna-provet eller vars dna på annat sätt har kommit i kontakt med det dna-prov som ska analyseras. Kontamineringen kan ske i samtliga hanteringsled av ett dnaprov från det att ett prov tas, till dess att analysen är genomförd och analyssvaret föreligger. Det kan således ske redan vid provtagningen, som förutom vid Rättsmedicinalverkets rättsmedicinska enheter görs vid exempelvis någon av Migrationsverkets mottagningsenheter eller vid ett

socialkontor. Kontamineringen kan också ske när de Rättsmedicinalverket-medarbetare som utför dna-analyser hanterar prover eller genom att dna från personer som tillhör andra yrkeskategorier som rör sig i den laboratoriemiljö där analyser genomförs kommer i kontakt med ett dna-prov. Det kan exempelvis röra sig om personal som städar lokalerna, utför reparationer eller av annan anledning besöker laboratoriet. Kontaminering kan också ske genom att det material som används vid provtagning eller analys inte är dna-fritt, utan innehåller dna t.ex. från personer som har tillverkat eller förpackat materialet. Ytor och föremål i Rättsmedicinalverkets rättsgenetiska laboratorium kan också bära dna. Dna är mycket tidsbeständigt och risken för kontaminering från dna som finns kvar i den miljö där analyser genomförs är därför inte obetydlig.

Vid analysen av dna-prover som har kontaminerats kan provsvaren vara svårtolkade och ibland missvisande. Om man exempelvis i ett identifieringsärende vid analysen av ett prov enbart får fram en dna-profil som beror på en kontaminering, kan det leda till en felaktig uteslutning. Den avlidne antas då vara den person vars dna-profil föreligger (alltså den profil som kontaminerat provet). Om inte denna dna-profil kan uteslutas genom en sökning i en elimineringsdatabas, riskeras identifieringsarbetet.

66

Den avlidne antas i sådana fall vara en person vars dna kontaminerat Prop. 2019/20:106 provet och denne persons profil kommer vid en jämförelse med presumtiva

släktingar till en försvunnen person, inte att visa någon överensstämmelse. I ett sådant fall kan den avlidne inte identifieras.

Med hänsyn till de negativa effekter en kontaminering kan få, har Rättsmedicinalverket inrättat en elimineringsdatabas. Databasen innehåller dna-profiler från medarbetare vid Rättsmedicinalverket, vissa besökare och en del personer som annars vistas i det rättsgenetiska laboratoriet, som exempelvis lokalvårdare. Prover som används för att ta fram dna-profiler till elimineringsdatabasen sparas i fem år. Elimineringsdatabasen utgör ett dna-register och behandling av uppgifter i databasen är personuppgiftsbehandling. En sådan databas är det enda sättet att systematiskt förebygga och upptäcka kontamineringar och den fungerar som ett stöd för att öka kvaliteten på de analysresultat som fås vid dna-undersökningar och för att förhindra att felaktiga slutsatser dras av ett analysresultat där kontaminering förekommit.

En motsvarande databas finns vid Polismyndigheten och en elimineringsdatabas framstår som ett nödvändigt hjälpmedel även i Rättsmedicinalverkets verksamhet.

7.2Rättsmedicinalverkets elimineringsdatabas bör författningsregleras

Regeringens bedömning: Bestämmelser om Rättsmedicinalverkets elimineringsdatabas bör införas i en särskild lag.

Utredningens bedömning överensstämmer med regeringens. Remissinstanserna: Polismyndigheten och Brottsoffermyndigheten är

positiva till införandet av en lag som reglerar Rättsmedicinalverkets elimineringsdatabas. Riksförbundet för social och mental hälsa (RSMH) är emot införandet av en lag och anser att det inte borde behövas särlagstiftningar för enskilda myndigheter. I övrigt yttrar sig ingen remissinstans särskilt i denna del.

Skälen för regeringens bedömning: I dag inhämtas den enskildes samtycke till provtagning, hantering av dna och behandling av personuppgifter i Rättsmedicinalverkets elimineringsdatabas. Som regeringen konstaterar i det föregående är dock utrymmet för offentliga myndigheter att använda sig av samtycke som rättslig grund för behandling av personuppgifter på dataskyddsförordningens område (artikel 6.1 a) begränsat (se avsnitt 6.3.9).

Möjligheten att hantera kontamineringar genom en elimineringsdatabas är av avgörande betydelse för att Rättsmedicinalverket ska kunna få fram så korrekta resultat som möjligt vid de dna-analyser som verket genomför. Det finns därför starka skäl att skapa tydliga rättsliga förutsättningar för Rättsmedicinalverket att föra en sådan databas. Det kan också konstateras att den elimineringsdatabas som finns vid Polismyndigheten författningsreglerades 2014 genom lagen (2014:400) om Polismyndighetens elimineringsdatabas (prop. 2013/14:110). Enligt regeringen saknas det

anledning att se annorlunda på behovet av författningsreglering för

67

Prop. 2019/20:106 Rättsmedicinalverkets databas. Det bör alltså införas en
  författningsreglering även för Rättsmedicinalverkets elimineringsdatabas.
  Frågan är då om bestämmelserna om Rättsmedicinalverkets
  elimineringsdatabas ska placeras i den lag om Rättsmedicinalverkets
  behandling av personuppgifter som nu föreslås (se avsnitt 6) eller om en
  särskild författning för elimineringsdatabasen är lämpligare. Den
  föreslagna lagen rör uteslutande personuppgiftsbehandling vid
  Rättsmedicinalverket   medan en   författningsreglering av
  elimineringsdatabasen väcker även andra frågor, exempelvis om en
  skyldighet för vissa personer att lämna dna-prov till databasen bör införas.
  Regeringen delar utredningens bedömning att sådana bestämmelser inte
  passar särskilt väl i en mer renodlad lag om personuppgiftsbehandling.
  Bestämmelser om Rättsmedicinalverkets elimineringsdatabas bör därför
  finnas i en särskild författning. Som framgår av avsnitt 7.5 kommer den
  föreslagna lagen   om personuppgiftsbehandlingen vid
  Rättsmedicinalverket i stor utsträckning att tillämpas även vid den
  personuppgiftsbehandling som utförs i anslutning till
  elimineringsdatabasen.                
  En fråga att ta ställning till när det gäller författningsregleringen av
  Rättsmedicinalverkets elimineringsdatabas är vidare regeringsformens
  krav på bl.a. normgivningsnivå.            
  Som utvecklas närmare i avsnitt 7.8, ska personer vars dna riskerar att
  kontaminera material eller prover vara skyldiga att lämna prov för dna-
  analys. Enligt 2 kap. 6 § första stycket regeringsformen är var och en
  gentemot det allmänna skyddad mot påtvingat kroppsligt ingrepp. En
  skyldighet att lämna dna-prov utgör ett sådant påtvingat kroppsligt ingrepp
  som omfattas av skyddet i 2 kap. 6 § regeringsformen (prop. 2005/06:29
  s. 19–20). Även om det inte är fråga om något fysiskt tvång, får tagandet
  av ett dna-prov anses påtvingat, om det finns ett krav på att den enskilde
  ska lämna provet och kravet är förenat med ett hot om vissa följder om
  provet inte lämnas (se prop. 1993/94:65 s. 111). Offentligt anställda
  omfattas av skyddet mot påtvingat kroppsligt ingrepp i förhållande till sin
  arbetsgivare. Av 2 kap. 20–21 §§ regeringsformen följer bl.a. att enskildas
  skydd mot sådana ingrepp endast får begränsas genom lag och för att
  tillgodose ändamål som är godtagbara i ett demokratiskt samhälle.
  Begränsningen får aldrig gå utöver vad som är nödvändigt med hänsyn till
  det ändamål som har föranlett den och inte heller sträcka sig så långt att
  den utgör ett hot mot den fria åsiktsbildningen såsom en av folkstyrelsens
  grundvalar.                  
  Rättsmedicinalverkets dna-analysverksamhet är central bl.a. för många
  andra myndigheter och är av stor samhällelig betydelse. För att
  Rättsmedicinalverket ska kunna bedriva den verksamheten med hög
  kvalitet är det en förutsättning att relevanta dna-prover kan registreras i
  elimineringsdatabasen. Dna från en enda person skulle kunna leda till
  omfattande kontamineringar. För att databasen ska kunna användas för att
  effektivt avslöja kontamineringar krävs därför att de personer som riskerar
  att kontaminera material, prover eller lokaler verkligen lämnar dna-prov.
  Mot den bakgrunden utgör ett system som bygger på frivillighet inte ett
  möjligt alternativ. Genom den lag som föreslås begränsas skyldigheten att
  lämna dna-prov till de kategorier av personer som utgör en reell risk för
68 kontaminering. Vidare föreslås bl.a. bestämmelser om på vilket sätt och

under vilken tid proverna får användas. Sammantaget konstaterar Prop. 2019/20:106 regeringen att skyldigheten för vissa personer att genomgå provtagning

bör regleras i lag liksom även den fortsatta hanteringen av ett lämnat prov (jfr prop. 2013/14:110 s. 456). Vidare anser regeringen att den begränsning av skyddet mot påtvingade kroppsliga ingrepp som den föreslagna regleringen innebär är proportionerlig och sker för ändamål som är godtagbara i ett demokratiskt samhälle.

7.3Förutsättningar och ändamål för behandlingen av personuppgifter

Regeringens förslag: Rättsmedicinalverket ska få föra ett register över dna-profiler i syfte att stärka kvaliteten i den rättsgenetiska verksamheten med dna-analyser (elimineringsdatabasen). Uppgifter i elimineringsdatabasen ska endast få behandlas för att upptäcka och utreda kontamineringar av det som är föremål för dna-analys.

Utredningens förslag överensstämmer i sak med regeringens. Remissinstanserna: Ingen remissinstans yttrar sig särskilt i denna del. Skälen för regeringens förslag: I Rättsmedicinalverkets verksamhet

sker behandling av personuppgifter inom både dataskyddsförordningens och brottsdatalagens tillämpningsområde. I förslaget till lag om Rättsmedicinalverkets behandling av personuppgifter återspeglas detta genom att bestämmelser som gäller specifikt inom de olika områdena behandlas i olika kapitel. Den personuppgiftsbehandling som sker i Rättsmedicinalverkets elimineringsdatabas kommer på motsvarande sätt att falla inom båda regelverken. Den föreslagna lagen om Rättsmedicinalverkets behandling av personuppgifter kommer att gälla även för den behandling av personuppgifter som sker i elimineringsdatabasen om inte annat följer av lagen om Rättsmedicinalverkets elimineringsdatabas (se avsnitt 7.5). De principer för gränsdragningen mellan dataskyddsförordningens och brottsdatalagens tillämpningsområde som redovisas i avsnitt 6.2 gäller därför även i detta sammanhang.

Behandlingen av personuppgifter i elimineringsdatabasen är en integrerad del i Rättsmedicinalverkets rättsgenetiska arbete och en förutsättning för att verket ska kunna utföra sitt rättsgenetiska uppdrag med god kvalitet. Regeringens tidigare ställningstaganden angående rättslig grund (avsnitt 6.3.9 och 6.3.10) och förutsättningarna för att behandla känsliga personuppgifter (avsnitt 6.3.12 och 6.3.13) gäller även i detta sammanhang och det finns således stöd för Rättsmedicinalverkets behandling av personuppgifter i elimineringsdatabasen både på dataskyddsförordningens och brottsdatalagens område.

Syftet med Rättsmedicinalverkets elimineringsdatabas är att den ska fungera som ett verktyg för att säkerställa att dna-analyser inte blir missvisande på grund av kontamineringar av i och för sig behöriga personer. Uppgifter i databasen måste kunna behandlas för att upptäcka och utreda kontamineringar, så att resultatet av dna-analyser inte påverkas

av dessa och så att Rättsmedicinalverkets rutiner för analyserna och

69

Prop. 2019/20:106 hantering av dna-prover kan utvecklas i riktning mot att minska risken för kontaminering.

Uppgifter i elimineringsdatabasen bör inte endast få behandlas för att upptäcka och utreda kontamineringar som kan ha uppstått i samband med dna-analyser utan även för att upptäcka och utreda kontamineringar som kan ha uppstått i samband med hanteringen av det biologiska materialet som ligger till grund för analysen. För att tydliggöra det bör bestämmelsen få en delvis annan språklig utformning än den utredningen föreslår. Den språkliga utformningen av bestämmelsen föreslås avvika även delvis från motsvarande bestämmelse i lagen om Polismyndighetens elimineringsdatabas där det framgår att uppgifter ska få behandlas även för att utreda kontamineringar vid hanteringen av dna-spår. Någon skillnad i sak är inte avsedd utan beror på att Rättsmedicinalverket inte använder sig av begreppet dna-spår i sin verksamhet.

Som framgår i avsnitt 7.1 genomför Rättsmedicinalverket dna-analyser både i ärenden där det finns en bakomliggande misstanke om brott och i ärenden där någon sådan misstanke inte föreligger. De fall då det finns en misstanke om brott utgörs huvudsakligen av identifieringsärenden, där den avlidne misstänks ha dödats. Majoriteten av dna-analyserna görs emellertid i ärenden där det inte finns någon brottsmisstanke, som faderskaps- och annan släktskapsanalys. Behovet av att upptäcka och utreda kontamineringar är lika stort, oavsett anledning till dna-analysen. Det saknas därför skäl att göra åtskillnad mellan behandling av uppgifter i elimineringsdatabasen som sker när det finns en misstanke om brott och behandling där sådan misstanke saknas. Däremot bör det av lagen framgå att databasen är kopplad till Rättsmedicinalverkets rättsgenetiska verksamhet och inte myndighetens verksamhet i stort.

  7.4 Innebörden av vissa uttryck
   
  Regeringens förslag: Begreppen dna-analys och dna-profil ska
  definieras i lagen.
  Med dna-analys avses varje förfarande som kan användas för analys
  av deoxiribonukleinsyra i humant material.
  Med dna-profil avses resultatet av en dna-analys som presenteras i
  form av siffror eller bokstäver.
   
  Utredningens förslag överensstämmer med regeringens.
  Remissinstanserna: Ingen remissinstans yttrar sig särskilt i denna del.
  Skälen för regeringens förslag: Uttrycken dna-analys och dna-profil är
  centrala. Innebörden av dessa uttryck bör definieras för att undvika
  missförstånd. Av lagen om Polismyndighetens elimineringsdatabas
  framgår att begreppen dna-profil och dna-analys som används i lagen har
  samma betydelse som i lagen (2018:1693) om polisens behandling av
  personuppgifter inom brottsdatalagens område (1 kap. 5 §). Uttrycken bör
  användas i samma betydelse även i lagen om Rättsmedicinalverkets
  elimineringsdatabas. Definitionen av begreppen bör dock lämpligen anges
  i lagen, i stället för genom hänvisning till annan lag. I lagen bör därför slås
  fast att med dna-analys avses varje förfarande som kan användas för analys
70 av deoxiribonukleinsyra i humant material och att med dna-profil avses

resultatet av en dna-analys som presenteras i form av siffror eller Prop. 2019/20:106 bokstäver.

7.5Förhållandet till annan dataskyddsreglering

Regeringens förslag: I lagen införs en bestämmelse som anger att lagen om Rättsmedicinalverkets behandling av personuppgifter och föreskrifter som har meddelats i anslutning till den gäller om inte annat följer av den föreslagna lagen eller föreskrifter som har meddelats i anslutning till den.

Regeringens bedömning: Det behövs inte någon bestämmelse som uttryckligen anger hur lagen förhåller sig till dataskyddsförordningen, dataskyddslagen eller brottsdatalagen.

Utredningens förslag överensstämmer i sak med regeringens.  
Utredningen föreslår att det uttryckligen ska anges hur lagen förhåller sig  
till dataskyddsförordningen, dataskyddslagen eller brottsdatalagen.    
Remissinstanserna: Dataskydd.net noterar att regleringen verkar  
implicera att elimineringsdatabasen blir allmän handling och ifrågasätter  
lämpligheten i det. Kammarrätten i Stockholm har vissa lagtekniska  
synpunkter. I övrigt yttrar sig ingen remissinstans särskilt i denna del.  
Skälen för regeringens förslag och bedömning: Ett dna-prov är inte i  
sig en personuppgift. Däremot går det att koppla ett dna-prov till den  
person som har lämnat provet eftersom en dna-profil innehåller sådan  
information att den kan knytas till en enskild individ. Informationen utgör  
därmed en personuppgift och de åtgärder som vidtas med dna-profilerna i  
databasen utgör personuppgiftsbehandling.    
Som framgår av bl.a. avsnitt 6.2 aktualiserar behandlingen av  
personuppgifter vid Rättsmedicinalverket tillämpning av såväl  
dataskyddsförordningen och dataskyddslagen som brottsdatalagen. I den  
mån det är fråga om personuppgiftsbehandling som Rättsmedicinalverket  
i egenskap av behörig myndighet utför för sådana syften som anges i  
1 kap. 4 § i den föreslagna lagen om Rättsmedicinalverkets behandling av  
personuppgifter, är sistnämnda lag tillämplig. För annan  
personuppgiftsbehandling vid Rättsmedicinalverket gäller  
dataskyddsförordningens bestämmelser och kompletterande reglering.  
Bestämmelserna i den föreslagna lagen om Rättsmedicinalverkets  
behandling av personuppgifter är väl anpassade till Rättsmedicinalverkets  
verksamhet och kan därför lämpligen reglera behandlingen av  
personuppgifter även i elimineringsdatabasen, i den utsträckning inte  
särbestämmelser bör gälla för databasen. Detta bör framgå av den  
föreslagna lagen. Som Kammarrätten i Stockholm påpekar bör en sådan  
bestämmelse dock ges en mer lättillgänglig utformning än den som  
utredningen föreslagit. Att dataskyddsförordningen, dataskyddslagen och  
brottsdatalagen ska tillämpas på samma sätt som gäller för  
personuppgiftsbehandlingen i stort vid Rättsmedicinalverket följer redan  
av bestämmelserna om förhållandet till annan reglering i lagen om  
Rättsmedicinalverkets behandling av personuppgifter. I den lagen finns  
även en bestämmelse som upplyser om den särskilda regleringen för  
Rättsmedicinalverkets elimineringsdatabas. Någon ytterligare reglering av 71

Prop. 2019/20:106 detta är inte nödvändig. De särbestämmelser som bör gälla för elimineringsdatabasen behandlas i de följande avsnitten.

72

Dataskydd.net noterar att regleringen verkar implicera att elimineringsdatabasen blir allmän handling och ifrågasätter lämpligheten i det. Regeringen konstaterar att även för det fall att elimineringsdatabasen skulle anses vara en allmän handling innebär det inte per automatik att den är offentlig utan begränsningarna av rätten att ta del av allmänna handlingar som finns i offentlighets- och sekretesslagen (2009:400) måste beaktas.

7.6Rättsmedicinalverket är personuppgiftsansvarigt

Regeringens förslag: Rättsmedicinalverket ska vara personuppgiftsansvarigt för behandling av personuppgifter i elimineringsdatabasen.

Utredningens förslag överensstämmer med regeringens. Remissinstanserna: Ingen remissinstans yttrar sig särskilt i denna del. Skälen för regeringens förslag: Frågan om personuppgiftsansvar enligt

lagen om Rättsmedicinalverkets behandling av personuppgifter behandlas i avsnitt 6.3.8. Enligt såväl dataskyddsförordningen som dataskyddsdirektivet är det möjligt att i nationell rätt slå fast vem som är personuppgiftsansvarig. För tydlighets skull och för att åstadkomma överensstämmelse med motsvarande reglering i lagen om Rättsmedicinalverkets behandling av personuppgifter, bör det i lagen införas en bestämmelse som anger att Rättsmedicinalverket är personuppgiftsansvarigt för behandling av personuppgifter i elimineringsdatabasen.

7.7Elimineringsdatabasens innehåll

Regeringens förslag: Elimineringsdatabasen får innehålla dna-profiler från personer som genom att komma i kontakt med material eller prover som ska bli föremål för dna-analys eller lokaler där sådana analyser utförs riskerar att kontaminera dessa.

En dna-profil som registreras i databasen får endast ge information om identitet och inte om personliga egenskaper.

Utöver dna-profiler får elimineringsdatabasen innehålla uppgifter om vem dna-profilen avser.

Det klargörs att elimineringsdatabasen också får innehålla dnaprofiler som har påträffats vid en dna-analys och som inte kan hänföras till en identifierad person.

Utredningens förslag överensstämmer i sak med regeringens. Remissinstanserna: Ingen remissinstans invänder mot utredningens

förslag.

Skälen för regeringens förslag: Syftet med elimineringsdatabasen är att stärka kvaliteten i den rättsgenetiska verksamheten med dna-analyser

genom att kontamineringar kan upptäckas och utredas. För att det ska vara möjligt är det nödvändigt att elimineringsdatabasen innehåller dna-profiler från personer som riskerar att kontaminera material, lokaler eller dnaprover. Databasen bör dock inte ha ett mer omfattande innehåll än nödvändigt.

Dna-profilerna i elimineringsdatabasen bör endast få innehålla information om identitet och inte om personliga egenskaper. För att kunna utreda kontamineringar är det, särskilt för att kunna dra slutsatser om ett eventuellt behov av förändrade rutiner för verksamheten vid Rättsmedicinalverket som omfattar hantering av dna-prover, betydelsefullt att inte endast kunna se att en kontaminering kommer från en viss dnaprofil i elimineringsdatabasen, utan också att kunna identifiera den person som dna-profilen avser. Utöver dna-profiler bör databasen därför få innehålla uppgifter om vem en viss dna-profil avser. Av integritetsskäl bör endast en begränsad krets av personal vid Rättsmedicinalverket ha tillgång till uppgifter om vem en viss dna-profil tillhör. Enligt 2 kap. 5 § i den föreslagna lagen om Rättsmedicinalverkets behandling av personuppgifter ska tillgången till personuppgifter begränsas till det som var och en behöver för att kunna fullgöra sina arbetsuppgifter. Motsvarande bestämmelse finns i 3 kap. 6 § brottsdatalagen. Dessa bestämmelser gäller även för personuppgiftsbehandlingen i elimineringsdatabasen. Vidare föreslås en bestämmelse som upplyser om möjligheten för regeringen eller den myndighet som regeringen bestämmer att meddela närmare föreskrifter om tillgången till personuppgifter (se avsnitt 7.12).

Det förekommer att Rättsmedicinalverket vid dna-analyser påträffar en dna-profil som härrör från en kontaminering, men som inte finns i elimineringsdatabasen. Det är i sådana fall inte möjligt att hänföra profilen till en identifierad person. I syfte att utveckla och förbättra kvaliteten på dna-analyser är det av stor vikt att sådana dna-profiler får ingå i elimineringsdatabasen. Det är särskilt viktigt i de fall en sådan oidentifierad dna-profil förekommer i mer än en analys. Det kan då misstänkas att det är fråga om en upprepad kontaminering, t.ex. i ett tidigt leverantörsled. Mot denna bakgrund bör det klargöras att även dna-profiler som har påträffats vid en dna-analys och som inte kan hänföras till en identifierad person få ingå i Rättsmedicinalverkets elimineringsdatabas.

Prop. 2019/20:106

73

Prop. 2019/20:106 7.8 Provtagning
   
  Regeringens förslag: Anställda vid Rättsmedicinalverket och andra
  som återkommande kan komma i kontakt med och därigenom riskera
  att kontaminera material som används vid dna-analys, prover som ska
  bli föremål för sådan analys eller lokaler där analyser utförs, ska vara
  skyldiga att lämna prov för dna-analys i syfte att dna-profilen ska
  registreras i elimineringsdatabasen.
  Detsamma ska gälla även för andra personer, om de ska få tillträde
  till en lokal där dna-prover hanteras eller förvaras.
  Ett prov för dna-analys får inte användas för annat ändamål än det
  som provet togs för och ska förstöras senast sex månader efter det att
  provet togs.
  Prov ska tas i form av salivprov.
   
  Utredningens förslag överensstämmer med regeringens.
  Remissinstanserna: Polismyndigheten anser att det bör förtydligas att
  salivproverna som tas enligt lagen avser humanbiologiskt material
  eftersom det följer av den föreslagna lagen om hantering av
  humanbiologiskt material vid Rättsmedicinalverket att prover av
  humanbiologiskt material som har tagits i syfte att ingå i
  Rättsmedicinalverkets elimineringsdatabas inte omfattas av den
  föreslagna lagen. I övrigt yttrar sig ingen remissinstans i sak i denna del.
  Skälen för regeringens förslag: För att elimineringsdatabasen ska
  kunna fylla den funktion som är tänkt, är det nödvändigt att dna-profiler
  från vissa personkategorier registreras i databasen. Som redogörs för i
  avsnitt 7.2 är en skyldighet att lämna dna-prov en sådan begränsning av
  regeringsformens skydd mot påtvingade kroppsligt ingrepp som endast får
  göras för att tillgodose ändamål som är godtagbara i ett demokratiskt
  samhälle och aldrig får gå utöver vad som är nödvändigt med hänsyn till
  dess ändamål. Bestämmelser om skyldighet att lämna prov måste därför
  utformas så att de inte bli mer vidsträckta än nödvändigt.
  I första hand bör skyldigheten att lämna prov till elimineringsdatabasen
  avse vissa av Rättsmedicinalverkets anställda. I vart fall bör personer som
  arbetar vid Rättsmedicinalverkets rättsgenetiska enhet omfattas av denna
  skyldighet. Dessutom bör personal vid de rättsmedicinska enheterna
  omfattas, eftersom många prover som analyseras i det rättsgenetiska
  laboratoriet har tagits vid en rättsmedicinsk enhet och personalen där
  därför riskerat att kontaminera prover i samband med provtagning. En
  avgränsning till viss organisatorisk tillhörighet är dock inte ändamålsenlig
  eftersom Rättsmedicinalverkets organisation kan komma att förändras
  över tid. Dessutom skulle en sådan avgränsning innebära att
  personalkategorier inom dessa enheter omfattas av en skyldighet att lämna
  prover enbart eftersom de arbetar vid en viss enhet, trots att de inte utgör
  en reell kontamineringsrisk.
  Skyldigheten att lämna prov bör i stället omfatta de anställda vid
  Rättsmedicinalverket som kan komma i kontakt med, och därigenom
  riskera att kontaminera, material som används vid analyser, prover som
  ska analyseras eller lokaler där analyser görs. Denna skyldighet bör alltså
  gälla oberoende av vilken organisatorisk tjänsteplacering den anställde
74 har. Den närmare begränsningen av vilka som bör lämna prov för

registrering i elimineringsdatabasen bör regleras på lägre Prop. 2019/20:106 normgivningsnivå än lag, se avsnitt 7.12.

Även andra personer än anställda riskerar att kontaminera dnaanalysprocessen och kan behöva ingå i elimineringsdatabasen för att databasen ska fylla sitt syfte. Det rör sig om personer som av olika anledningar återkommande har tillträde till Rättsmedicinalverkets lokaler, som exempelvis lokalvårdare, servicetekniker och hantverkare. Det kan också vara personer som kommer i kontakt med material som används vid dna-analyser, t.ex. anställda hos leverantörer av laboratoriematerial. En skyldighet för andra än anställda att lämna dna-prov, bör begränsas till personer som verkligen utgör en kontamineringsrisk. Det gäller framför allt personer som regelbundet vistas i lokaler där dna hanteras eller förvaras och personer som arbetar hos materialleverantörer. Även för dessa personalkategorier bör den närmare avgränsningen av personkretsen regleras på lägre normgivningsnivå än lag.

För personer som mer tillfälligt kommer i kontakt med Rättsmedicinalverkets lokaler där dna hanteras eller förvaras, bör det finnas en möjlighet att som villkor för tillträde till en lokal kräva att besökaren lämnar dna-prov till elimineringsdatabasen. En förutsättning för detta bör dock vara att personens dna riskerar att kontaminera lokalen eller material eller prover som ska bli föremål för dna-analys.

Provtagning för dna-analys som ska ligga till grund för registrering i elimineringsdatabasen bör tas i form av salivprov. Provet får inte användas för något annat ändamål än det som provet togs för, dvs. för att dnaprofilen ska registreras i elimineringsdatabasen, och ska förstöras senast sex månader efter provtagningstillfället.

Förslaget till bestämmelserna om provtagning utformas i enlighet med

motsvarande bestämmelser i lagen om Polismyndighetens elimineringsdatabas.

Polismyndighetens synpunkt om förhållandet mellan den nu föreslagna lagen och utredningens förslag om lag om hantering av humanbiologiskt material vid Rättsmedicinalverket får regeringen återkomma till vid behandlingen av det förslaget (jfr avsnitt 3).

7.9Användning av elimineringsdatabasen

Regeringens förslag: En dna-profil från ett dna-prov som analyserats vid Rättsmedicinalverket ska få jämföras med dna-profiler i elimineringsdatabasen.

Även dna-profiler som har tagits fram för att kvalitetssäkra den rättsgenetiska verksamheten med dna-analyser ska få jämföras med dna-profiler i databasen.

Utredningens förslag överensstämmer med regeringens. Remissinstanserna: Ingen remissinstans yttrar sig särskilt i denna del. Skälen för regeringens förslag: En kontaminering kan visa sig i form

av en s.k. blandbild, dvs. att man vid analysen av ett prov får fram två olika dna-profiler. Genom en jämförelse med dna-profilerna i elimineringsdatabasen kan dna-profiler som finns i databasen uteslutas.

75

Prop. 2019/20:106 Det är emellertid inte endast i form av en blandbild som en kontaminering kan visa sig. Den dna-profil som kontaminerat ett prov kan också vara den enda profil man får fram vid analysen. Det är inte särskilt vanligt förekommande vid Rättsmedicinalverket, eftersom de flesta prover som analyseras är tagna under sådana förutsättningar att de normalt sett inte enbart innehåller den kontaminerande dna-profilen. Det går dock inte att utesluta att sådana situationer kan inträffa och användningen av elimineringsdatabasen bör därför inte begränsas till att enbart avse kontamineringar som visar sig i form av en blandbild.

Som ett led i att kvalitetssäkra den rättsgenetiska verksamheten med dna-analyser genomför Rättsmedicinalverket regelmässigt interna kontroller av sina rutiner. En dna-profil som tagits fram i kvalitetssäkrande syfte, ett s.k. kontrollprov, kan t.ex. tillföras i en analysprocess för att kontrollera att de rutiner man arbetar efter har avsedd funktion. En dnaprofil som har tagits fram för att kvalitetssäkra dna-analyser, måste kunna jämföras med dna-profiler i elimineringsdatabasen. En bestämmelse med denna innebörd bör därför införas i lagen. Förslaget till bestämmelse om användningen av s.k. kontrollprov i elimineringsdatabasen utformas väsentligen i enlighet med motsvarande bestämmelse i lagen om Polismyndighetens elimineringsdatabas.

  7.10 Längsta tid för behandling
   
  Regeringens förslag: Uppgifter i elimineringsdatabasen får behandlas
  så länge de behövs för att upptäcka och utreda om en persons dna kan
  ha kontaminerat material, prover eller lokaler.
  För uppgifter som rör anställda vid Rättsmedicinalverket ska gälla en
  längsta tid om två år efter det att det förhållande som grundade
  skyldigheten att lämna prov upphörde.
  Uppgifter som har registrerats i samband med att en person har fått
  tillträde till en lokal vid Rättsmedicinalverket, får inte behandlas längre
  än ett år efter det att uppgifterna registrerades.
  För uppgifter i övrigt gäller att de inte får behandlas längre än ett år
  efter det att förhållandet som grundade skyldigheten att lämna prov
  upphörde.
  Bestämmelsen om arkivlagstiftningens företräde i brottsdatalagen
  ska inte gälla vid tillämpning av paragrafen.
   
  Utredningens förslag överensstämmer i huvudsak med regeringens.
  Utredningen föreslår inget undantag från bestämmelsen om
  arkivlagstiftningens företräde i 2 kap. 17 § andra stycket brottsdatalagen.
  Remissinstanserna: Justitiekanslern påpekar att det är av vikt att så
  långt det är möjligt eftersträva en likartad systematik i alla de lagar och
  förordningar som reglerar personuppgiftsbehandling. Ingen remissinstans
  yttrar sig särskilt över förslaget.
  Skälen för regeringens förslag: Ett sätt att minska intrånget i den
  personliga integriteten, är att begränsa tiden som en dna-profil får
  behandlas i elimineringsdatabasen. Lagen bör därför innehålla
  bestämmelser om hur länge uppgifter i databasen får behandlas.
76 Utgångspunkten bör vara att en dna-profil inte får behandlas när profilen

inte längre behövs för syftet att upptäcka och utreda kontamineringar. Så Prop. 2019/20:106 kan vara fallet när en anställd vid Rättsmedicinalverket byter

arbetsuppgifter och inte längre kommer i kontakt med dna-hantering eller när en anställning upphör.

Rättsmedicinalverket bör fortlöpande följa upp vilka dna-profiler som behöver finnas i elimineringsdatabasen. Regeringen delar dock utredningens bedömning att det inte är tillräckligt med en allmän bestämmelse som innebär att uppgifter i databasen inte får behandlas när de inte längre behövs för sitt ändamål. Det behövs därutöver en reglering med tydliga tidsfrister för att förhindra att uppgifter behandlas under längre tid än vad som är nödvändigt. Vid bestämningen av hur lång tid uppgifter får behandlas, måste hänsyn å ena sidan tas till Rättsmedicinalverkets behov av att använda uppgifter i elimineringsdatabasen och det faktum att dna är mycket tidsbeständigt och kontamineringar därför kan ske lång tid efter det att dna har avsatts. Det är

åandra sidan nödvändigt att också beakta skyddet för den personliga integriteten. Risken för kontamineringar är större när det gäller anställda vid Rättsmedicinalverket än för andra personer som mer tillfälligt vistas i lokalerna. För Polismyndighetens elimineringsdatabas gäller att uppgifter som rör anställda inte får behandlas längre än två år efter det att det förhållande som grundade skyldigheten att lämna prov upphörde. Tiden för tillfälliga besökare har satts till ett år efter det att registreringen i databasen gjordes. När det gäller övriga som är skyldiga att lämna prov anger lagen om Polismyndighetens elimineringsdatabas att uppgifter inte får behandlas längre än ett år efter det att det förhållande som grundade skyldigheten att lämna prov upphörde. Dessa tidsgränser har visat sig ändamålsenliga och framstår som lämpliga och välavvägda även för Rättsmedicinalverkets elimineringsdatabas. En bestämmelse av denna innebörd bör därför införas i lagen som reglerar Rättsmedicinalverkets elimineringsdatabas.

Som Justitiekanslern påpekar är det av vikt att eftersträva likartad systematik i lagar om personuppgiftsbehandling. Bland annat därför bör lagen, liksom motsvarande lag för Polismyndigheten, innehålla ett

undantag från bestämmelsen om arkivlagstiftningens företräde i 2 kap. 17 § andra stycket brottsdatalagen (se prop. 2017/18:269 s. 389).

7.11 Skadestånd  
   
Regeringens förslag: Bestämmelserna om skadestånd i brottsdatalagen  
ska tillämpas vid behandling av personuppgifter inom brottsdatalagens  
område i strid med den föreslagna lagen eller föreskrifter som har  
meddelats i anslutning till den.  
Regeringens bedömning: Några särskilda bestämmelser om  
skadestånd behövs inte på dataskyddsförordningens område.  
   
Utredningens förslag överensstämmer i sak med regeringens förslag.  
Utredningen föreslår dock en annan lagteknisk lösning.  
Remissinstanserna: Ingen remissinstans yttrar sig särskilt i denna del.  
Skälen för regeringens förslag och bedömning: Artikel 82 i  
dataskyddsförordningen föreskriver att en person ska ha rätt till ersättning 77

Prop. 2019/20:106 för skada som denne har lidit till följd av en överträdelse av förordningen. Av skäl 146 i förordningen följer att med behandling som strider mot förordningen avses även behandling som strider mot medlemsstaternas nationella rätt med närmare specifikation av förordningens bestämmelser. I 7 kap. 1 § dataskyddslagen upplyses om detta, dvs. att rätten till ersättning enligt dataskyddsförordningen gäller även vid överträdelser av bestämmelser i dataskyddslagen och andra författningar som kompletterar dataskyddsförordningen. Eftersom den nu föreslagna lagen kompletterar dataskyddsförordningen behövs inte någon ytterligare bestämmelse om skadestånd på grund av överträdelser på förordningens område i lagen.

Brottsdatalagens bestämmelser om skadestånd föreslås i avsnitt 6.3.17 vara tillämpliga även vid behandling av personuppgifter i strid med lagen om Rättsmedicinalverkets behandling av personuppgifter eller föreskrifter som har meddelats i anslutning till den. Samma skadeståndsreglering bör gälla också för behandling av personuppgifter i strid med den lag som nu föreslås för Rättsmedicinalverkets elimineringsdatabas och föreskrifter meddelade i anslutning till den. För tydlighets skull anser regeringen, till skillnad från utredningen, att bestämmelsen i lagen om Rättsmedicinalverkets elimineringsdatabas bör hänvisa direkt till bestämmelserna om skadestånd i brottsdatalagen istället för att hänvisa till bestämmelser i lagen om Rättsmedicinalverkets behandling av personuppgifter. Bestämmelsen får då en utformning som motsvarar den som finns i lagen om Polismyndighetens elimineringsdatabas.

7.12Rätt att meddela föreskrifter

Regeringens förslag: I lagen ska det upplysas om att regeringen eller den myndighet som regeringen bestämmer kan meddela dels närmare föreskrifter om vilka personalkategorier vid Rättsmedicinalverket och vilka andra personkategorier enligt 6 och 7 §§ som är skyldiga att lämna prover för dna-analys till elimineringsdatabasen samt om tillgången till uppgifter i elimineringsdatabasen, dels föreskrifter om förfarandet vid överensstämmelse mellan en dna-profil i elimineringsdatabasen och en annan dna-profil.

  Utredningens förslag överensstämmer delvis med regeringens.
  Utredningen föreslår en upplysningsbestämmelse om att regeringen eller
  den myndighet som regeringen bestämmer med stöd av regeringens
  restkompetens enligt 8 kap. 7 § första stycket 2 regeringsformen kan
  meddela ytterligare föreskrifter om bl.a. vilka personalkategorier vid
  Rättsmedicinalverket och vilka andra personkategorier enligt 6 och 7 §§
  som är skyldiga att lämna prover för dna-analys till elimineringsdatabasen.
  Remissinstanserna: Ingen remissinstans yttrar sig särskilt i denna del.
  Skälen för regeringens förslag: Bestämmelserna om vilka kategorier
  av personal och andra personer som ska vara skyldiga att lämna prov till
  elimineringsdatabasen kan kräva en kompletterande reglering, som
  närmare preciserar vilka personkategorier som skyldigheten ska omfatta.
  Sådana kompletterande bestämmelser bör lämpligen meddelas på en lägre
  normgivningsnivå än lag. Enligt regeringen är det tillräckligt att
78 preciseringar av detta slag sker genom verkställighetsföreskrifter
(8 kap. 7 § första stycket 1 regeringsformen). I elimineringsdatabasen Prop. 2019/20:106
finns dna-profiler och uppgifter om vem en viss dna-profil avser. Av  

integritetsskäl bör det vara en begränsad krets vid Rättsmedicinalverket som har tillgång till uppgifterna. I 3 kap. 6 § brottsdatalagen och i den lag om Rättsmedicinalverkets behandling av personuppgifter som föreslås finns bestämmelser om att tillgången till personuppgifter ska begränsas till det som var och en behöver för att kunna fullgöra sina arbetsuppgifter. Dessa bestämmelser gäller även för personuppgiftsbehandling i Rättsmedicinalverkets elimineringsdatabas (se avsnitt 7.5). Hur den krets som ska ha tillgång till uppgifterna i databasen bör avgränsas närmare kan också lämpligen regleras genom verkställighetsföreskrifter. En bestämmelse som upplyser om detta bör därför införas.

Även frågan hur Rättsmedicinalverket bör förfara vid överensstämmelser mellan en dna-profil i elimineringsdatabasen och en annan dna-profil bör regleras på lägre normgivningsnivå än lag. Det bör införas en bestämmelse som upplyser om att regeringen eller den myndighet som regeringen bestämmer, med stöd av 8 kap. 7 § regeringsformen, kan meddela sådana föreskrifter.

7.13Sekretess för uppgifter i elimineringsdatabasen

Regeringens bedömning: Det behöver inte införas någon särskild bestämmelse om sekretess för uppgifter i Rättsmedicinalverkets elimineringsdatabas.

Utredningens bedömning överensstämmer med regeringens.  
Remissinstanserna: Kammarrätten i Stockholm ifrågasätter  
utredningens bedömning att uppgifter i Rättsmedicinalverkets  
elimineringsdatabas omfattas av 25 kap. 1 § offentlighets- och  
sekretesslagen (2009:400), OSL, och föreslår införandet av en särskild  
bestämmelse i OSL som reglerar sekretessen i elimineringsdatabasen  
alternativt ett tydliggörande i 25 kap. 1 § OSL. I övrigt yttrar sig ingen  
remissinstans särskilt över bedömningen.  
Skälen för regeringens bedömning: I elimineringsdatabasen kommer  
det att registreras uppgifter om enskilda vars dna-profiler ingår i  
databasen. Det framstår som angeläget att dessa uppgifter kan omfattas av  
sekretess. För Polismyndighetens elimineringsdatabas finns bestämmelser  
i 35 kap. 19 a § OSL, av vilken framgår att sekretess gäller hos  
Polismyndigheten för uppgift om en enskilds personliga förhållanden om  
uppgiften förekommer i den elimineringsdatabas som förs enligt lagen om  
Polismyndighetens elimineringsdatabas eller annars behandlas med stöd  
av samma lag, om det inte står klart att uppgiften kan röjas utan att den  
enskilde eller någon närstående till honom eller henne lider men.  
I 35 kap. 1 § OSL finns bestämmelser om att sekretess gäller för uppgift  
om en enskilds personliga och ekonomiska förhållanden, om det inte står  
klart att uppgiften kan röjas utan att den enskilde eller någon närstående  
till honom eller henne lider skada eller men och uppgiften förekommer i  
bl.a. register som förs av Polismyndigheten enligt 5 kap. lagen  
(2018:1693) om polisens behandling av personuppgifter inom  
brottsdatalagens område. Tidigare hänvisade 35 kap. 1 § OSL i stället till 79

Prop. 2019/20:106 4 kap. i den då gällande polisdatalagen (2010:361). Ursprungligen var tanken att Polismyndighetens elimineringsdatabas skulle regleras i den tidigare polisdatalagen och elimineringsdatabasen skulle då ha omfattats av sekretessbestämmelserna i 35 kap. 1 § OSL. När Polismyndighetens elimineringsdatabas i stället reglerades i en särskild lag, infördes samtidigt sekretessbestämmelsen i 35 kap. 19 a § OSL (prop. 2013/14:110 s. 523).

Mot bakgrund av det anförda är frågan om en särskild bestämmelse som

reglerar sekretessen för uppgifter i Rättsmedicinalverkets elimineringsdatabas bör införas. Av 25 kap. 1 § OSL framgår att sekretess gäller inom hälso- och sjukvården för uppgift om en enskilds hälsotillstånd eller andra personliga förhållanden, om det inte står klart att uppgiften kan röjas utan att den enskilde eller någon närstående till denne lider men. Detsamma gäller i annan medicinsk verksamhet, exempelvis rättsmedicinsk och rättspsykiatrisk undersökning. Med annan medicinsk verksamhet åsyftas verksamhet som inte primärt har vård- eller behandlingssyfte. Det kan exempelvis röra sig om verksamhet som bedrivs hos Rättsmedicinalverket (se Lenberg, Geijer och Tansjö, Offentlighets- och sekretesslagen [29 maj 2018, Zeteo], kommentaren till 25 kap. 1 §). Syftet med Rättsmedicinalverkets elimineringsdatabas är att stärka kvaliteten i den rättsgenetiska verksamheten med dna-analyser. Regeringen delar utredningens bedömning att denna verksamhet utgör sådan annan medicinsk verksamhet som avses i 25 kap. 1 § OSL. Uppgifter om enskildas hälsotillstånd eller andra personliga förhållanden som finns i Rättsmedicinalverkets elimineringsdatabas omfattas därigenom av den bestämmelsen. Regeringen anser därför, till skillnad från Kammarrätten i Stockholm, inte att det finns något behov av en särskild sekretessreglering som tar sikte enbart på elimineringsdatabasen eller något förtydligande i 25 kap. 1 § OSL.

8Ikraftträdande- och övergångsbestämmelser

80

Regeringens förslag: Lagarna ska träda i kraft den 1 juli 2020. I lagen om Rättsmedicinalverkets behandling av personuppgifter ska bestämmelserna om sanktionsavgifter på brottsdatalagens område endast tillämpas på överträdelser som inträffat efter ikraftträdandet.

Dna-profiler som ingår i den nuvarande elimineringsdatabasen ska kunna registreras i den nya elimineringsdatabasen om den registrerade godtar det. De dna-profiler som inte förs över till elimineringsdatabasen ska gallras senast den 1 januari 2021.

Regeringens bedömning: I lagen om Rättsmedicinalverkets behandling av personuppgifter behövs inte några övergångsbestämmelser avseende sanktionsavgifter på dataskyddsförordningens område. Det behövs inte heller några övergångsbestämmelser i fråga om skadestånd vare sig i lagen om Rättsmedicinalverkets behandling av personuppgifter eller i lagen om Rättsmedicinalverkets elimineringsdatabas.

Utredningens förslag och bedömning överensstämmer delvis med regeringens. Utredningen föreslår att det i lagen om Rättsmedicinalverkets behandling av personuppgifter ska finnas en övergångsbestämmelse avseende sanktionsavgifter på dataskyddsförordningens område samt att det ska finnas en övergångsbestämmelse som anger att äldre bestämmelser om skadestånd ska fortsätta att gälla för skada som har orsakats före ikraftträdandet.

Utredningen föreslår vidare att det i lagen om Rättsmedicinalverkets elimineringsdatabas ska finnas en övergångsbestämmelse som anger att bestämmelserna om skadestånd endast ska tillämpas på skada som inträffat efter ikraftträdandet.

Remissinstanserna yttrar sig inte särskilt över förslagen.

Skälen för regeringens förslag och bedömning

Ikraftträdande

För personuppgiftsbehandling i Rättsmedicinalverkets verksamhet ska såväl dataskyddsförordningen och dataskyddslagen som brottsdatalagen tillämpas. Dataskyddsförordningen tillämpas sedan den 25 maj 2018 och samma datum trädde dataskyddslagen i kraft. Brottsdatalagen, som genomför dataskyddsdirektivet, trädde i kraft den 1 augusti 2018. Dataskyddslagen och brottsdatalagen ska gälla om inte annat följer av lagen om Rättsmedicinalverkets personuppgiftsbehandling eller föreskrifter som har meddelats i anslutning till lagen. Den sistnämnda lagen bör träda i kraft så snart som möjligt. Rättsmedicinalverket måste dock ges möjlighet att anpassa sig till den nya regleringen och bl.a. göra nödvändiga systemanpassningar. Regeringen föreslår mot den bakgrunden att lagen om Rättsmedicinalverkets behandling av personuppgifter ska träda i kraft den 1 juli 2020. I de delar lagen om Rättsmedicinalverkets elimineringsdatabas inte utgör en särreglering i förhållande till lagen om Rättsmedicinalverkets behandling av personuppgifter ska sistnämnda reglering gälla även för den behandling av personuppgifter som sker i elimineringsdatabasen. De båda lagarna bör därför träda i kraft samma datum.

Övergångsbestämmelser angående sanktionsavgifter och skadestånd

Enligt ikraftträdande- och övergångsbestämmelserna till brottsdatalagen får en sanktionsavgift inte tas ut för överträdelser som har skett före ikraftträdandet. Äldre föreskrifter ska i stället fortsätta att gälla för sådana överträdelser (prop. 2017/18:232 s. 426). Vissa överträdelser av

bestämmelser på brottsdatalagens område i lagen om Rättsmedicinalverkets personuppgiftsbehandling eller föreskrifter meddelade i anslutning till den, ska också kunna leda till sanktionsavgifter (se avsnitt 6.3.16). I lagen behövs därför motsvarande övergångsbestämmelse angående sanktionsavgifter som i brottsdatalagen (prop. 2017/18:269 s. 284).

På dataskyddsförordningens område föreslås inte några bestämmelser om sanktionsavgifter utöver de som finns i förordningen och i dataskyddslagen (se avsnitt 6.3.16). Det finns därför inget behov av övergångsbestämmelser. Regeringen gör alltså, till skillnad från

Prop. 2019/20:106

81

Prop. 2019/20:106 utredningen, bedömningen att någon övergångsbestämmelse avseende sanktionsavgifter på förordningens område inte behövs i lagen om Rättsmedicinalverkets behandling av personuppgifter.

Utredningen föreslår en övergångsbestämmelse i lagen om Rättsmedicinalverkets behandling av personuppgifter som anger att äldre föreskrifter om skadestånd fortfarande ska gälla för skada som har orsakats vid behandling av personuppgifter före ikraftträdandet. I lagen om Rättsmedicinalverkets elimineringsdatabas föreslår utredningen vidare en övergångsbestämmelse som anger att bestämmelserna om skadestånd endast ska tillämpas på skada som inträffat efter ikraftträdandet. Det har dock i tidigare lagstiftningsärenden ansetts att det saknas ett behov av sådana övergångsbestämmelser (se t.ex. prop. 2017/18:105 s. 176). Regeringen gör inte nu någon annan bedömning. Utredningens förslag i den delen bör därför inte genomföras.

Övergångsbestämmelser angående den befintliga elimineringsdatabasen

Som redogörs för i avsnitt 7.1 finns redan i dag en elimineringsdatabas vid Rättsmedicinalverket. Samtycke har ansetts vara en grund för behandling av personuppgifterna i databasen. Möjligheten för myndigheter att grunda behandling av personuppgifter på samtycke är dock begränsad. För personer som tidigare samtyckt till provtagning och vars dna-profiler finns i den befintliga databasen, framstår det dock som ändamålsenligt att inte behöva göra om provtagningen för att dna-profilerna ska kunna registreras i den nya elimineringsdatabasen. Regeringen delar utredningens bedömning att det bör finnas en möjlighet för registrerade att godta att befintliga dna-profiler förs över till den nya databasen. Den bedömningen gjorde också regeringen när övergångsbestämmelser till lagen om Polismyndighetens elimineringsdatabas infördes (prop. 2013/400:110 s. 468–470). De registrerade bör kunna meddela att man godtar detta under en viss övergångsperiod. Dna-profiler som inte förs över till den nya databasen ska efter denna period gallras. En övergångsbestämmelse av denna innebörd bör därför införas. Personer som inte godtar överföringen av dna-profiler, men som samtidigt enligt lagförslaget omfattas av en skyldighet att lämna dna-prov, ska behandlas på samma sätt som om de inte tidigare lämnat något prov.

9Konsekvenser av förslagen

Regeringens bedömning: För Rättsmedicinalverket kommer förslagen att kräva utbildning och systemanpassningar. Kostnaderna för utbildning ryms inom befintliga anslag.

Förslagen innebär en förstärkning av skyddet för enskildas personliga integritet.

Förslagen förväntas inte få några direkta effekter på brottsligheten. Förslagen har inte någon påverkan på jämställdheten mellan män och

kvinnor eller på möjligheterna att nå de integrationspolitiska målen.

82 Utredningens bedömning överensstämmer med regeringens.

Remissinstanserna: Ingen av remissinstanserna invänder mot utredningens bedömning.

Skälen för regeringens bedömning: Inledningsvis kan det konstateras att konsekvenserna av den EU-rättsliga dataskyddsreformen i sin helhet inte analyseras inom ramen för den här propositionen. Analysen av konsekvenser omfattar endast de förslag som föreslås här, nämligen lagen om Rättsmedicinalverkets behandling av personuppgifter och lagen om Rättsmedicinalverkets elimineringsdatabas.

Regeringens förslag till lag om Rättsmedicinalverkets behandling av personuppgifter och lag om Rättsmedicinalverkets elimineringsdatabas innebär att helt ny lagstiftning kommer att gälla på de områden som förslagen omfattar. Myndighetens tillämpning av dessa bestämmelser kommer att kräva systemanpassningar och utbildning av de medarbetare som ska tillämpa reglerna. Kostnader för utbildning innefattas normalt av myndigheters anslag och de förslag regeringen lämnar får därför rymmas inom befintliga kostnadsramar för Rättsmedicinalverket. På motsvarande sätt är det med systemanpassningarna. Den nya lagstiftning som föreslås kan komma att kräva nya interna föreskrifter och styrande dokument inom Rättsmedicinalverket. Att ta fram sådant material ingår i de normala uppgifterna för myndigheter. Genom regeringens förslag får verket lagstiftning som är direkt anpassad till verksamheten. Även om införandet av framför allt lagen om Rättsmedicinalverkets behandling av personuppgifter åtminstone inledningsvis kommer att kräva utbildning och information om de nya bestämmelserna, bör lagstiftningen på sikt underlätta för myndigheten.

Ett grundläggande syfte med den EU-rättsliga dataskyddsreformen är att stärka integritetsskyddet för enskilda och ge dem bättre möjligheter att kunna kontrollera hur behandlingen av personuppgifter sker. Brottsdatalagen respektive dataskyddslagen syftar också till att stärka skyddet för den enskildes personliga integritet. Genom de lagar som

föreslås införs tydligare ramar och förutsättningar för Rättsmedicinalverkets behandling av personuppgifter. En förtydligad reglering som är anpassad efter Rättsmedicinalverkets särskilda behov innebär mindre risker för otillåten behandling av personuppgifter. Lagarna innehåller även skyddsåtgärder i syfte att värna enskildas personliga integritet. Sammantaget är det regeringens bedömning att förslagen kommer att förstärka skyddet för enskildas personliga integritet.

Regeringen bedömer att de förslag som nu läggs fram inte kan förväntas medföra några direkta effekter på brottsligheten (jfr prop. 2017/18:232 s. 421). Däremot kan förbättrade möjligheter till informationsutbyte mellan Rättsmedicinalverket och brottsbekämpande myndigheter och andra myndigheter som lämnar uppdrag till verket få positiva effekter för uppdragsgivarnas verksamhet.

Regeringen bedömer att förslagen inte har någon påverkan på jämställdheten mellan män och kvinnor och att de inte heller kommer att påverka möjligheterna att nå de integrationspolitiska målen.

Prop. 2019/20:106

83

Prop. 2019/20:106 10 Författningskommentar

10.1Förslaget till lag om Rättsmedicinalverkets behandling av personuppgifter

1 kap. Allmänna bestämmelser

Lagens tillämpningsområde

1 § Denna lag gäller vid behandling av personuppgifter i Rättsmedicinalverkets verksamhet.

Lagen gäller endast om behandlingen är helt eller delvis automatiserad eller om personuppgifterna ingår i eller kommer att ingå i ett register.

Paragrafen innehåller en reglering av lagens tillämpningsområde. Övervägandena finns i avsnitt 6.3.6.

I första stycket slås fast att lagen reglerar den behandling av personuppgifter som sker i Rättsmedicinalverkets verksamhet. Lagen gäller oavsett inom vilket av Rättsmedicinalverkets verksamhetsområden och i vilken ärendetyp behandlingen sker. Även behandling av en utomstående aktör som Rättsmedicinalverket gett i uppdrag att utföra en uppgift som åvilar verket sker i verkets verksamhet och faller således inom lagens tillämpningsområde. Viss behandling av personuppgifter vid Rättsmedicinalverket regleras dock i annan lagstiftning, vilket framgår av 5 §. Med begreppet personuppgift avses samma sak som i artikel 4.1 i Europarlamentets och rådets förordning (EU) 2016/679 av den 27 april 2016 om skydd för fysiska personer med avseende på behandling av personuppgifter och om det fria flödet av sådana uppgifter och om upphävande av direktiv 95/46/EG (allmän dataskyddsförordning), härefter dataskyddsförordningen, och i 1 kap. 6 § brottsdatalagen (2018:1177).

Att bestämmelserna i lagen, i tillämpliga delar, också gäller behandling av uppgifter om avlidna personer, framgår av 7 §.

Andra stycket begränsar lagens tillämpningsområde till helt eller delvis automatiserad behandling av personuppgifter och manuell behandling om personuppgifterna ingår i eller kommer att ingå i ett register. För helt eller delvis automatiserad behandling krävs det alltså inte att personuppgifterna ingår i eller är avsedda att ingå i ett register för att lagen ska vara tillämplig. Även behandling av personuppgifter i löptext omfattas således när det är fråga om automatiserad behandling.

Begreppet register definieras likalydande i artikel 4.6 i dataskyddsförordningen och i artikel 3 i dataskyddsdirektivet. I stället för registerbegreppet används i brottsdatalagen uttrycket en strukturerad samling av personuppgifter som är tillgängliga för sökning eller sammanställning enligt särskilda kriterier för att avgränsa brottsdatalagens tillämpningsområde (1 kap. 3 §). Innebörden av de båda begreppen är dock densamma.

Lagens uppbyggnad

2 § I detta kapitel finns allmänna bestämmelser om behandling av personuppgifter i Rättsmedicinalverkets verksamhet.

84

Bestämmelserna i 2 kap. gäller vid behandling av personuppgifter inom det Prop. 2019/20:106 område som omfattas av Europaparlamentets och rådets förordning (EU) 2016/679

av den 27 april 2016 om skydd för fysiska personer med avseende på behandling av personuppgifter och om det fria flödet av sådana uppgifter och om upphävande av direktiv 95/46/EG (allmän dataskyddsförordning), här benämnd EU:s dataskyddsförordning.

Bestämmelserna i 3 kap. gäller vid behandling av personuppgifter inom det område som omfattas av brottsdatalagen (2018:1177).

Paragrafen innehåller en beskrivning av lagens uppbyggnad.

Av första stycket framgår att 1 kap. innehåller allmänna bestämmelser, som är tillämpliga oavsett om personuppgiftsbehandlingen i Rättsmedicinalverkets verksamhet faller inom dataskyddsförordningens eller brottsdatalagens tillämpningsområde.

I andra stycket anges att bestämmelser som gäller för behandling av personuppgifter på dataskyddsförordningens område finns i 2 kap.

Tredje stycket anger att bestämmelser som gäller för behandling av personuppgifter på brottsdatalagens område finns i 3 kap.

Förhållandet till annan reglering

3 § Denna lag kompletterar EU:s dataskyddsförordning.

Vid behandling av personuppgifter enligt denna lag gäller lagen (2018:218) med kompletterande bestämmelser till EU:s dataskyddsförordning och föreskrifter som har meddelats i anslutning till den lagen, om inte annat följer av denna lag eller föreskrifter som har meddelats i anslutning till lagen.

Paragrafen upplyser om att lagen kompletterar dataskyddsförordningen och anger hur lagen förhåller sig till lagen (2018:218) med kompletterande bestämmelser till EU:s dataskyddsförordning, härefter dataskyddslagen, och föreskrifter som har meddelats i anslutning till den lagen. Övervägandena finns i avsnitt 5.1 och 6.3.2.

Dataskyddsförordningen utgör den generella regleringen av personuppgiftsbehandling inom EU. Förordningen är direkt tillämplig i varje medlemsstat. Av artikel 2.2 d i förordningen framgår att förordningen inte ska tillämpas på behandling av personuppgifter som behöriga myndigheter utför i syfte att förebygga, förhindra, utreda, avslöja eller lagföra brott eller verkställa straffrättsliga påföljder, i vilket även ingår att skydda mot samt förebygga och förhindra hot mot den allmänna säkerheten. Dataskyddsförordningen är således inte tillämplig i de fall då brottsdatalagen är tillämplig. Vad gäller gränsdragningen mellan behandling av personuppgifter i Rättsmedicinalverkets verksamhet inom dataskyddsförordningens respektive brottsdatalagens område, se författningskommentaren till 4 §.

I första stycket anges att lagen kompletterar dataskyddsförordningen. Av

2 § framgår att det är lagens första och andra kapitel som kompletterar dataskyddsförordningen. Att dataskyddsförordningen är direkt tillämplig i varje medlemsstat innebär att den automatiskt är en del av den svenska rättsordningen. I vissa avseenden förutsätter eller tillåter

dataskyddsförordningen emellertid att medlemsstaterna inför bestämmelser som kompletterar förordningen, antingen i form av

preciseringar eller i form av undantag. Denna lag innehåller sådana

85

Prop. 2019/20:106 kompletterande bestämmelser som gäller för behandling av

personuppgifter i Rättsmedicinalverkets verksamhet på dataskyddsförordningens område. Hänvisningarna i lagen till dataskyddsförordningen är dynamiska, dvs. de avser förordningen i dess vid varje tidpunkt gällande lydelse.

I andra stycket klargörs att dataskyddslagen och föreskrifter som har meddelats i anslutning till den lagen gäller vid behandling av personuppgifter på dataskyddsförordningens område enligt denna lag. Av 2 § framgår att det är lagens första och andra kapitel som tillämpas vid behandling av personuppgifter på förordningens område. Dataskyddslagen och dess föreskrifter gäller endast om inte något annat följer av denna lag eller av föreskrifter som har meddelats i anslutning till lagen.

4 § När Rättsmedicinalverket i egenskap av behörig myndighet enligt 1 kap. 6 § brottsdatalagen (2018:1177) behandlar personuppgifter enligt denna lag i syfte att förebygga, förhindra eller upptäcka brottslig verksamhet, utreda eller lagföra brott eller verkställa straffrättsliga påföljder gäller brottsdatalagen och föreskrifter som har meddelats i anslutning till den lagen, om inte annat följer av denna lag eller föreskrifter som har meddelats i anslutning till lagen.

  Paragrafen upplyser om lagens förhållande till brottsdatalagen och
  föreskrifter som har meddelats i anslutning till den lagen. Övervägandena
  finns i avsnitt 5.1, 6.2 och 6.3.2.        
  Vid behandling av personuppgifter i Rättsmedicinalverkets verksamhet
  kan både dataskyddsförordningen och dataskyddsdirektivet, som i svensk
  rätt genomförts genom brottsdatalagen, vara tillämpliga.    
  När Rättsmedicinalverket som behörig myndighet behandlar
  personuppgifter för något av de syften som anges i paragrafen är
  brottsdatalagen och föreskrifter som har meddelats i anslutning till den
  lagen tillämpliga på behandlingen. Begreppet behörig myndighet
  definieras i 1 kap. 6 § brottsdatalagen som en myndighet som har till
  uppgift att förebygga, förhindra eller upptäcka brottslig verksamhet,
  utreda eller lagföra brott, verkställa straffrättsliga påföljder eller
  upprätthålla allmän ordning och säkerhet, när myndigheten behandlar
  personuppgifter för ett sådant syfte. En behörig myndighet i
  brottsdatalagens mening kan också vara en annan aktör som anförtrotts
  myndighetsutövning för något av de nyssnämnda syftena, när den
  behandlar personuppgifter för dessa syften.      
  Att brottsdatalagen gäller om inte annat följer av lagen eller föreskrifter
  som har meddelats i anslutning till den innebär att brottsdatalagen gäller
  när Rättsmedicinalverket behandlar personuppgifter för de syften som
  anges i paragrafen medan förevarande lag endast innehåller bestämmelser
  som innebär preciseringar, undantag eller avvikelser från brottsdatalagen.
  Bestämmelserna i lagen måste följaktligen läsas tillsammans med
  regleringen i brottsdatalagen och tolkas i ljuset av den regleringen.  
  För Rättsmedicinalverkets del gäller således för
  personuppgiftsbehandling inom brottsdatalagens tillämpningsområde bl.a.
  brottsdatalagens grundläggande bestämmelser om krav på behandlingen,
  den personuppgiftsansvariges skyldigheter, enskildas rättigheter, tillsyn
  över personuppgiftsbehandlingen, administrativa sanktionsavgifter och
86 rättsmedel samt överföring av personuppgifter till tredjeland och
           

internationella organisationer, med de kompletterande bestämmelser som finns i 1 och 3 kap. i denna lag.

För att kunna avgöra om en viss behandling av personuppgifter vid Rättsmedicinalverket faller inom dataskyddsförordningens eller brottsdatalagens tillämpningsområde, är det nödvändigt att veta i vilket syfte en viss uppgift behandlas. Om syftet med behandlingen upphör att vara t.ex. att förebygga, förhindra eller upptäcka brottslig verksamhet, utreda eller lagföra brott eller verkställa straffrättsliga påföljder, är inte brottsdatalagen längre tillämplig. Behandling av personuppgifter som krävs för att avsluta ett ärende får dock fortfarande ske med stöd av brottsdatalagen (prop. 2017/18:232 s. 113).

Nedan följer exempel på vilket regelverk – dataskyddsförordningen eller brottsdatalagen – som typiskt sett bör vara tillämpligt vid personuppgiftsbehandling i olika ärendetyper vid Rättsmedicinalverket. För bedömningen av olika gränsdragningsfrågor, se även prop. 2017/18:232 s. 109–113.

På det rättsmedicinska området utgörs verksamheten bl.a. av genomförandet av obduktioner. Rättsmedicinska obduktioner utförs på uppdrag av Polismyndigheten eller allmän åklagare. En rättsmedicinsk obduktion kan genomföras bl.a. om det kan antas vara av betydelse för utredningen av ett dödsfall som inträffat under sådana omständigheter att det inte skäligen kan bortses från möjligheten att dödsfallet har samband med ett brott. Vid majoriteten av de rättsmedicinska obduktionerna är syftet med personuppgiftsbehandlingen sådant att det faller inom brottsdatalagens tillämpningsområde.

En rättsmedicinsk undersökning får göras för att fastställa en avlidens identitet. Om det från början står klart att det inte finns någon

brottsmisstanke ska dataskyddsförordningen tillämpas på personuppgiftsbehandlingen. I fall där identifieringsärendet involverar en brottsmisstanke är i stället brottsdatalagen tillämplig.

Vid Rättsmedicinalverket genomförs rättsmedicinska åldersbedömningar på uppdrag av Migrationsverket inom ramen för ansökningar om uppehållstillstånd. Sådana ärenden hör regelmässigt till dataskyddsförordningens tillämpningsområde. När det däremot gäller rättsmedicinska åldersbedömningar som genomförs inom ramen för en förundersökning eller ett brottmål, styrs personuppgiftsbehandlingen i stället av brottsdatalagens bestämmelser.

Rättsmedicinska undersökningar av misstänkta gärningsmän och målsägande genomförs vid Rättsmedicinalverket i syfte att i rättsintyg dokumentera skador som kan ha uppkommit i samband med brott. De personuppgifter som behandlas i sådana ärenden är hänförliga till brottsdatalagens tillämpningsområde.

I den mån rättsodontologiska undersökningar genomförs för identifiering av avlidna personer där det inte finns någon misstanke om brott, är dataskyddsförordningen tillämplig. Inom ramen för en förundersökning kan Rättsmedicinalverket få i uppdrag att genomföra bitmärkes- eller tandskadeanalyser. I dessa fall ska i stället brottsdatalagen tillämpas.

På det rättsmedicinska verksamhetsområdet omhändertas vävnader för transplantationsändamål. Prover som tagits i samband med rättsmedicinska undersökningar kan också tas tillvara för att användas vid

Prop. 2019/20:106

87

Prop. 2019/20:106 den forskning som bedrivs vid Rättsmedicinalverket. Det humanbiologiska material som det här är fråga om hanteras således inledningsvis i ett obduktionsärende. Vilka bestämmelser som är tillämpliga på den personuppgiftsbehandling som sker då, får avgöras enligt de kriterier som fastställts när det gäller själva obduktionen. Den fortsatta hanteringen av vävnaderna, både när det gäller transplantationer och när det gäller forskning, får anses vara så pass separerad från det tidigare obduktionsärendet, att den behandling av personuppgifter som därefter sker, inte påverkas av vilka bestämmelser som gällde för behandlingen av personuppgifter vid obduktionen. Syftet med personuppgiftsbehandlingen vid donationsverksamheten och vid forskningen är inte sådant att brottsdatalagen är tillämplig. I stället ska dataskyddsförordningen tillämpas.

Inom Rättsmedicinalverkets rättspsykiatriska verksamhetsområde genomförs, på uppdrag av domstol, rättspsykiatriska undersökningar enligt lagen (1991:1137) om rättspsykiatrisk undersökning. Dessutom genomför Rättsmedicinalverket undersökningar i syfte att lämna ett s.k.

  § 7-intyg enligt lagen (1991:2041) om särskild personutredning i brottmål,
  m.m. Dessa undersökningar är av stor betydelse när domstol, vid en
  fällande dom, ska bestämma påföljd. Syftet med behandlingen av
  personuppgifter i sådana rättspsykiatriska ärenden får således anses vara
  att lagföra brott. Rättsmedicinalverkets personuppgiftsbehandling faller i
  denna del därför inom brottsdatalagens tillämpningsområde.
  I ärenden enligt lagen (2006:45) om omvandling av fängelse på livstid
  genomför Rättsmedicinalverket utredningar med utlåtanden om risken för
  att den dömde återfaller i brottslighet. Behandlingen av personuppgifter i
  sådana ärenden utförs i syfte att bestämma om ett livstidsstraff ska
  tidsbestämmas och gäller därför verkställighet av en straffrättslig påföljd.
  Det är således fråga om ett sådant syfte som avses i brottsdatalagen.
  Inom det rättskemiska verksamhetsområdet utför Rättsmedicinalverket
  en rad olika analyser av humanbiologiskt material, t.ex. blod och urin, för
  att undersöka förekomsten av alkohol, narkotika, läkemedel och gifter.
  Uppdragen på detta område kommer huvudsakligen från verkets
  rättsmedicinska enheter, Polismyndigheten, Kriminalvården,
  Kustbevakningen och Tullverket. Analyser genomförs också på uppdrag
  av hälso- och sjukvården samt från huvudmän för missbruks- eller
  ungdomsvård. I ärenden där analyser genomförs som ett led i en utredning
  avseende misstanke om brott behandlas personuppgifter för sådana syften
  som gör brottsdatalagens bestämmelser tillämpliga. Det kan exempelvis
  röra s.k. internremisser, då en rättskemisk analys genomförs i samband
  med en rättsmedicinsk obduktion, eller analyser som görs i samband med
  att Rättsmedicinalverket utfärdar rättsintyg. Vid sådana internremisser bör
  de bestämmelser för personuppgiftsbehandling som gäller för
  grundärendet gälla även för de analyser som genomförs inom rättskemin,
  dvs. i de nu lämnade exemplen faller behandlingen av personuppgifter
  inom brottsdatalagens tillämpningsområde. Ytterligare ett exempel på när
  nyssnämnda regelverk är tillämpligt är då Rättsmedicinalverket genomför
  rättskemiska analyser när det t.ex. finns en bakomliggande misstanke om
  narkotikabrott eller rattfylleribrott. Vid toxikologiska analyser i samband
  med kliniska obduktioner är presumtionen däremot den motsatta – som
88 huvudregel är dataskyddsförordningen tillämplig.  

En kategori av analyser som genomförs inom Rättsmedicinalverkets rättskemiska verksamhet är de s.k. drogfrihetsanalyserna. Syftet med dessa analyser är att undersöka om ett prov innehåller spår av alkohol, narkotika eller någon annan substans och uppdragsgivare är oftast Kriminalvården, missbruks- eller ungdomsvården, socialtjänsten eller hälso- och sjukvården. I de fall då ett prov visar sig innehålla spår av narkotika eller någon annan otillåten substans, kan det potentiellt vara fråga om ett brott. Syftet med analysen, och därigenom syftet med behandlingen av personuppgifter i samband därmed, är dock normalt inte att upptäcka brottslig verksamhet eller utreda brott. Som huvudregel bör gälla att dataskyddsförordningens bestämmelser ska tillämpas om syftet med drogfrihetsanalysen närmast är av skötsamhetskaraktär, om den utförs av medicinska skäl eller som ett led i missbruksvård. Skulle det visa sig att ett analyserat prov innehåller spår av narkotika eller något annat ämne som är förbjudet att bruka, kan det bli ett polisärende med efterföljande förundersökning. Att så kan bli fallet, bör dock inte leda till att behandlingen av personuppgifter redan vid den inledande drogfrihetsanalysen ska anses ha brottsutredande syfte. Den behandling av personuppgifter som sker i ärenden om drogfrihetsanalyser som görs inom ramen för verkställighet av en straffrättslig påföljd faller dock inom brottsdatalagens tillämpningsområde. Exempel på sådana prov är de som analyseras på begäran av Kriminalvården om provet avser en person som är intagen på kriminalvårdsanstalt eller som på något annat sätt verkställer en straffrättslig påföljd. Provtagningen, som normalt sett inte genomförs av Rättsmedicinalverket, är ett led i straffverkställigheten och verket fyller vid analysen av provet från Kriminalvården en sådan stödfunktion som behandlas i avsnitt 6.2.

Den rättsgenetiska verksamhetens huvuduppgift är att genom dnabaserade analyser utreda faderskap eller annat släktskap. En viktig ärendetyp utgörs också av identifieringsärenden. På uppdrag av hälso- och sjukvården genomförs dessutom vissa analyser. I den mån

Rättsmedicinalverkets rättsgenetiska kompetens används vid brottsutredningar, exempelvis dna-analyser för identifiering av en död person, där andra metoder för identifiering inte är möjlig, kommer personuppgiftsbehandlingen att styras av brottsdatalagens bestämmelser.

Dna-analyser som genomförs inom ramen för en faderskaps- eller släktskapsutredning har sällan ett brottsutredande eller motsvarande syfte. Utgångspunkten är därför att dataskyddsförordningen är tillämplig på Rättsmedicinalverkets behandling av personuppgifter i sådana ärenden. Så är också regelmässigt fallet med rättsgenetiska undersökningar som utförs på uppdrag av hälso- och sjukvården.

Vid Rättsmedicinalverket förekommer också behandling av personuppgifter i olika administrativa system. Det gäller främst system och program som används för att hantera personalfrågor, ekonomiadministration och andra administrativa frågor, som t.ex. inköp av material. För sådan behandling av personuppgifter gäller dataskyddsförordningen.

Behandling av personuppgifter sker vidare i vissa säkerhetsadministrativa system. Det kan exempelvis gälla uppgifter om besökare. Utgångspunkten för behandling av sådana uppgifter är att de faller under dataskyddsförordningens tillämpningsområde.

Prop. 2019/20:106

89

Prop. 2019/20:106 Syftet med behandlingen av personuppgifter i Rättsmedicinalverkets rättspsykiatriska ärenden är, som ovan konstateras, att lagföra brott och personuppgiftsbehandlingen omfattas därför av brottsdatalagens bestämmelser. När det gäller säkerhetsadministrativa frågor som behandling av uppgifter om besökare till de rättspsykiatriska undersökningsenheterna, är syftet med personuppgiftsbehandlingen nära kopplat till den rättspsykiatriska utredningsverksamheten och, i förlängningen, domstolens lagföring av brott. Även för sådan behandling av personuppgifter bör därför brottsdatalagens bestämmelser tillämpas.

5 § Denna lag gäller inte när personuppgifter behandlas med stöd av

1.lagen (1999:353) om rättspsykiatriskt forskningsregister,

2.lagen (2003:460) om etikprövning av forskning som avser människor, eller

3.patientdatalagen (2008:355).

Paragrafen klargör lagens förhållande till vissa andra författningar. Övervägandena finns i avsnitt 6.3.3.

I de fall då personuppgifter behandlas med stöd av lagen (1999:353) om rättspsykiatriskt forskningsregister, lagen (2003:460) om etikprövning av

forskning som avser människor (etikprövningslagen) eller patientdatalagen (2008:355) gäller inte förevarande lag.

Vid Rättsmedicinalverkets rättspsykiatriska enheter bedrivs forskning inom rättspsykiatri. För det ändamålet finns ett rättspsykiatriskt forskningsregister, som regleras i lagen om rättspsykiatriskt forskningsregister. Bestämmelser i etikprövningslagen kan bli aktuella exempelvis för hanteringen av humanbiologiskt material vid Rättsmedicinalverket när det gäller verkets forskningsverksamhet. Patientdatalagen blir tillämplig till exempel när en person som är intagen vid en rättspsykiatrisk undersökningsenhet vid Rättsmedicinalverket är i behov av somatisk vård. Vid personuppgiftsbehandling enligt dessa lagar gäller således inte lagen om Rättsmedicinalverkets behandling av personuppgifter.

6 § I lagen (2020:0000) om Rättsmedicinalverkets elimineringsdatabas finns bestämmelser om Rättsmedicinalverkets behandling av personuppgifter i myndighetens elimineringsdatabas.

Paragrafen innehåller en upplysning om att det i lagen om Rättsmedicinalverkets elimineringsdatabas finns bestämmelser om Rättsmedicinalverkets behandling av personuppgifter i myndighetens elimineringsdatabas. Övervägandena finns i avsnitt 6.3.3.

Uppgifter om avlidna

7 § Följande reglering ska i tillämpliga delar gälla även vid behandling av uppgifter om avlidna i Rättsmedicinalverkets verksamhet:

1. denna lag och föreskrifter som har meddelats i anslutning till den,

2. EU:s dataskyddsförordning, lagen (2018:218) med kompletterande bestämmelser till EU:s dataskyddsförordning och föreskrifter som har meddelats i

  anslutning till den, och
  3. brottsdatalagen (2018:1177) och föreskrifter som har meddelats i anslutning
90 till den.
 

Prop. 2019/20:106

I paragrafen slås fast att lagen, dataskyddsförordningen, dataskyddslagen och brottsdatalagen samt föreskrifter som har meddelats i anslutning till dessa lagar i tillämpliga delar ska gälla för behandling av uppgifter om avlidna. Övervägandena finns i avsnitt 6.3.7.

Paragrafen innebär att skyddsreglerna i lagen och föreskrifter som har meddelats i anslutning till den, i tillämpliga delar, ska gälla även vid behandling av uppgifter om avlidna personer. Så ska också vara fallet med dataskyddsförordningen, dataskyddslagen och brottsdatalagen, och föreskrifter som meddelats i anslutning till de lagarna, vars materiella tillämpningsområden således utvidgas genom paragrafen. De bestämmelser som ska tillämpas även vid behandling av uppgifter om avlidna personer är bestämmelser som avser bl.a. ändamål för behandling, tillåtna rättsliga grunder och grundläggande krav på behandlingen. Även bestämmelser om tillsyn och sanktionsavgifter ska tillämpas. Däremot ska inte bestämmelser som på något sätt kräver den registrerades agerande eller medverkan i övrigt vara tillämpliga på avlidna personer. Så är exempelvis fallet när det gäller rätten till information, rätten till skadestånd och möjligheten att begära rättelse av uppgifter. Någon möjlighet för efterlevande att göra gällande sådana rättigheter finns inte.

Personuppgiftsansvar

8 § Rättsmedicinalverket är personuppgiftsansvarigt för behandling av personuppgifter i myndighetens verksamhet.

I paragrafen regleras personuppgiftsansvaret för behandling av personuppgifter i Rättsmedicinalverkets verksamhet. Övervägandena finns i avsnitt 6.3.8.

Rättsmedicinalverket är personuppgiftsansvarigt för all behandling av  
personuppgifter som sker i myndighetens verksamhet. Även behandling  
som utförs av en utomstående aktör på uppdrag av Rättsmedicinalverket  
sker i verkets verksamhet och verket ansvarar alltså även för sådan  
behandling.  
Elektroniskt utlämnande av personuppgifter  
9 § Personuppgifter får lämnas ut elektroniskt om det inte är olämpligt.  
Utlämnande får dock inte ske i form av direktåtkomst.  
Regeringen eller den myndighet som regeringen bestämmer kan med stöd av  
8 kap. 7 § regeringsformen meddela ytterligare föreskrifter om begränsningar av  
möjligheten att lämna ut personuppgifter elektroniskt.  
Paragrafen reglerar i vilka fall och på vilket sätt personuppgifter får lämnas  
ut elektroniskt. Dessutom innehåller den en upplysning om att regeringen  
eller den myndighet som regeringen bestämmer kan meddela ytterligare  
föreskrifter om begränsningar av möjligheten att lämna ut personuppgifter  
elektroniskt. Övervägandena finns i avsnitt 6.3.14 och 6.3.15.  
I första stycket föreskrivs att personuppgifter får lämnas ut elektroniskt  
om det inte är olämpligt. Utlämnande genom direktåtkomst är dock inte  
tillåtet. Direktåtkomst innebär att en mottagare har direkt tillgång till  
någon annans register eller databas och därigenom på egen hand kan ta del 91
 

Prop. 2019/20:106 av information (se HFD 2015 ref. 61). Sådant elektroniskt utlämnande som är tillåtet om det inte är olämpligt är bl.a. utlämnande på usb-minne, genom e-post eller annan elektronisk överföring. Lämplighetsprövningen ska göras i varje enskilt fall. Vid en sådan prövning har det betydelse vem mottagaren är. Som utgångspunkt är utlämnande till domstol eller annan myndighet inte olämpligt medan en mer nyanserad bedömning är påkallad vid utlämnanden till andra. Bedömningen bör innefatta en prövning av vilka integritetsrisker ett elektroniskt utlämnande kan innebära. Härvid måste beaktas vilken typ av personuppgifter det är fråga om och mängden av personuppgifter. Vid lämplighetsprövningen ska även beaktas i vilken mån uppgifterna kan överföras på ett säkert sätt, bl.a. för att säkerställa att mottagaren är den rätta. I paragrafen regleras inte frågan om uppgifterna över huvud taget får lämnas ut, utan endast formen för utlämnandet. Innan frågan om formen för utlämnandet bedöms måste det avgöras om det finns hinder mot att lämna ut uppgifterna. Det kan exempelvis gälla sekretess för personuppgifter enligt 21 kap. 7 § offentlighets- och sekretesslagen (2009:400), om det kan antas att uppgifterna efter ett utlämnande kommer att behandlas i strid med dataskyddsförordningen eller dataskyddslagen.

I andra stycket upplyses om att regeringen eller den myndighet som regeringen bestämmer med stöd av 8 kap. 7 § regeringsformen kan meddela ytterligare föreskrifter om begränsningar av möjligheten att lämna ut personuppgifter elektroniskt.

2 kap. Behandling av personuppgifter inom det område som omfattas av EU:s dataskyddsförordning

Ändamål

1 § Rättsmedicinalverket får behandla personuppgifter om det är nödvändigt för att myndigheten ska kunna utföra sina uppgifter i den rättspsykiatriska, rättskemiska, rättsmedicinska eller rättsgenetiska verksamheten.

I paragrafen anges de primära ändamålen för personuppgiftsbehandling på dataskyddsförordningens område. Övervägandena finns i avsnitt 6.3.9.

Enligt bestämmelsen får Rättsmedicinalverket behandla personuppgifter om det är nödvändigt för att utföra myndighetens uppgifter i den rättspsykiatriska, rättskemiska, rättsmedicinska eller rättsgenetiska verksamheten. Rättsmedicinalverkets uppgifter framgår av förordningen

(2007:976) med instruktion för Rättsmedicinalverket. I författningskommentaren till 1 kap. 4 § finns exempel på ärenden inom Rättsmedicinalverkets olika verksamhetsområden där myndigheten behandlar personuppgifter på dataskyddsförordningens område.

Att behandlingen ska vara nödvändig innebär inte ett krav på att behandlingsåtgärden ska vara oundgänglig. Behandlingen kan anses nödvändig om den behövs för att myndigheten på ett effektivt sätt ska kunna utföra arbetsuppgiften eller med andra ord om den leder till effektivitetsvinster (prop. 2017/18:105 s. 189 och prop. 2017/18:232 s. 117). Personuppgifter får också behandlas för planering, uppföljning och utvärdering av verksamheten (se t.ex. prop. 2004/05:164 s. 179 och prop. 2014/15:63 s. 63).

92

2 § Personuppgifter som behandlas enligt 1 § får även behandlas för att fullgöra Prop. 2019/20:106
uppgiftslämnande som sker i överensstämmelse med lag eller förordning.  
Personuppgifterna får behandlas även för andra ändamål, under förutsättning att  
uppgifterna inte behandlas på ett sätt som är oförenligt med det ändamål för vilket  
uppgifterna samlades in.  
Paragrafen innehåller bestämmelser om de sekundära ändamål som  
personuppgifter får behandlas för. I andra stycket uttrycks den s.k.  
finalitetsprincipen. Övervägandena finns i avsnitt 6.3.9.  
Enligt första stycket får personuppgifter som behandlas i enlighet med  
de primära ändamålsbestämmelserna i 1 § även behandlas för att fullgöra  
uppgiftslämnande som följer av lag eller förordning. Exempelvis avses  
sådant uppgiftslämnande som sker med stöd av 13 kap. 6 §  
regeringsformen och 6 § lagen (2002:1022) om revision av statlig  
verksamhet m.m. där det föreskrivs skyldighet att lämna Riksdagens  
ombudsmän respektive Riksrevisionen begärda upplysningar.  
Enligt andra stycket får personuppgifterna även behandlas för andra  
ändamål under förutsättning att behandlingen inte är oförenlig med  
insamlingsändamålen. Bestämmelsen, som är ett uttryck för den s.k.  
finalitetsprincipen, är utformad i nära anslutning till artikel 5.1 b i  
dataskyddsförordningen och bör tolkas på samma sätt. Detta innebär bl.a.  
att behandling för arkivändamål av allmänt intresse, vetenskapliga eller  
historiska forskningsändamål eller statistiska ändamål i enlighet med  
artikel 89.1 i dataskyddsförordningen inte ska anses vara oförenlig med  
insamlingsändamålen. Det innebär också att de omständigheter som anges  
i artikel 6.4 a–e i förordningen ska beaktas vid bedömningen om  
behandlingen är förenlig med insamlingsändamålen. Det innebär t.ex. att  
kopplingen mellan insamlingsändamålen och de nya ändamålen,  
personuppgifternas art och eventuella konsekvenser för den registrerade  
av den planerade fortsatta behandlingen ska beaktas.  
Sökförbud  
3 § Det är förbjudet att göra sökningar i syfte att få fram ett urval av personer  
grundat på personuppgifter som avslöjar ras, etniskt ursprung, politiska åsikter,  
religiös eller filosofisk övertygelse eller medlemskap i fackförening eller som rör  
sexualliv eller sexuell läggning.  
Paragrafen innehåller ett sökförbud avseende vissa känsliga  
personuppgifter. Övervägandena finns i avsnitt 6.3.12.  
Enligt paragrafen är det förbjudet att göra sökningar i syfte att få fram  
ett urval av personer grundat på personuppgifter som avslöjar ras, etniskt  
ursprung, politiska åsikter, religiös eller filosofisk övertygelse eller  
medlemskap i fackförening eller som rör sexualliv eller sexuell läggning,  
vilka utgör känsliga personuppgifter. Bestämmelsen gäller alltså inte alla  
slags känsliga personuppgifter. Sökningar i syfte att få fram ett urval av  
personer grundat på uppgifter om hälsa, biometriska uppgifter eller  
genetiska uppgifter omfattas inte. Sökförbudet avser alla tekniska åtgärder  
som innebär att uppgifter används för att strukturera eller systematisera  
information i syfte att få fram ett urval av personer grundat på någon av de  
känsliga personuppgifter som anges i bestämmelsen. Därmed förbjuds  
sökningar som görs för att få fram ett urval av personer som t.ex. har en 93

Prop. 2019/20:106 viss politisk åsikt, religiös åskådning eller sexuell läggning. Däremot hindrar bestämmelsen inte sökningar som görs i ett annat syfte än att identifiera ett urval av individer, t.ex. för att utöva tillsyn, för att ta fram verksamhetsstatistik eller för registervård. Sökförbudet gäller i stället för det sökförbud som finns i 3 kap. 3 § andra stycket dataskyddslagen.

Av 7 § framgår att regeringen eller den myndighet som regeringen bestämmer kan meddela föreskrifter om begränsningar av möjligheten att göra sökningar i syfte att få fram ett urval av personer grundat på uppgifter om hälsa, biometriska uppgifter eller genetiska uppgifter.

4 § Sökförbudet i 3 § hindrar inte att särskilda beteckningar för identifiering av en viss ärendetyp, brottsrubriceringar eller uppgifter som beskriver en persons utseende används som sökbegrepp.

Sökförbudet hindrar inte heller sökning i en viss handling eller i ett visst ärende.

Paragrafen innehåller undantag från sökförbudet i 3 § och innebär att vissa sökbegrepp och sökningar i en viss handling eller ärende tillåts. Övervägandena finns i avsnitt 6.3.12.

I första stycket görs undantag från sökförbudet i 3 § såvitt gäller särskilda beteckningar för identifiering av en viss ärendetyp, brottsrubriceringar och uppgifter som beskriver en persons utseende. Sådana uppgifter får således, trots sökförbudet, användas som sökbegrepp vid sökningar.

Särskilda beteckningar för identifiering av en viss ärendetyp kan exempelvis handla om ärendekoder som används för att klassificera en viss ärendetyp. Med uppgifter som beskriver en persons utseende avses t.ex. kroppsbyggnad, ansiktsform, hår- och hudfärg, födelsemärken och tatueringar (jfr prop. 2011/12:45 s. 124). En sådan uppgift behöver i sig inte utgöra en känslig personuppgift. På samma sätt förhåller det sig med brottsrubriceringar. Att använda uppgifter om utseende kan dock avslöja information om t.ex. etniskt ursprung och en uppgift om brottsrubricering kan bl.a. ge information om sexuella preferenser. Sådana sökningar är likväl tillåtna i Rättsmedicinalverkets verksamhet.

Enligt andra stycket gäller inte sökförbudet vid sökning i en viss handling eller i ett visst ärende.

Av 7 § framgår att regeringen eller den myndighet som regeringen bestämmer kan meddela föreskrifter om begränsningar av möjligheten att göra sådana sökningar som anges i paragrafen.

Tillgången till personuppgifter

5 § Tillgången till personuppgifter ska begränsas till det som var och en behöver för att kunna fullgöra sina arbetsuppgifter.

Paragrafen reglerar tillgången till personuppgifter inom Rättsmedicinalverket. Övervägandena finns i avsnitt 6.3.18.

Av paragrafen framgår att tillgången till personuppgifter inom Rättsmedicinalverket ska begränsas till det som var och en behöver för att kunna fullgöra sina arbetsuppgifter. Skilda personalkategorier kan vid olika tidpunkter behöva vidta åtgärder och därför också ha behov av

tillgång till relevanta personuppgifter. Tillgången till personuppgifter kan

94

begränsas genom tekniska och organisatoriska åtgärder. Uttrycket var och Prop. 2019/20:106 en inkluderar såväl tillsvidareanställd personal som t.ex. personer med en

tidsbegränsad anställning. Paragrafen omfattar all

personuppgiftsbehandling vid Rättsmedicinalverket inom dataskyddsförordningens område. För den personuppgiftsbehandling vid verket som sker inom brottsdatalagens tillämpningsområde finns en motsvarande bestämmelse i 3 kap. 6 § brottsdatalagen.

Information om personuppgiftsincidenter

6 § Den personuppgiftsansvariges skyldighet att informera den registrerade om en personuppgiftsincident enligt artikel 34 i EU:s dataskyddsförordning gäller inte sådana uppgifter som den personuppgiftsansvarige inte får lämna ut till den registrerade enligt lag eller annan författning eller enligt beslut som har meddelats med stöd av författning.

I paragrafen finns en begränsning i den personuppgiftsansvariges skyldighet att informera den registrerade om personuppgiftsincidenter. Övervägandena finns i avsnitt 6.3.21.

Artikel 34 i dataskyddsförordningen innebär en skyldighet för den personuppgiftsansvarige att under vissa förutsättningar informera om en personuppgiftsincident. I paragrafen anges att den personuppgiftsansvariges skyldighet att informera den registrerade inte gäller sådana uppgifter som den personuppgiftsansvarige inte får lämna ut till den registrerade enligt lag eller annan författning eller enligt beslut som har meddelats med stöd av författning. Paragrafen innebär att sekretess eller tystnadsplikt gentemot den registrerade som har stöd i författning har företräde framför skyldigheten att informera den registrerade om en personuppgiftsincident. Bestämmelsen aktualiseras då sekretess eller tystnadsplikt enligt offentlighets- och sekretesslagen (2009:400) gäller. Till exempel gäller sekretess inom Rättsmedicinalverket för alla uppgifter om säkerhets- och bevakningsåtgärder om det kan antas att syftet med åtgärden motverkas om uppgiften lämnas ut (18 kap. 8 § offentlighets- och sekretesslagen).

Rätt att meddela föreskrifter

7 § Regeringen eller den myndighet som regeringen bestämmer kan med stöd av 8 kap. 7 § regeringsformen

1.meddela föreskrifter om begränsningar av möjligheten att göra sökningar i syfte att få fram ett urval av personer grundat på uppgifter om hälsa, biometriska uppgifter och genetiska uppgifter samt sådana sökningar som anges i 4 §, och

2.meddela närmare föreskrifter om tillgången till personuppgifter enligt 5 §.

I paragrafen upplyses om att regeringen eller den myndighet som regeringen bestämmer, med stöd av 8 kap. 7 § regeringsformen, kan meddela vissa föreskrifter. Övervägandena finns i avsnitt 6.3.15.

Enligt paragrafen kan regeringen eller den myndighet som regeringen bestämmer meddela föreskrifter om begränsningar av möjligheten att dels göra sökningar i syfte att få fram ett urval av personer grundat på uppgifter om hälsa, biometriska uppgifter eller genetiska uppgifter, dels att som

sökbegrepp använda särskilda beteckningar för identifiering av en viss

95

Prop. 2019/20:106 ärendetyp, brottsrubriceringar och uppgifter som beskriver en persons utseende, dels att göra sökningar i en viss handling eller i ett visst ärende. Vidare finns en upplysning om att närmare föreskrifter om tillgången till personuppgifter kan meddelas.

3 kap. Behandling av personuppgifter inom det område som omfattas av brottsdatalagen

Ändamål

1 § Rättsmedicinalverket får behandla personuppgifter om det är nödvändigt för att myndigheten ska kunna utföra följande uppgifter:

1. förebygga, förhindra eller upptäcka brottslig verksamhet,

2. utreda eller lagföra brott,

3. verkställa straffrättsliga påföljder, eller

4. fullgöra förpliktelser som följer av internationella åtaganden.

Paragrafen reglerar de tillåtna ändamålen för behandling av personuppgifter inom brottsdatalagens område. Övervägandena finns i avsnitt 6.3.10.

Paragrafen gäller i stället för 2 kap. 1 § första stycket brottsdatalagen. Bestämmelsen bildar den yttre ramen för när behandling av personuppgifter är tillåten inom det område som omfattas av brottsdatalagen. Det bör noteras att regleringen i 2 kap. 2 § brottsdatalagen ger myndigheterna rättsligt stöd för att i vissa fall behandla personuppgifter enbart för diarieföring och viss nödvändig handläggning.

Personuppgifter får behandlas om det är nödvändigt för att Rättsmedicinalverket ska kunna utföra följande uppgifter: förebygga, förhindra eller upptäcka brottslig verksamhet, utreda eller lagföra brott eller verkställa straffrättsliga påföljder. Att behandlingen ska vara nödvändig innebär inte ett krav på att behandlingsåtgärden ska vara oundgänglig. Behandlingen kan anses nödvändig om den behövs för att myndigheten på ett effektivt sätt ska kunna utföra arbetsuppgiften eller med andra ord om den leder till effektivitetsvinster (prop. 2017/18:232 s. 117 och prop. 2017/18:105 s. 189). Uppgifterna stämmer överens med de uppgifter som i 1 kap. 4 § drar upp gränsen för när brottsdatalagen är tillämplig vid Rättsmedicinalverkets behandling av personuppgifter. Dessutom får personuppgifter behandlas om det är nödvändigt för att Rättsmedicinalverket ska kunna fullgöra förpliktelser som följer av internationella åtaganden på brottsdatalagens område.

Personuppgifter får också behandlas för planering, uppföljning och utvärdering av verksamheten (se t.ex. prop. 2004/05:164 s. 179 och prop. 2014/15:63 s. 63).

2 § Förutsättningarna för att behandla personuppgifter som behandlas med stöd av 1 § för nya ändamål regleras i 2 kap. 4 och 22 §§ brottsdatalagen (2018:1177).

  I paragrafen finns en upplysning som anger att förutsättningarna för att
  personuppgifter ska få behandlas för nya ändamål regleras i 2 kap. 4 och
  22 §§ brottsdatalagen. Övervägandena finns i avsnitt 6.3.10.
  Innan personuppgifter får behandlas för ett nytt ändamål inom eller
96 utanför brottsdatalagens tillämpningsområde måste en prövning enligt
 

2 kap. 4 eller 22 § brottsdatalagen göras. Den förstnämnda paragrafen Prop. 2019/20:106 gäller behandling av personuppgifter för nya ändamål inom brottsdatalagens tillämpningsområde. Av den paragrafen följer att innan

sådan behandling sker ska det säkerställas att det finns en rättslig grund för den nya behandlingen och att det är nödvändigt och proportionerligt att personuppgifterna behandlas för det nya ändamålet. Kravet på säkerställande av nödvändighet och proportionalitet gäller enligt 2 kap.

22 § brottsdatalagen även vid behandling för nya ändamål utanför brottsdatalagens tillämpningsområde. I den utsträckning en skyldighet att lämna uppgifter följer av lag eller förordning behöver någon prövning enligt 2 kap. 4 eller 22 § inte ske. Den närmare innebörden av prövningen framgår av författningskommentaren till de paragraferna (prop. 2017/18:232 s. 442–443 och 451–452).

Biometriska och genetiska uppgifter

3 § Rättsmedicinalverket får behandla biometriska och genetiska uppgifter om det är absolut nödvändigt för ändamålet med behandlingen.

I paragrafen regleras när biometriska och genetiska uppgifter får behandlas. Övervägandena finns i avsnitt 6.3.13.

Av paragrafen framgår att biometriska och genetiska uppgifter får behandlas om det är absolut nödvändigt för ändamålet med behandlingen. Det innebär att behovet av att behandla sådana uppgifter måste prövas särskilt noga. Den behandling av känsliga personuppgifter som sker när

Rättsmedicinalverket utför sina uppgifter, exempelvis i identifieringsärenden, bör som en utgångspunkt anses vara absolut nödvändig. Biometriska uppgifter är enligt 1 kap. 6 § brottsdatalagen personuppgifter som rör en persons fysiska, fysiologiska eller beteendemässiga kännetecken, som tagits fram genom särskild teknisk behandling och som möjliggör eller bekräftar unik identifiering av personen i fråga. Vanliga fotografier och filmer omfattas inte av definitionen om de inte bearbetas tekniskt på något sätt så att identifiering blir möjlig, t.ex. i ett ansiktsigenkänningsprogram (prop. 2017/18:232 s. 85–86).

Genetiska uppgifter är enligt 1 kap. 6 § brottsdatalagen personuppgifter som rör en persons nedärvda eller förvärvade genetiska kännetecken och som härrör från analys av ett spår eller ett prov av personen i fråga. Det är framför allt fråga om information som kan tas fram vid dna-analyser, men även motsvarande information som tas fram vid andra analyser omfattas (prop. 2017/18:232 s. 86–87).

Sökförbud

4 § Det är förbjudet att göra sökningar i syfte att få fram ett urval av personer grundat på personuppgifter som avslöjar ras, etniskt ursprung, politiska åsikter, religiös eller filosofisk övertygelse eller medlemskap i fackförening eller som rör sexualliv eller sexuell läggning.

Paragrafen innehåller ett sökförbud avseende vissa känsliga personuppgifter. Övervägandena finns i avsnitt 6.3.13.

97

Prop. 2019/20:106 Enligt paragrafen är det förbjudet att göra sökningar i syfte att få fram ett urval av personer grundat på personuppgifter som avslöjar ras, etniskt ursprung, politiska åsikter, religiös eller filosofisk övertygelse eller medlemskap i fackförening eller som rör sexualliv eller sexuell läggning. Förbudet gäller de känsliga personuppgifter som anges i 2 kap. 11 § brottsdatalagen med undantag för uppgifter om hälsa. Det är således inte förbjudet att göra sökningar i syfte att få fram ett urval av personer grundat på uppgifter om hälsa. Det är inte heller förbjudet att göra sökningar i syfte att få fram ett urval av personer grundat på biometriska uppgifter eller genetiska uppgifter. Bestämmelsen gäller i stället för bestämmelsen om sökförbud i 2 kap. 14 § brottsdatalagen.

Innebörden av sökförbudet utvecklas ytterligare i författningskommentaren till 2 kap. 3 §.

5 § Sökförbudet i 4 § hindrar inte att särskilda beteckningar för identifiering av en viss ärendetyp, brottsrubriceringar eller uppgifter som beskriver en persons utseende används som sökbegrepp.

Sökförbudet hindrar inte heller sökning i en viss handling eller i ett visst ärende.

Paragrafen innehåller undantag från sökförbudet i 4 § och innebär att vissa sökbegrepp och sökningar i en viss handling eller ärende tillåts. Övervägandena finns i avsnitt 6.3.13.

I första stycket görs undantag från sökförbudet såvitt gäller särskilda beteckningar för identifiering av en viss ärendetyp, brottsrubriceringar och uppgifter som beskriver en persons utseende. Sådana uppgifter får således, trots sökförbudet, användas som sökbegrepp vid sökningar.

Av det andra stycket framgår att ett undantag från sökförbudet i 4 § även gäller för sökning i en viss handling eller i ett visst ärende.

En närmare redogörelse för innebörden av undantagen från sökförbudet finns i författningskommentaren till 2 kap. 4 §.

Av 8 § framgår att regeringen eller den myndighet som regeringen bestämmer kan meddela föreskrifter om begränsningar av möjligheten att göra sådana sökningar som anges i paragrafen.

Sanktionsavgifter

6 § En sanktionsavgift får tas ut av den personuppgiftsansvarige vid överträdelse av bestämmelserna i

1 § om ändamål, eller

4 § om sökförbud.

En sanktionsavgift får också tas ut vid överträdelse av de föreskrifter som anges i 8 § 1.

Sanktionsavgiften ska bestämmas till högst 10 000 000 kronor.

Paragrafen anger förutsättningarna för att ta ut sanktionsavgifter av Rättsmedicinalverket enligt lagen. Övervägandena finns i avsnitt 6.3.16.

Enligt första stycket får sanktionsavgift tas ut om Rättsmedicinalverket överträder bestämmelserna om tillåtna ändamål i 1 § och om sökförbud i 4 §. Bestämmelserna i 6 kap. brottsdatalagen om tillsyn och om förfarandet vid uttagande av sanktionsavgifter gäller även för överträdelser av denna lag.

98

I andra stycket anges att sanktionsavgift också får tas ut av Prop. 2019/20:106 Rättsmedicinalverket vid överträdelser av föreskrifter om begränsningar

av möjligheten att göra sökningar i syfte att få fram ett urval av personer grundat på uppgifter om hälsa, biometriska uppgifter och genetiska uppgifter och vid överträdelser av föreskrifter som begränsar möjligheten att göra sådana sökningar som anges i 5 §. En upplysning om rätten att meddela föreskrifter om sådana begränsningar finns i 8 § 1.

I tredje stycket anges att sanktionsavgiften ska bestämmas till högst 10 000 000 kr.

Skadestånd

7 § Bestämmelsen om skadestånd i 7 kap. 1 § brottsdatalagen (2018:1177) ska tillämpas vid behandling av personuppgifter i strid med denna lag eller föreskrifter som har meddelats i anslutning till den.

I paragrafen regleras den registrerades rätt till skadestånd för behandling av personuppgifter på brottsdatalagens område i strid med denna lag eller föreskrifter som har meddelats i anslutning till den. Övervägandena finns i avsnitt 6.3.17.

Enligt paragrafen ska 7 kap. 1 § brottsdatalagen tillämpas vid behandling av personuppgifter på brottsdatalagens område i strid med denna lag eller föreskrifter som har meddelats i anslutning till den. Det innebär att den personuppgiftsansvarige ska ersätta den registrerade för den skada och kränkning av den personliga integriteten som behandlingen av personuppgifter har orsakat. Med skada avses personskada, sakskada eller ren förmögenhetsskada. Med kränkning avses ideell skada som består i att den enskildes integritet kränkts genom behandlingen. Se vidare prop. 2017/18:232 s. 486–487.

I 7 kap. 1 § dataskyddslagen finns en upplysning om att rätten till skadestånd enligt dataskyddsförordningen även gäller vid överträdelser av författningar som, liksom denna, kompletterar dataskyddsförordningen.

Rätt att meddela föreskrifter

8 § Regeringen eller den myndighet som regeringen bestämmer kan med stöd av 8 kap. 7 § regeringsformen

1.meddela föreskrifter om begränsningar av möjligheten att göra sökningar i syfte att få fram ett urval av personer grundat på uppgifter om hälsa, biometriska uppgifter och genetiska uppgifter samt sökningar som anges i 5 §, och

2.meddela närmare föreskrifter om tillgången till personuppgifter.

I paragrafen upplyses om att regeringen eller den myndighet som  
regeringen bestämmer, med stöd av 8 kap. 7 § regeringsformen, kan  
meddela vissa föreskrifter. Övervägandena finns i avsnitt 6.3.15.  
Enligt paragrafen kan regeringen eller den myndighet som regeringen  
bestämmer meddela föreskrifter om begränsningar av möjligheten att dels  
göra sökningar i syfte att få fram ett urval av personer grundat på uppgifter  
om hälsa, biometriska uppgifter eller genetiska uppgifter, dels att som  
sökbegrepp använda särskilda beteckningar för identifiering av en viss  
ärendetyp, brottsrubriceringar och uppgifter som beskriver en persons  
utseende, dels att göra sökningar i en viss handling eller i ett visst ärende. 99
 

Prop. 2019/20:106 Vidare finns en upplysning om att närmare föreskrifter om tillgången till personuppgifter kan meddelas. I 2 kap. 5 § finns en bestämmelse om tillgången till personuppgifter när Rättsmedicinalverket behandlar uppgifter på dataskyddsförordningens område. När det gäller Rättsmedicinalverkets behandling av personuppgifter på brottsdatalagens område finns motsvarande bestämmelse i 3 kap. 6 § brottsdatalagen.

Ikraftträdande- och övergångsbestämmelser

1.Denna lag träder i kraft den 1 juli 2020.

2.En sanktionsavgift enligt 3 kap. 6 § får beslutas endast för överträdelser som har skett efter ikraftträdandet.

Övervägandena finns i avsnitt 9.

Punkt 1 föreskriver när lagen ska träda i kraft.

En sanktionsavgift får enligt punkt 2 beslutas endast för överträdelser som har skett efter ikraftträdandet.

10.2Förslaget till lag om Rättsmedicinalverkets elimineringsdatabas

Ändamål

1 § Rättsmedicinalverket får föra ett register över dna-profiler i syfte att stärka kvaliteten i den rättsgenetiska verksamheten med dna-analyser (elimineringsdatabasen) i enlighet med denna lag.

Uppgifter i elimineringsdatabasen får endast behandlas för att upptäcka och utreda kontamineringar av det som är föremål för dna-analys.

I paragrafen anges att Rättsmedicinalverket får föra ett register över dnaprofiler som benämns elimineringsdatabasen och för vilka syften det får föras. Övervägandena finns i avsnitt 7.3.

Av första stycket framgår att Rättsmedicinalverket får föra en elimineringsdatabas i syfte att stärka kvaliteten i den rättsgenetiska verksamheten med dna-analyser. Elimineringsdatabasen får användas i samtliga rättsgenetiska ärenden hos Rättsmedicinalverket.

Andra stycket anger att uppgifter i elimineringsdatabasen endast får behandlas för att upptäcka och utreda kontamineringar av det som ska analyseras. Det innebär t.ex. att uppgifter i databasen aldrig får användas för att upptäcka eller utreda misstankar om brott begångna av någon vars dna-profil finns i databasen. Med kontaminering avses att det prov som ska analyseras har sammanblandats med ovidkommande dna från en i och för sig behörig person någonstans i hanteringen.

Innebörden av vissa uttryck

2 § I denna lag avses med

dna-analys: varje förfarande som kan användas för analys av deoxiribonukleinsyra i humant material, och

100

dna-profil: resultatet av en dna-analys som presenteras i form av siffror eller Prop. 2019/20:106 bokstäver.

Iparagrafen definieras begreppen dna-analys och dna-profil. Övervägandena finns i avsnitt 7.4.

Begreppen har samma betydelse som i lagen (2018:1693) om polisens behandling av personuppgifter inom brottsdatalagens område (se prop. 2017/18:269 s. 293 och prop. 2009/10:85 s. 315). En dna-profil består av uppgifter som har tagits fram med hjälp av dna-analys, dvs. analys av deoxyribonukleinsyra i humant biologiskt material, t.ex. blod, hår eller hudceller. En dna-profil presenteras i form av siffror eller bokstäver eller en kombination av siffror och bokstäver. Därmed går det inte att identifiera en person enbart med stöd av dna-profilen.

Förhållandet till annan dataskyddsreglering

3 § Vid behandling av personuppgifter enligt denna lag gäller lagen (2020:000) om Rättsmedicinalverkets behandling av personuppgifter och föreskrifter som har meddelats i anslutning till den lagen, om inte annat följer av denna lag eller föreskrifter som har meddelats i anslutning till lagen.

I paragrafen behandlas lagens förhållande till lagen om Rättsmedicinalverkets behandling av personuppgifter. Övervägandena finns i avsnitt 7.5.

Av paragrafen framgår att lagen om Rättsmedicinalverkets behandling

av personuppgifter och dess föreskrifter gäller för personuppgiftsbehandlingen som sker i elimineringsdatabasen i den mån särbestämmelser inte finns i den aktuella lagen eller föreskrifter meddelade i anslutning till den. Detta innebär bl.a. att dataskyddsförordningen, dataskyddslagen och brottsdatalagen ska tillämpas vid behandlingen av personuppgifter i elimineringsdatabasen på det sätt som framgår av lagen om Rättsmedicinalverkets personuppgiftsbehandling. Det är syftet med behandlingen som avgör om den faller inom dataskyddsförordningens eller brottsdatalagens tillämpningsområde. Om det är fråga om personuppgiftsbehandling som Rättsmedicinalverket utför i egenskap av behörig myndighet för sådana syften som anges i 1 kap. 4 § lagen om Rättsmedicinalverkets behandling av personuppgifter är brottsdatalagen tillämplig. För annan

personuppgiftsbehandling gäller dataskyddsförordningens och dataskyddslagens bestämmelser.

Personuppgiftsansvar

4 § Rättsmedicinalverket är personuppgiftsansvarigt för behandling av personuppgifter i elimineringsdatabasen.

Paragrafen reglerar personuppgiftsansvaret för Rättsmedicinalverkets elimineringsdatabas. Övervägandena finns i avsnitt 7.6.

101

Prop. 2019/20:106 Av paragrafen framgår att Rättsmedicinalverket är personuppgiftsansvarigt för behandling av personuppgifter i elimineringsdatabasen.

Innehåll

5 § Elimineringsdatabasen får innehålla dna-profiler från personer som anges i 6 och 7 §§ och som genom att komma i kontakt med material eller prover som ska bli föremål för dna-analys eller lokaler där sådana analyser utförs riskerar att kontaminera dessa. Databasen får också innehålla dna-profiler som har påträffats vid en dna-analys och som inte kan hänföras till en identifierad person.

En dna-profil som registreras i databasen får endast ge information om identitet och inte om personliga egenskaper.

Utöver dna-profiler får elimineringsdatabasen innehålla uppgifter om vem dnaprofilen avser.

I paragrafen regleras innehållet i elimineringsdatabasen. Övervägandena finns i avsnitt 7.7.

I första stycket anges att elimineringsdatabasen får innehålla dnaprofiler från personer som genom att komma i kontakt med material eller prover som ska bli föremål för dna-analys eller lokaler där sådana analyser utförs riskerar att kontaminera dessa. Av 6 och 7 §§ framgår vilka personer som avses och att dessa är skyldiga att lämna prov till databasen. Vidare klargörs det att elimineringsdatabasen även får innehålla dna-profiler som härrör från s.k. okända kontamineringar, dvs. profiler som har påträffats vid en analys och som inte härrör från den person vars dna analyseras och inte heller sedan tidigare finns i elimineringsdatabasen.

Andra stycket föreskriver att dna-profiler som registreras endast får ge information om identitet och inte om den registrerades personliga egenskaper. Att dna-profilerna endast får ge information om identitet innebär att de bara får ge den information som är tillräcklig för att särskilja personen från andra personer. Med personliga egenskaper avses exempelvis sjukdomsbenägenhet. Kön är däremot inte en sådan personlig egenskap som avses i bestämmelsen. Det är därför tillåtet att det från dnaprofilen går att utläsa om det i profilen ingår X- eller Y-kromosomer, vilket ger information om kön.

Av tredje stycket framgår att elimineringsdatabasen får innehålla uppgifter om vem dna-profilen avser.

Provtagning

6 § Anställda vid Rättsmedicinalverket och andra som återkommande kan komma i kontakt med och därigenom riskerar att kontaminera material som används vid dna-analys, prover som ska bli föremål för dna-analys eller lokaler där sådana analyser utförs, är skyldiga att lämna prov för dna-analys i syfte att dnaprofilen ska registreras i elimineringsdatabasen. Provet tas i form av salivprov.

Paragrafen reglerar, tillsammans med 7 §, vilka personkategorier som är skyldiga att lämna dna-prov till elimineringsdatabasen. Övervägandena finns i avsnitt 7.8.

102

Skyldigheten att lämna prov till elimineringsdatabasen gäller för Prop. 2019/20:106 anställda vid Rättsmedicinalverket och andra personer som återkommande

kan komma i kontakt med och därigenom riskera att kontaminera material som används vid dna-analys, prover som ska bli föremål för dna-analys eller lokaler där sådana analyser utförs. Skyldigheten att lämna prov gäller inte för samtliga av myndighetens anställda utan är begränsad till de personer som kan komma i kontakt med och därigenom riskerar att kontaminera material, prover eller lokaler. Dessa anställda ska lämna prov för registrering i elimineringsdatabasen oavsett vilken befattning inom Rättsmedicinalverket de har och oberoende av vilken organisatorisk tjänsteplacering de har.

Utöver anställda vid Rättsmedicinalverket omfattas även andra som återkommande kan komma i kontakt med material, prover eller lokaler av en skyldighet att lämna prov till elimineringsdatabasen. Det rör sig exempelvis om lokalvårdare och hantverkare som vistas i Rättsmedicinalverkets lokaler. Avgörande för vilka av dessa personer som ska ingå i databasen är om det finns en risk för kontaminering.

Prov ska tas i form av salivprov.

Av 12 § framgår att regeringen eller den myndighet som regeringen bestämmer kan meddela närmare föreskrifter om vilka anställda och andra personkategorier som ska vara skyldiga att lämna prover för dna-analys till elimineringsdatabasen.

7 § För att få tillträde till en lokal där dna-prover hanteras eller förvaras är även den som inte omfattas av 6 § men som riskerar att kontaminera lokalen, prover som ska bli föremål för dna-analys eller material som används för dna-analys skyldig att lämna prov för dna-analys i syfte att dna-profilen ska registreras i elimineringsdatabasen. Provet tas i form av salivprov.

Paragrafen reglerar, tillsammans med 6 §, vilka personkategorier som är skyldiga att lämna dna-prov till elimineringsdatabasen. Övervägandena finns i avsnitt 7.8.

Bestämmelsen innebär att även andra än de som omfattas av 6 § kan vara skyldiga att lämna dna-prov i syfte att dna-profilen ska registreras i elimineringsdatabasen. Paragrafen tar sikte på personer som mer tillfälligt kommer i kontakt med de lokaler vid Rättsmedicinalverket där dna-prover hanteras eller förvaras. Det kan exempelvis gälla representanter från myndigheter som ska inspektera lokalerna eller personer som i

utbildningssyfte förevisas det rättsgenetiska laboratoriet. Rättsmedicinalverket kan som villkor för tillträde till vissa av verkets lokaler besluta att en person ska lämna prov till databasen. Prov ska tas i form av salivprov.

Av 12 § framgår att regeringen eller den myndighet som regeringen bestämmer kan meddela närmare föreskrifter om vilka anställda och andra personkategorier som ska vara skyldiga att lämna prover för dna-analys till elimineringsdatabasen.

8 § Ett prov för dna-analys som har tagits med stöd av 6 eller 7 § får inte användas för något annat ändamål än det som provet togs för och ska förstöras senast sex månader efter det att provet togs.

103

Prop. 2019/20:106 Paragrafen reglerar användningen av prov som har tagits för dna-analys i syfte att dna-profilen ska registreras i elimineringsdatabasen. Övervägandena finns i avsnitt 7.8.

Av paragrafen framgår att ett prov som har tagits med stöd av 6 eller 7 § inte får användas för något annat ändamål än det som det togs för, dvs. för att dna-profilen ska registreras i elimineringsdatabasen. Senast sex månader efter det att provet togs ska det förstöras.

Användning av elimineringsdatabasen

9 § Dna-profiler i elimineringsdatabasen får endast användas för jämförelser med

1.dna-profiler från prov som analyseras vid Rättsmedicinalverket, och

2.dna-profiler som har tagits fram för att kvalitetssäkra den rättsgenetiska verksamheten med dna-analyser.

Iparagrafen regleras hur dna-profiler i elimineringsdatabasen får användas. Övervägandena finns i avsnitt 7.9.

Av paragrafen framgår att dna-profiler i elimineringsdatabasen får användas för jämförelser med dna-profiler från prov som är föremål för Rättsmedicinalverkets analys. Jämförelsen får endast göras i det syfte som

lagens ändamålsbestämmelse slår fast. Uppgifterna i elimineringsdatabasen får således endast användas för att genomföra jämförelser som syftar till att upptäcka och utreda kontamineringar av det som är föremål för dna-analys. Annan användning av elimineringsdatabasen är inte tillåten, se 1 §. Vidare framgår att jämförelser får göras mellan dna-profiler i elimineringsdatabasen och sådana dna-profiler som har tagits fram för att kvalitetssäkra den rättsgenetiska verksamheten med dna-analyser. Sådana jämförelser är ett viktigt led i Rättsmedicinalverkets kvalitetsarbete. Även för sådana jämförelser gäller att uppgifterna i elimineringsdatabasen endast får användas för det övergripande syftet med lagen, nämligen att stärka kvaliteten i den rättsgenetiska verksamheten med dna-analyser.

Längsta tid för behandling

10 § Uppgifter i elimineringsdatabasen får behandlas så länge de behövs för att upptäcka och utreda om en persons dna kan ha kontaminerat material, prover eller lokaler, dock som längst den tid som anges i andra–fjärde styckena.

Uppgifter som rör anställda vid Rättsmedicinalverket får inte behandlas längre än två år efter det att det förhållande som grundade skyldigheten att lämna prov upphörde.

Uppgifter som har registrerats med stöd av 7 § får inte behandlas längre än ett år efter det att uppgifterna registrerades.

Uppgifter som rör andra än de som anges i andra och tredje styckena får inte behandlas längre än ett år efter det att det förhållande som grundade skyldigheten att lämna prov upphörde.

Bestämmelsen i 2 kap. 17 § andra stycket brottsdatalagen (2018:1177) gäller inte vid tillämpning av denna paragraf.

104

Paragrafen innehåller bestämmelser om hur länge uppgifter i Prop. 2019/20:106 elimineringsdatabasen får behandlas. Övervägandena finns i avsnitt 7.10.

I paragrafens första stycke slås fast att uppgifter i elimineringsdatabasen bara får behandlas så länge de behövs för att upptäcka och utreda om en persons dna kan ha kontaminerat material, prover eller lokaler. När uppgifterna inte längre behövs för det ändamålet ska de raderas. Så kan vara fallet när en anställd byter arbetsuppgifter och inte längre kommer i kontakt med hantering av dna eller när en anställd är tjänstledig under en längre tid för exempelvis studier. Vidare framgår att uppgifter i elimineringsdatabasen under alla förhållanden inte får behandlas längre än vad som anges i andra–fjärde styckena.

En uttrycklig bortre gräns för hur länge uppgifter som rör anställda får behandlas anges i andra stycket. Anställda kan under lång tid regelbundet ha kommit i kontakt med dna-analyser och kan ha kontaminerat material, prov och lokaler. Uppgifter om anställda kan därför behöva sparas under en förhållandevis lång tid. Uppgifterna får dock inte sparas längre än två år efter det att det förhållande som grundade skyldigheten att lämna prov upphörde.

Av paragrafens tredje stycke framgår att, för personer som har lämnat dna-prover enligt 7 §, dvs. tillfälliga besökare, får uppgifterna i elimineringsdatabasen inte behandlas längre än ett år efter det att uppgifterna registrerades.

Fjärde stycket reglerar den längsta tiden för behandling av uppgifter som andra än anställda har lämnat med stöd av 6 §, dvs. personer som utan att vara anställda återkommande riskerar att kontaminera material, prover och lokaler. Det kan exempelvis röra sig om hantverkare eller lokalvårdare. Uppgifter i databasen som rör dessa personer får inte behandlas längre än ett år efter det att det förhållande som grundade skyldigheten att lämna prov upphörde.

Enligt femte stycket gäller inte bestämmelsen om arkivlagstiftningens företräde i 2 kap. 17 § andra stycket brottsdatalagen vid tillämpningen av denna paragraf. Det innebär att all behandling av personuppgifterna ska upphöra när de tider som anges i paragrafen har löpt ut.

Skadestånd

11 § Inom det område som omfattas av brottsdatalagen (2018:1177) ska bestämmelsen om skadestånd i 7 kap. 1 § brottsdatalagen tillämpas vid behandling av personuppgifter i strid med denna lag eller föreskrifter som har meddelats i anslutning till den.

Paragrafen innehåller bestämmelser om skadestånd. Övervägandena finns i avsnitt 7.11.

I paragrafen föreskrivs att skadeståndsbestämmelserna i brottsdatalagen ska gälla vid personuppgiftsbehandling på brottsdatalens område i strid med denna lag eller föreskrifter som har meddelats i anslutning till den.

När det gäller behandling inom dataskyddsförordningens tillämpningsområde finns en upplysning i 7 kap. 1 § dataskyddslagen om att rätten till skadestånd enligt förordningen gäller även vid överträdelser av bestämmelser i föreskrifter som kompletterar dataskyddsförordningen

105

Prop. 2019/20:106 (se även artikel 82 och skäl 146 i dataskyddsförordningen). Förordningens reglering om skadestånd gäller alltså även vid överträdelser av denna lag eller föreskrifter som har meddelats i anslutning till den.

Rätt att meddela föreskrifter

12 § Regeringen eller den myndighet som regeringen bestämmer kan med stöd av 8 kap. 7 § regeringsformen

1. meddela närmare föreskrifter om vilka personalkategorier vid Rättsmedicinalverket och vilka andra personkategorier enligt 6 och 7 §§ som är skyldiga att lämna prover för dna-analys till elimineringsdatabasen,

2. meddela närmare föreskrifter om tillgången till uppgifter i elimineringsdatabasen, och

3.meddela föreskrifter om förfarandet vid överensstämmelse mellan en dnaprofil i elimineringsdatabasen och en annan dna-profil.

I paragrafen upplyses om att regeringen eller den myndighet som regeringen bestämmer, med stöd av 8 kap. 7 § regeringsformen, kan meddela vissa föreskrifter. Övervägandena finns i avsnitt 7.12.

Enligt paragrafen kan regeringen eller den myndighet som regeringen bestämmer meddela närmare föreskrifter dels om skyldigheten att lämna prover till elimineringsdatabasen, dels om tillgången till uppgifter i elimineringsdatabasen. När det gäller tillgången till personuppgifter finns bestämmelser om detta, när det gäller behandling på dataskyddsförordningens område, i 2 kap. 5 § lagen om Rättsmedicinalverkets behandling av personuppgifter och, när det gäller behandling på brottsdatalagens område, i 3 kap. 6 § i sistnämnda lag. Vidare framgår att regeringen eller den myndighet som regeringen bestämmer kan meddela föreskrifter om förfarandet vid överensstämmelse mellan en dna-profil i elimineringsdatabasen och en annan dna-profil.

Ikraftträdande- och övergångsbestämmelser

1.Denna lag träder i kraft den 1 juli 2020.

2.En dna-profil som har registrerats före den 1 juli 2020 i syfte att upptäcka och utreda kontamineringar av det som är föremål för dna-analys, får registreras i elimineringsdatabasen om den registrerade godtar det. De dna-profiler som inte registreras i elimineringsdatabasen ska gallras senast den 1 januari 2021.

Övervägandena finns i avsnitt 9.

Punkt 1 föreskriver när lagen ska träda i kraft.

Punkt 2 föreskriver att en dna-profil som har registrerats före lagens ikraftträdande i syfte att upptäcka och utreda kontamineringar av det som är föremål för dna-analys, får registreras i elimineringsdatabasen om den registrerade godtar det. De dna-profiler som inte registreras i elimineringsdatabasen ska gallras senast den 1 januari 2021.

106

Sammanfattning av betänkandet Stärkt integritet i Rättsmedicinalverkets verksamhet (SOU 2017:80)

Prop. 2019/20:106 Bilaga 1

Uppdraget

Vårt uppdrag har varit att föreslå hur regelverket för Rättsmedicinalverket (RMV) ska anpassas så att verksamheten kan bedrivas med effektiva arbetsformer och stor hänsyn tagen till människors integritet.

I uppdraget har ingått att ta ställning till möjligheten och behovet av att införa en särskild personuppgiftsreglering för RMV. Uppdraget i den delen har bestått i att identifiera de integritetsintressen och övriga intressen som har betydelse för RMV:s personuppgiftsbehandling och behandling av uppgifter om avlidna personer. Vi har dessutom haft till uppgift att analysera möjligheten och behovet av att införa en särskild registerlagstiftning för RMV och ta ställning till i vilken utsträckning denna i så fall bör ha lagform. En särskild fråga har varit om det behövs ett starkare skydd för uppgifter om avlidna. I vårt uppdrag har också ingått att anpassa våra förslag till det pågående reformarbetet inom Europeiska unionen när det gäller att reglera behandlingen av personuppgifter.

Inom RMV:s rättsgenetiska verksamhetsområde förs en elimineringsdatabas, som används för att upptäcka och utreda kontamineringar i samband med rättsgenetiska dna-analyser. Vi har haft i uppdrag att ta ställning till behovet av att författningsreglera elimineringsdatabasen.

Vid RMV hanteras humanbiologiskt material (ben, blod, vävnad, hår, saliv, tänder, urin, dna och andra samlingar av celler från människokroppen) från både levande och avlidna för olika undersökningsändamål. I vårt uppdrag har ingått att analysera hur denna hantering bör se ut och föreslå en reglering för RMV:s hantering av humanbiologiskt material.

Till ledning för valet av påföljd i ett brottmål genomför RMV rättspsykiatriska undersökningar enligt lagen (1991:1137) om rättspsykiatrisk undersökning och undersökningar för att utfärda läkarintyg enligt 7 § lagen (1991:2041) om särskild personutredning i brottmål, m.m. (personutredningslagen). Vi har haft i uppdrag att ta ställning till vilka uppgifter som RMV i sin rättspsykiatriska undersökningsverksamhet behöver ha tillgång till för att de utlåtanden som lämnas ska hålla tillräckligt hög kvalitet. Inom det rättspsykiatriska verksamhetsområdet har vi också tagit ställning till vissa frågor som rör ordning och säkerhet i samband med rättspsykiatriska undersökningar och provtagning av utredningsskäl i anslutning till undersökningarna. Dessutom har vi behandlat vissa frågor om sekretess inom RMV för bl.a. uppgift om åtgärd som har till syfte att hindra rymning eller fritagning i RMV:s rättspsykiatriska undersökningsverksamhet.

RMV får enligt sin instruktion (se 3 § förordningen [2007:976] med instruktion för Rättsmedicinalverket), utöver sitt huvuduppdrag, utföra uppdrag inom sitt ansvarsområde om verksamheten i övrigt medger det.

107

Prop. 2019/20:106 Vi har haft i uppdrag att ta ställning till hur myndigheten ska bedriva sin
Bilaga 1 uppdragsverksamhet.

En datalag för Rättsmedicinalverket

Det finns ett behov av en registerförfattning för Rättsmedicinalverket

RMV bedriver verksamhet av central betydelse för rättsväsendet. Verket ansvarar för rättspsykiatrisk, rättskemisk, rättsmedicinsk och rättsgenetisk verksamhet och en huvuduppgift för myndigheten är att lämna sakkunnigutlåtanden till rättsväsendets myndigheter. Främst rör det sig om utredningar i form av analyser och utlåtanden till polis, allmän åklagare och domstol. Utredningarna är ofta viktiga beståndsdelar i brottsutredningar, men verksamheten innefattar också uppdrag som inte rör brottsbekämpande eller liknande verksamhet. Ett exempel på sådan verksamhet är fastställande av faderskap eller annat släktskap, liksom rättsmedicinska åldersbedömningar på begäran av Migrationsverket.

Vid RMV förekommer en rad olika ärendetyper. Gemensamt för i princip samtliga ärenden är att de innefattar behandling av personuppgifter som i många fall är känsliga ur integritetshänseende. Uppgifterna kommer från bl.a. Polismyndigheten, Åklagarmyndigheten och Migrationsverket, men det förekommer också uppgifter från andra myndigheter liksom från enskilda personer. En mängd uppgifter genereras också vid RMV:s utredningsarbete i de olika ärendetyperna.

Merparten av den personuppgiftsbehandling som sker vid RMV i dag regleras av personuppgiftslagens (1998:204) bestämmelser. Någon särskild lag om behandling av personuppgifter vid RMV finns inte. I syfte att åstadkomma ett starkare integritetsskydd för enskilda, samtidigt som RMV:s behov av en ändamålsenlig reglering av personuppgiftsbehandling tillgodoses, föreslår vi att en författning om behandling av personuppgifter vid RMV införs. Vi föreslår att författningen ska ha lagform och heta Rättsmedicinalverkets datalag.

De EU-rättsliga dataskyddsbestämmelsernas tillämpning på

Rättsmedicinalverkets personuppgiftsbehandling

Behandlingen av personuppgifter är föremål för ett omfattande

unionsrättsligt reformarbete. Grunden för generell personuppgiftsbehandling inom EU utgörs enligt reformen av Europaparlamentets och rådets förordning (EU) 2016/679 om skydd för fysiska personer med avseende på behandling av personuppgifter och om det fria flödet av sådana uppgifter och om upphävande av direktiv

95/46/EG (allmän dataskyddsförordning), nedan kallad dataskyddsförordningen. Förordningen är direkt tillämplig i Sverige och ska tillämpas från och med den 25 maj 2018. Det finns ett visst utrymme för kompletterande nationella bestämmelser. Dataskyddsutredningen har i sitt betänkande Ny dataskyddslag. Kompletterande bestämmelser till EU:s dataskyddsförordning, SOU 2017:39, lämnat förslag till lag med kompletterande bestämmelser till EU:s dataskyddsförordning (data skyddslagen).

108

Dataskyddsförordningen omfattar inte behandling av personuppgifter i Prop. 2019/20:106
myndigheters brottsförebyggande och brottsutredande verksamhet. På det Bilaga 1
området gäller i stället Europaparlamentets och rådets direktiv (EU)  
2016/680 om skydd för fysiska personer med avseende på behöriga  
myndigheters behandling av personuppgifter för att förebygga, förhindra,  
utreda, avslöja eller lagföra brott eller verkställa straffrättsliga påföljder,  
och det fria flödet av sådana uppgifter och om upphävande av rådets  
rambeslut 2008/977/RIF, nedan kallat dataskyddsdirektivet. Utredningen  
om 2016 års dataskyddsdirektiv har haft regeringens uppdrag att föreslå  
hur dataskyddsdirektivet ska genomföras i svensk rätt. I sitt betänkande  
Brottsdatalag, SOU 2017:29, har utredningen föreslagit att  
dataskyddsdirektivet i huvudsak ska genomföras genom en ny ramlag,  
brottsdatalagen.              
De båda EU-rättsliga regelkomplexen på dataskyddsområdet kommer  
att tillämpas parallellt vid RMV. För behandling av personuppgifter vid  
verket kommer som utgångspunkt dataskyddsförordningen att gälla. När  
RMV som behörig myndighet fullgör ett uppdrag i syfte att stödja sådan  
brottsutredande och liknande verksamhet som avses i  

dataskyddsdirektivet, är i stället brottsdatalagen tillämplig. Syftet med personuppgiftsbehandlingen avgör vilka regler som ska tillämpas.

Huvuddragen i förslaget till Rättsmedicinalverkets datalag

Rättsmedicinalverkets datalag ska, med några uttryckligt angivna undantag, vara tillämplig på all behandling av personuppgifter vid RMV. Lagen gäller utöver brottsdatalagen och i stället för dataskyddslagen. Bestämmelserna är fördelade i tre kapitel, där 1 kap. innehåller allmänna regleringar, 2 kap. innehåller bestämmelser om behandling av personuppgifter inom det område som omfattas av brottsdatalagen och 3

kap. bestämmelser om personuppgiftsbehandling på dataskyddsförordningens område. Lagen gäller i tillämpliga delar även vid behandling av uppgifter om avlidna personer.

På dataskyddsdirektivets område innehåller Rättsmedicinalverkets datalag bestämmelser som kompletterar brottsdatalagen. Det rör sig om

bestämmelser om de tillåtna rättsliga grunderna för personuppgiftsbehandling, om sökning i personuppgifter, elektroniskt utlämnande av personuppgifter, administrativa sanktionsavgifter och skadestånd.

För RMV:s personuppgiftsbehandling på dataskyddsförordningens område ska vissa bestämmelser i dataskyddslagen vara tillämpliga. Rättsmedicinalverkets datalag innehåller därutöver bestämmelser om rättslig grund för personuppgiftsbehandling, behandling av känsliga personuppgifter i bild, sökning i personuppgifter, tillgången till personuppgifter, anmälningsskyldighet för dataskyddsombud, elektroniskt utlämnande av personuppgifter och rätt till information.

109

Prop. 2019/20:106 Bilaga 1

En lag om Rättsmedicinalverkets elimineringsdatabas

Vid RMV:s rättsgenetiska enhet genomförs dna-analyser. Sådana genetiska analyser är normalt sett mycket tillförlitliga, men det finns en risk att dna-prov kontamineras. Resultatet av en dna-analys kan därigenom bli felaktigt och missvisande. För att upptäcka och utreda kontamineringar för RMV en elimineringsdatabas. Möjligheten att genom jämförelser med dna-profiler i en elimineringsdatabas upptäcka och utreda kontamineringar är av avgörande betydelse för att RMV:s arbete med dna-analyser ska hålla fullgod kvalitet.

Grunden för registrering i databasen är i dag samtycke från de personer vars dna-profiler registreras. Det kan ifrågasättas om detta är en tillräcklig rättslig grund för förandet av databasen. Rättsliga förutsättningar för att RMV ska kunna föra en elimineringsdatabas bör införas och vi föreslår därför en lag om Rättsmedicinalverkets elimineringsdatabas.

I lagen slås fast att RMV får föra en elimineringsdatabas i syfte att stärka kvaliteten i den rättsgenetiska verksamheten med dna-analyser. Databasen får innehålla dna-profiler från personer som genom att komma i kontakt med material eller prover som ska bli föremål för dna-analys eller lokaler där sådana analyser utförs riskerar att kontaminera dessa. Den får också innehålla dna-profiler som har påträffats vid en dna-analys och som inte kan hänföras till en identifierad person. En profil från ett dna-prov som analyserats vid RMV får jämföras med dna-profiler i elimineringsdatabasen. Jämförelser får också göras mellan dna-profiler som har tagits fram för att kvalitetssäkra dna-analyser och dna-profiler i databasen.

Anställda vid RMV och andra som återkommande kan komma i kontakt med och därigenom riskera att kontaminera material som används vid dnaanalys, prover som ska bli föremål för dna-analys eller lokaler där sådana analyser utförs, ska vara skyldiga att lämna prov för dna-analys i syfte att dna-profilen ska registreras i elimineringsdatabasen. Detsamma ska gälla även för andra personer, om de ska få tillträde till en lokal där RMV hanterar eller förvarar dnaprover som ska analyseras. Uppgifter i elimineringsdatabasen får inte behandlas när de inte längre behövs för att utreda om en persons dna kan ha kontaminerat material, prover eller lokaler.

En lag om hanteringen av humanbiologiskt material vid

Rättsmedicinalverket

Hanteringen av humanbiologiskt material är mycket betydelsefull för merparten av verksamheten vid RMV. Materialet innehåller ofta integritetskänslig information och den lagreglering som finns på området är inte tillräcklig. Vi har därför lämnat ett förslag till lag om hantering av humanbiologiskt material vid Rättsmedicinalverket.

Lagen omfattar frågor om bevarande, utlämnande och förstöring av prov som utgör humanbiologiskt material. Med humanbiologiskt material avses i sammanhanget mänskligt biologiskt material som har tagits från en levande eller avliden person eller ett foster.

110

Humanbiologiskt material får enligt den föreslagna lagen som Prop. 2019/20:106 huvudregel hanteras även om den enskilde, eller närstående till en avliden, Bilaga 1 motsätter sig hanteringen. Vid sådana uppdrag som RMV har åtagit sig

som förutsätter den enskildes samtycke, får däremot hantering av humanbiologiskt material endast ske om den från vilken provet härrör samtycker till en sådan hantering. Om ett lämnat samtycke återkallas, ska materialet förstöras.

Bestämmelser om när RMV får ta emot, ta, undersöka och analysera prov av humanbiologiskt material regleras i andra författningar. Genom lagen ges RMV därutöver en rätt att bevara, undersöka och analysera prover av humanbiologiskt material för systematisk utvärdering,

utveckling och säkring av kvaliteten, utbildning i undersökningsverksamheten samt forskning inom verket.

Lagen innehåller en bestämmelse om i vilka situationer RMV, utöver när det framgår av annan lag, får lämna ut prover av humanbiologiskt material som verket har tagit eller tagit emot för undersökning och analys.

Prover av humanbiologiskt material har olika hållbarhet och behovet av att spara proverna varierar. Hur länge materialet ska bevaras och vad som ska gälla för förstöring av prover, ska regleras av regeringen eller den myndighet som regeringen bestämmer.

Uppgifter till rättspsykiatriska undersökningar

I RMV:s rättspsykiatriska undersökningsverksamhet är det av stor vikt att myndigheten har ett fullgott underlag för att kunna lämna ett utlåtande till ledning för domstolens påföljdsbestämning. Uppgifter som kan vara betydelsefulla vid utredningarna på det rättspsykiatriska området finns framför allt inom hälso- och sjukvården samt socialtjänsten. Den person som utredningen avser kan också ha haft kontakt med ett antal myndigheter, som kan ha viktig information att lämna. Främst rör det sig

om uppgifter från Migrationsverket, Kriminalvården,

Arbetsförmedlingen, Försäkringskassan och Totalförsvarets rekryteringsmyndighet.

Vid genomförandet av rättspsykiatriska undersökningar och s.k. § 7- undersökningar begär RMV regelmässigt in uppgifter från hälso- och sjukvården samt socialtjänsten, liksom från en del av de nyssnämnda myndigheterna. Lagen om rättspsykiatrisk undersökning och personutredningslagen innehåller bestämmelser som gör det möjligt för RMV att få del av uppgifter från offentligt bedriven hälso- och sjukvård samt socialtjänst. Med stöd av främst dessa bestämmelser, men även av 10 kap. 27 § offentlighets- och sekretesslagen (2009:400) får RMV i varierande omfattning även del av uppgifter från några av de aktuella myndigheterna. Uppgiftsinhämtning från enskilt bedriven hälso- och sjukvård samt socialtjänst som drivs av privata utförare förutsätter dock som regel den undersöktes samtycke. Det är vanligt förekommande att den person som ska genomgå en rättspsykiatrisk undersökning eller en § 7- undersökning inte lämnar något sådant samtycke.

Eftersom hälso- och sjukvård samt socialtjänstverksamhet i allt större utsträckning bedrivs i privat regi och det finns ett berättigat behov för

RMV att få del av uppgifter därifrån, ska RMV ges möjlighet att hämta in

111

Prop. 2019/20:106 uppgifter från dessa aktörer. Lagen om rättspsykiatrisk undersökning och
Bilaga 1 personutredningslagen föreslås därför kompletteras med bestämmelser
  som innebär att uppgifter som behövs för en rättspsykiatrisk undersökning
  respektive ett läkarintyg enligt 7 § personutredningslagen, ska lämnas från
  enskilt bedriven hälso- och sjukvård samt socialtjänst. Skyldigheten att
  lämna uppgifter som behövs för en rättspsykiatrisk undersökning, dock
  inte en § 7-undersökning, ska dessutom utvidgas på så sätt att uppgifter,
  med vissa begränsningar, ska lämnas från Arbetsförmedlingen,
  Försäkringskassan, Kriminalvården, Migrationsverket och Totalförsvarets
  rekryteringsmyndighet.

Uppdrag från enskilda

RMV har möjlighet att, inom sitt ansvarsområde och i den mån verksamheten i övrigt medger det, utföra uppdrag på begäran av enskilda. Verket har kritiserats för att det inte i tillräckligt stor utsträckning utför sådana uppdrag och Advokatsamfundet har (se skrivelse till Justitiedepartementet, Ju2002/06579/Å) begärt att RMV ska ha en skyldighet att åta sig rättsmedicinska uppdrag från enskilda. I dag utför RMV i begränsad omfattning uppdrag från enskilda. Det sker främst på det rättsgenetiska området och i princip aldrig på det rättsmedicinska verksamhetsområdet.

Det behov av förändrade bestämmelser som Advokatsamfundet framför allt har gjort gällande, består i att det borde vara möjligt för en misstänkt eller tilltalad att vända sig till RMV med en begäran om undersökning och utlåtande, utan att detta kommer till Polismyndighetens, Åklagarmyndighetens eller domstolens kännedom.

Enligt vår mening är de bestämmelser som i dag reglerar enskilds möjlighet att få tillgång till RMV:s sakkunskap tillräckliga. Det är inte lämpligt med en ordning där enskilda kan vända sig till RMV med uppdrag som är hemliga för polis, åklagare och domstol. Detta skulle vara oförenligt med RMV:s roll som oberoende expertmyndighet med uppdrag från rättsväsendets aktörer. Vi föreslår därför inte några förändrade bestämmelser om RMV:s uppdragsverksamhet.

Bestämmelser om bl.a. ordning och säkerhet i den rättspsykiatriska verksamheten

  Under utredningens gång har tre frågor av betydelse för RMV:s
  rättspsykiatriska undersökningsverksamhet visat sig angelägna att
  behandla. Frågorna har sådant nära sammanhang med
  utredningsuppdraget i övrigt, att de bedömts kunna rymmas inom
  uppdraget.            
  När RMV genomför rättspsykiatriska undersökningar är vissa
  bestämmelser i häkteslagen (2010:611) tillämpliga. I de fall då
  Socialstyrelsens Rättsliga råd genomför kompletteringar av en
  rättspsykiatrisk undersökning, kan den misstänkte vistas vid en
  undersökningsenhet vid RMV. Enligt vår mening bör de bestämmelser i
  häkteslagen som är tillämpliga när RMV genomför en rättspsykiatrisk
112 undersökning också vara tillämpliga då den undersökte vistas vid RMV i
samband med Rättsliga rådets kompletteringar. Vi föreslår därför att lagen Prop. 2019/20:106
om rättspsykiatrisk undersökning ändras så att dessa bestämmelser i Bilaga 1
häkteslagen blir tillämpliga även i den nyssnämnda situationen.  
RMV kan ta bl.a. urin- och blodprov på en person som ska genomgå en  
rättspsykiatrisk undersökning eller en § 7-undersökning, om detta är  
påkallat av ordnings- och säkerhetsskäl. Sådan provtagning föreslås, om  
inte annat motiveras av medicinska eller liknande skäl, få ske även om det  
behövs för att vid undersökningen kunna bedöma den enskildes  
psykiatriska eller medicinska tillstånd. Kompletterande bestämmelser av  
denna innebörd föreslås i lagen om rättspsykiatrisk undersökning och i  
personutredningslagen.  
Det finns, enligt vår mening, behov av att utöka sekretesskyddet för  
vissa uppgifter vid RMV. Sekretess ska gälla inom RMV för uppgift om  
åtgärd som har till syfte att hindra rymning eller fritagning, om det kan  
antas att syftet med åtgärden motverkas om uppgiften röjs. Detsamma ska  
gälla för uppgifter om åtgärder som har till syfte att upprätthålla ordningen  
och säkerheten i RMV:s rättspsykiatriska undersökningsverksamhet.  
Kompletterande bestämmelser med denna innebörd föreslås därför i  
offentlighets- och sekretesslagen.  

Konsekvenser av förslagen

Förslagen på det dataskyddsrättsliga området är del av den pågående unionsrättsliga dataskyddsreformen. Konsekvenserna av reformen i sin helhet är inte föremål för vår bedömning.

För RMV kommer förslagen att kräva vissa utbildningsinsatser. Kostnaderna härför bedöms rymmas inom befintliga anslag.

Förslagen bedöms förbättra skyddet för enskildas personliga integritet. Förutsättningarna för ett välfungerande informationsutbyte mellan RMV och de brottsbekämpande och brottsutredande myndigheter som lämnar uppdrag till verket bedöms bli bättre genom de nya dataskyddsbestämmelserna. Detta kan få positiva effekter för det brottsförebyggande och brottsutredande arbetet.

Några konsekvenser i övrigt förväntas förslagen inte få.

113

Prop. 2019/20:106 Betänkandets lagförslag      
Bilaga 2              
  Förslag till Rättsmedicinalverkets datalag (2018:000)  
  Härigenom föreskrivs följande.        
  1 kap. Allmänna bestämmelser      
  Lagens syfte          
  1 § Syftet med denna lag är att ge Rättsmedicinalverket möjlighet att
  behandla personuppgifter på ett ändamålsenligt sätt i sin verksamhet och
  att skydda fysiska personer mot att deras personliga integritet kränks vid
  sådan behandling.          
  Lagens tillämpningsområde        
  2 § Denna lag gäller vid behandling av personuppgifter i
  Rättsmedicinalverkets verksamhet.      
  Lagen gäller för sådan behandling av personuppgifter som är helt eller
  delvis automatiserad och för annan behandling av personuppgifter som
  ingår i eller är avsedda att ingå i en strukturerad samling av
  personuppgifter som är tillgängliga för sökning eller sammanställning
  enligt särskilda kriterier.          
  Förhållandet till annan reglering om personuppgiftsbehandling  
  3 § För behandling av personuppgifter som utförs av

Rättsmedicinalverket som behörig myndighet i syfte att förebygga, förhindra eller upptäcka brottslig verksamhet, utreda eller lagföra brott eller verkställa straffrättsliga påföljder, gäller brottsdatalagen (2018:000).

4 § För behandling av personuppgifter i sådant syfte som anges i 3 §, ska denna lag tillämpas utöver brottsdatalagen (2018:000).

5 § För annan behandling av personuppgifter vid Rättsmedicinalverket än som avses i 3 §, ska Europaparlamentets och rådets förordning (EU) 2016/679 av den 27 april 2016 om skydd för fysiska personer med avseende på behandling av personuppgifter och om det fria flödet av sådana uppgifter och om upphävande av direktiv 95/46/EG (allmän dataskyddsförordning) tillämpas.

Kompletterande bestämmelser till Europaparlamentets och rådets förordning (EU) 2016/679 finns i lagen (2018:000) med kompletterande

  bestämmelser till EU:s dataskyddsförordning.
  6 § Om inte något annat anges i 3 kap. 1 § gäller denna lag i stället för
  lagen (2018:000) med kompletterande bestämmelser till EU:s
  dataskyddsförordning.
  7 § Denna lag gäller inte då personuppgifter behandlas med stöd av
  1.lagen (1999:353) om rättspsykiatriskt forskningsregister,
  2.lagen (2003:460) om etikprövning av forskning som avser människor,
114 3.patientdatalagen (2008:355), eller
 

4.kameraövervakningslagen (2013:460).

Uppgifter om avlidna

8 § Denna lag gäller i tillämpliga delar även vid behandling av uppgifter om avlidna personer. För Rättsmedicinalverkets behandling av uppgifter om avlidna personer, ska Europaparlamentets och rådets förordning (EU) 2016/679, lagen (2018:000) med kompletterande bestämmelser till EU:s dataskyddsförordning och brottsdatalagen (2018:000) gälla, på samma sätt som enligt denna lag gäller för behandling av personuppgifter avseende personer som är i livet.

Personuppgiftsansvar

9 § Rättsmedicinalverket är personuppgiftsansvarig för den behandling av personuppgifter som myndigheten utför.

Lagens uppbyggnad

10 § Bestämmelserna i 1 kap. denna lag gäller för all behandling av personuppgifter vid Rättsmedicinalverket.

För sådan behandling av personuppgifter som utförs av Rättsmedicinalverket inom det område som omfattas av brottsdatalagen (2018:000) gäller, utöver vad som framgår av första stycket, bestämmelserna i 2 kap.

För annan behandling av personuppgifter än som avses i andra stycket gäller, utöver vad som framgår av första stycket, bestämmelserna i 3 kap.

Prop. 2019/20:106 Bilaga 2

2 kap. Behandling av personuppgifter inom det område som omfattas av brottsdatalagen

Tillåtna rättsliga grunder för behandling av personuppgifter

1 § Personuppgifter får behandlas om det är nödvändigt för att Rättsmedicinalverket, i syfte att förebygga, förhindra eller upptäcka brottslig verksamhet, utreda eller lagföra brott, verkställa straffrättsliga påföljder eller fullgöra förpliktelser som följer av internationella åtaganden, ska kunna utföra en arbetsuppgift i sin rättspsykiatriska, rättskemiska, rättsmedicinska eller rättsgenetiska verksamhet.

Arbetsuppgiften ska framgå av en bindande unionsrättsakt eller av en lag, en förordning eller ett särskilt beslut i vilket regeringen uppdragit åt Rättsmedicinalverket att ansvara för en sådan uppgift.

2 § Förutsättningarna för att behandla personuppgifter, som behandlas med stöd av 1 §, för nya ändamål regleras i 2 kap. 4 och 22 §§ brottsdatalagen (2018:000).

Sökning

3 § Sökförbudet i 2 kap. 14 § brottsdatalagen (2018:000) gäller inte vid sökningar som omfattas av bestämmelserna i detta kapitel. I stället gäller vid sökning i personuppgifter bestämmelserna i 4 och 5 §§ och i föreskrifter som meddelats med stöd av denna lag.

115

Prop. 2019/20:106 Bilaga 2

4 § Det är förbjudet att göra sökningar som grundar sig på ras, etniskt ursprung, politiska åsikter, religiös eller filosofisk övertygelse eller medlemskap i fackförening eller som rör sexualliv eller sexuell läggning.

Användning av särskilda beteckningar för identifiering av en viss ärendetyp som sökbegrepp omfattas inte av förbudet i första stycket.

Förbudet i första stycket gäller inte vid sökning i en viss handling eller i ett visst ärende.

5 § Sökningar som grundar sig på hälsa, biometriska uppgifter som används för att identifiera en person eller genetiska uppgifter är tillåtna.

Det är också tillåtet att göra sökningar som rör brott eller misstanke om brott. Sökförbudet i 4 § första stycket hindrar inte att uppgifter som beskriver en persons utseende används vid sökning.

Elektroniskt utlämnande av personuppgifter

6 § Personuppgifter får lämnas ut elektroniskt, om det inte är olämpligt. Utlämnande får dock inte ske i form av direktåtkomst.

Administrativa sanktionsavgifter

7 § Sanktionsavgift får tas ut av Rättsmedicinalverket vid överträdelse av bestämmelserna i 1 § om tillåtna rättsliga grunder för behandling av personuppgifter eller 3–5 §§ om sökning.

Sanktionsavgift får också tas ut om Rättsmedicinalverket överträder de föreskrifter om sökning som meddelats med stöd av denna lag.

Sanktionsavgiften ska vara lägst 50 000 kronor och högst 20 000 000 kronor.

Skadestånd

8 § Bestämmelsen i 7 kap. 1 § brottsdatalagen (2018:000) om skadestånd ska tillämpas på motsvarande sätt vid behandling av personuppgifter i strid med denna lag eller föreskrifter som har meddelats i anslutning till den.

Föreskrifter

9 § Regeringen eller den myndighet som regeringen bestämmer kan med stöd av 8 kap. 7 § regeringsformen meddela föreskrifter om ytterligare begränsningar av

1.möjligheten att använda de uppgifter som anges i 5 § vid sökning i personuppgifter, och

2.möjligheterna enligt 6 § att lämna ut personuppgifter elektroniskt.

3 kap. Behandling av personuppgifter inom det område som omfattas av Europaparlamentets och rådets förordning (EU) 2016/679

Tillämpliga bestämmelser i lagen (2018:000) med kompletterande bestämmelser till EU:s dataskyddsförordning

1 § För behandling av personuppgifter som vid Rättsmedicinalverket omfattas av Europaparlamentets och rådets förordning (EU) 2016/679 ska följande bestämmelser i lagen (2018:000) med kompletterande bestämmelser till EU:s dataskyddsförordning gälla:

116

1.1kap. 4 § första stycket om förhållandet till tryck- och yttrandefriheten,

2.2kap. 1, 3 och 4 §§ om rättslig grund,

3.3kap. 1–3 §§, 5 §, 6 § första stycket och 7 § om känsliga personuppgifter,

4.3kap. 11 § om behandling för arkivändamål av personuppgifter som rör lagöverträdelser,

5.5kap. 1 § första stycket och 2 § om undantag från rätten till information och tillgång till personuppgifter,

6.6kap. 1 §, 2 § första och andra styckena och 3–5 §§ om tillsynsmyndighetens handläggning och beslut,

7.7kap. 1, 3 och 4 §§ om administrativa sanktionsavgifter,

8.8kap. 1 § om skadestånd, och

9.8kap. 2–6 §§ om överklagande.

Rättslig grund

2 § Personuppgifter får, under förutsättning att minst ett av de villkor som anges i artikel 6.1 i Europaparlamentets och rådets förordning (EU) 2016/679 är uppfyllt, behandlas i Rättsmedicinalverkets rättspsykiatriska, rättskemiska, rättsmedicinska och rättsgenetiska verksamhet.

3 § Personuppgifter som behandlas enligt 2 § får även behandlas om det behövs

1.för att fullgöra uppgiftslämnande som sker i överensstämmelse med lag eller förordning, eller

2.för arkivändamål av allmänt intresse, vetenskapliga eller historiska forskningsändamål eller statistiska ändamål i enlighet med artikel 89.1 i Europaparlamentets och rådets förordning (EU) 2016/679. Att personuppgifter även får behandlas för andra ändamål framgår av artiklarna 5.1 b och 6.4 i Europaparlamentets och rådets förordning (EU) 2016/679.

4 § Personuppgifter får även behandlas för de ändamål som framgår av 3 § första stycket när de vid Rättsmedicinalverket behandlas eller har behandlats med stöd av brottsdatalagen (2018:000) eller 2 kap. denna lag.

Känsliga personuppgifter

5 § Känsliga personuppgifter i bild får, utöver vad som framgår av 1 § 3, behandlas i Rättsmedicinalverkets verksamhet.

Sökning

6 § Vid sökning i personuppgifter är det förbjudet att som sökbegrepp använda uppgifter som avslöjar sådana känsliga personuppgifter som anges i artikel 9.1 i Europaparlamentets och rådets förordning (EU) 2016/679.

Användning av särskilda beteckningar för identifiering av en viss ärendetyp som sökbegrepp omfattas inte av förbudet i första stycket.

Förbudet i första stycket gäller inte vid sökning i en viss handling eller i ett visst ärende.

Prop. 2019/20:106 Bilaga 2

117

Prop. 2019/20:106 Bilaga 2

7 § Förbudet i 6 § första stycket gäller inte vid Rättsmedicinalverkets sökningar som grundar sig på hälsa, biometriska uppgifter som används för att identifiera en person eller genetiska uppgifter.

Det är också tillåtet att göra sökningar som rör brott eller misstanke om brott. Sökförbudet i 6 § första stycket hindrar inte att uppgifter som beskriver en persons utseende används vid sökning.

Tillgången till personuppgifter

8 § Tillgången till personuppgifter ska begränsas till det som varje tjänsteman behöver för att kunna fullgöra sina arbetsuppgifter.

Dataskyddsombud

9 § Om den personuppgiftsansvarige bryter mot bestämmelser för behandling av personuppgifter och rättelse inte vidtas, ska dataskyddsombudet anmäla det till tillsynsmyndigheten.

Elektroniskt utlämnande av personuppgifter

10 § Personuppgifter får lämnas ut elektroniskt, om det inte är olämpligt. Utlämnande får dock inte ske i form av direktåtkomst.

Avgiftsfri information

11 § Om någon begär information och uppgifter enligt artikel 15 i Europaparlamentets och rådets förordning (EU) 2016/679 oftare än en gång per år, får Rättsmedicinalverket ta ut en rimlig avgift eller avslå begäran.

Begränsning av rätten till information

12 § Bestämmelserna om den registrerades rätt enligt artikel 34 i Europaparlamentets och rådets förordning (EU) 2016/679 att få information om en personuppgiftsincident, gäller inte om Rättsmedicinalverket, enligt lag eller annan författning eller enligt beslut som har meddelats med stöd av författning, inte får lämna ut uppgifter till den registrerade.

Föreskrifter

13 § Regeringen eller den myndighet som regeringen bestämmer kan med stöd av 8 kap. 7 § regeringsformen meddela närmare föreskrifter om

1.begränsningar av möjligheten att använda de uppgifter som anges i 7

§vid sökning i personuppgifter,

2.tillgången till personuppgifter enligt 8 §, och

3.begränsningar av möjligheterna enligt 10 § att lämna ut personuppgifter elektroniskt.

1.Denna lag träder i kraft den 25 maj 2018.

2.Sanktionsavgift enligt 2 kap. 7 § och 3 kap. 1 § 7 får beslutas endast för överträdelser som har begåtts efter ikraftträdandet.

118

3. Bestämmelsen om skadestånd i 48 § personuppgiftslagen (1998:204) Prop. 2019/20:106
gäller fortfarande för skada som har orsakats vid behandling av Bilaga 2
personuppgifter före ikraftträdandet.  

Förslag till lag (2018:000) om Rättsmedicinalverkets elimineringsdatabas

Härigenom föreskrivs följande.

Lagens ändamål

1 § Rättsmedicinalverket får föra ett register över dna-profiler i syfte att stärka kvaliteten i den rättsgenetiska verksamheten med dna-analyser (elimineringsdatabasen) i enlighet med denna lag.

Uppgifter i elimineringsdatabasen får endast behandlas för att upptäcka och utreda kontamineringar vid dna-analyser.

Innebörden av vissa uttryck 2 § I denna lag avses med

dna-analys: varje förfarande som kan användas för analys av deoxiribonukleinsyra i humant material, och

dna-profil: resultatet av en dna-analys som presenteras i form av siffror eller bokstäver.

Förhållandet till Rättsmedicinalverkets datalag (2018:000) och annan personuppgiftsreglering

3 § Denna lag gäller utöver Rättsmedicinalverkets datalag (2018:000). Europaparlamentets och rådets förordning (EU) 2016/679 av den 27

april 2016 om skydd för fysiska personer med avseende på behandling av personuppgifter och om det fria flödet av sådana uppgifter och om upphävande av direktiv 95/46/EG (allmän dataskyddsförordning), lagen

(2018:000) med kompletterande bestämmelser till EU:s dataskyddsförordning och brottsdatalagen (2018:000), ska för Rättsmedicinalverkets elimineringsdatabas tillämpas på motsvarande sätt som enligt Rättsmedicinalverkets datalag gäller för övrig personuppgiftsbehandling vid myndigheten.

Personuppgiftsansvar

4 § Rättsmedicinalverket är personuppgiftsansvarig för behandling av personuppgifter i elimineringsdatabasen.

Databasens innehåll  
5 § Elimineringsdatabasen får innehålla dna-profiler från personer som  
anges i 6 och 7 §§ och som genom att komma i kontakt med material eller  
prover som ska bli föremål för dna-analys eller lokaler där sådana analyser  
utförs riskerar att kontaminera dessa.  
En dna-profil som registreras i databasen får endast ge information om  
identitet. Utöver dna-profiler får elimineringsdatabasen innehålla  
uppgifter om vem dna-profilen avser.  
Databasen får också innehålla dna-profiler som har påträffats vid en dna-  
analys och som inte kan hänföras till en identifierad person. 119
 

Prop. 2019/20:106 Bilaga 2

120

Provtagning

6 § Anställda vid Rättsmedicinalverket och andra som återkommande kan komma i kontakt med och därigenom riskerar att kontaminera material som används vid dna-analys, prover som ska bli föremål för dna-analys eller lokaler där sådana analyser utförs, är skyldiga att lämna prov för dnaanalys i syfte att dna-profilen ska registreras i elimineringsdatabasen. Provet tas i form av salivprov.

7 § För att få tillträde till en lokal där dna-prover som ska analyseras i Rättsmedicinalverkets rättsgenetiska verksamhet hanteras eller förvaras, är även den som inte omfattas av 6 § men som riskerar att kontaminera lokalen, prover som ska bli föremål för dna-analys eller material som används för dna-analys skyldig att lämna prov för dna-analys i syfte att dna-profilen ska registreras i elimineringsdatabasen. Provet tas i form av salivprov.

8 § Ett prov för dna-analys som har tagits med stöd av 6 eller 7 § får inte användas för något annat ändamål än det som provet togs för och ska förstöras senast sex månader efter det att provet togs.

Användning av elimineringsdatabasen

9 § En dna-profil från prov som analyseras vid Rättsmedicinalverket, får jämföras med dna-profiler i elimineringsdatabasen.

En dna-profil som har tagits fram för att kvalitetssäkra dna-analyser i den rättsgenetiska verksamheten får jämföras med dna-profiler i elimineringsdatabasen.

Längsta tid för behandling

10 § Uppgifter i elimineringsdatabasen får inte behandlas när de inte längre behövs för att utreda om en persons dna kan ha kontaminerat material, prover eller lokaler.

Uppgifter som rör anställda vid Rättsmedicinalverket får inte behandlas längre än två år efter det att det förhållande som grundade skyldigheten att lämna prov upphörde. Uppgifter som har registrerats med stöd av 7 § får inte behandlas längre än ett år efter det att uppgifterna registrerades.

Uppgifter som rör andra än de som anges i andra stycket får inte behandlas längre än ett år efter det att det förhållande som grundade skyldigheten att lämna prov upphörde.

Skadestånd

11 § Bestämmelserna i 2 kap. 8 § och 3 kap. 1 § 8 Rättsmedicinalverkets datalag (2018:000) om skadestånd ska tillämpas på motsvarande sätt vid behandling av personuppgifter i strid med denna lag eller föreskrifter som har meddelats i anslutning till den.

Föreskrifter

12 § Regeringen eller den myndighet som regeringen bestämmer kan med stöd av 8 kap. 7 § regeringsformen meddela ytterligare föreskrifter om vilka personalkategorier vid Rättsmedicinalverket och vilka andra personkategorier enligt 6 och 7 §§ som är skyldiga att lämna prover för

dna-analys till elimineringsdatabasen. Detsamma ska gälla för möjligheten att meddela föreskrifter om tillgången till uppgifter i elimineringsdatabasen och förfarandet vid överensstämmelse mellan en dna-profil i elimineringsdatabasen och en annan dna-profil.

1.Denna lag träder i kraft den 25 maj 2018

2.Bestämmelserna om skadestånd i 11 § ska endast tillämpas på skada som inträffat efter ikraftträdandet

3.En dna-profil som har registrerats före den 25 maj 2018 i syfte att upptäcka och utreda kontamineringar vid dna-analyser, får registreras i elimineringsdatabasen om den registrerade samtycker till det. De dnaprofiler som inte registreras i elimineringsdatabasen ska gallras senast den 1 januari 2019.

Prop. 2019/20:106 Bilaga 2

121

Prop. 2019/20:106 Bilaga 3

122

Förteckning över remissinstanser

Remissyttranden över betänkandet Stärkt integritet i Rättsmedicinalverkets verksamhet (SOU 2017:80) har lämnats av

Arbetsförmedlingen, Arbetsgivarverket, Arbetsmiljöverket, Barnombudsmannen, Brottsförebyggande rådet, Brottsoffermyndigheten,

Datainspektionen,Dataskydd.net,Domstolsverket, Diskrimineringsombudsmannen, Ekobrottsmyndigheten, Famna – riksorganisation för idéburen vård och omsorg, Försäkringskassan, Förvaltningsrätten i Falun, Förvaltningsrätten i Luleå, Göta hovrätt, Inspektionen för vård och omsorg, Justitiekanslern, Kammarrätten i Stockholm, Kriminalvården, Kustbevakningen, Landsorganisationen i Sverige (LO), Migrationsverket, Polismyndigheten, Riksdagens ombudsmän (JO), Riksförbundet för social och mental hälsa (RSMH), Riksföreningen PAR (Patienter och Anhöriga i rättspsykiatrin), Rättsliga rådet (Socialstyrelsens råd för vissa rättsliga, sociala och medicinska frågor), Rättsmedicinalverket, Socialstyrelsen, Statens institutionsstyrelse, Svea hovrätt, Sveriges advokatsamfund, Sveriges kommuner och landsting, Säkerhetspolisen, Södertörns tingsrätt, Totalförsvarets rekryteringsmyndighet, Västmanlands tingsrätt och Åklagarmyndigheten.

Yttrande har också inkommit från Föreningen för utgivande av samhällsmagasinet Avsnitt och Sveriges läkarförbund.

Följande remissinstanser har bjudits in att yttra sig men avstått. Civil Rights Defenders, Facket för service och kommunikation (SEKO), Riksförbundet för rättigheter, frigörelse, hälsa och likabehandling (RFHL), Svenska föreningen för barn- och ungdomspsykiatri, Svenska psykiatriska föreningen, Svenska rättspsykiatriska föreningen, Svenska säkerhetsföretag (SWESEC), Svenska vård, Sveriges akademikers centralorganisation (SACO), Sveriges Psykologförbund, Tjänstemännens centralorganisation (TCO) och Vårdföretagarna.

Lagrådsremissens lagförslag

Förslag till lag om Rättsmedicinalverkets behandling av personuppgifter

Härigenom föreskrivs följande.

Prop. 2019/20:106 Bilaga 4

1 kap. Allmänna bestämmelser Lagens tillämpningsområde

1 § Denna lag gäller vid behandling av personuppgifter i Rättsmedicinalverkets verksamhet.

Lagen gäller endast om behandlingen är helt eller delvis automatiserad eller om personuppgifterna ingår i eller kommer att ingå i ett register.

Lagens uppbyggnad

2 § I detta kapitel finns allmänna bestämmelser om behandling av personuppgifter i Rättsmedicinalverkets verksamhet.

Bestämmelserna i 2 kap. gäller vid behandling av personuppgifter inom det område som omfattas av Europaparlamentets och rådets förordning (EU) 2016/679 av den 27 april 2016 om skydd för fysiska personer med avseende på behandling av personuppgifter och om det fria flödet av sådana uppgifter och om upphävande av direktiv 95/46/EG (allmän dataskyddsförordning), här benämnd EU:s dataskyddsförordning.

Bestämmelserna i 3 kap. gäller vid behandling av personuppgifter inom det område som omfattas av brottsdatalagen (2018:1177).

Förhållandet till annan reglering

3 § Denna lag kompletterar EU:s dataskyddsförordning.

Vid behandling av personuppgifter enligt denna lag gäller lagen

(2018:218) med kompletterande bestämmelser till EU:s dataskyddsförordning och föreskrifter som har meddelats i anslutning till den lagen, om inte annat följer av denna lag eller föreskrifter som har meddelats i anslutning till lagen.

4 § När Rättsmedicinalverket i egenskap av behörig myndighet enligt 1 kap. 6 § brottsdatalagen (2018:1177) behandlar personuppgifter enligt denna lag i syfte att förebygga, förhindra eller upptäcka brottslig verksamhet, utreda eller lagföra brott eller verkställa straffrättsliga påföljder gäller brottsdatalagen och föreskrifter som har meddelats i anslutning till den lagen, om inte annat följer av denna lag eller föreskrifter som har meddelats i anslutning till lagen.

5 § Denna lag gäller inte när personuppgifter behandlas med stöd av

1.lagen (1999:353) om rättspsykiatriskt forskningsregister,

2.lagen (2003:460) om etikprövning av forskning som avser människor,

eller 123

Prop. 2019/20:106 Bilaga 4

3. patientdatalagen (2008:355).

6 § I lagen (2020:0000) om Rättsmedicinalverkets elimineringsdatabas finns bestämmelser om Rättsmedicinalverkets behandling av personuppgifter i myndighetens elimineringsdatabas.

Uppgifter om avlidna

7 § Följande reglering ska i tillämpliga delar gälla även vid behandling av uppgifter om avlidna i Rättsmedicinalverkets verksamhet:

1.denna lag och föreskrifter som har meddelats i anslutning till den,

2.EU:s dataskyddsförordning, lagen (2018:218) med kompletterande bestämmelser till EU:s dataskyddsförordning och föreskrifter som har meddelats i anslutning till den, och

3.brottsdatalagen (2018:1177) och föreskrifter som har meddelats i anslutning till den.

Personuppgiftsansvar

8 § Rättsmedicinalverket är personuppgiftsansvarigt för behandling av personuppgifter i myndighetens verksamhet.

Elektroniskt utlämnande av personuppgifter

9 § Personuppgifter får lämnas ut elektroniskt om det inte är olämpligt. Utlämnande får dock inte ske i form av direktåtkomst.

Regeringen eller den myndighet som regeringen bestämmer kan med stöd av 8 kap. 7 § regeringsformen meddela ytterligare föreskrifter om begränsningar av möjligheten att lämna ut personuppgifter elektroniskt.

2 kap. Behandling av personuppgifter inom det område som omfattas av EU:s dataskyddsförordning

Ändamål

1 § Rättsmedicinalverket får behandla personuppgifter om det är nödvändigt för att myndigheten ska kunna utföra sina uppgifter i den rättspsykiatriska, rättskemiska, rättsmedicinska eller rättsgenetiska verksamheten.

2 § Personuppgifter som behandlas enligt 1 § får även behandlas för att fullgöra uppgiftslämnande som sker i överensstämmelse med lag eller förordning.

Personuppgifterna får behandlas även för andra ändamål, under förutsättning att uppgifterna inte behandlas på ett sätt som är oförenligt med det ändamål för vilket uppgifterna samlades in.

Sökförbud

3 § Det är förbjudet att göra sökningar i syfte att få fram ett urval av personer grundat på personuppgifter som avslöjar ras, etniskt ursprung,

124

politiska åsikter, religiös eller filosofisk övertygelse eller medlemskap i Prop. 2019/20:106
fackförening eller som rör sexualliv eller sexuell läggning.   Bilaga 4
4 § Sökförbudet i 3 § hindrar inte att särskilda beteckningar för  
identifiering av en viss ärendetyp, brottsrubriceringar eller uppgifter som  
beskriver en persons utseende används som sökbegrepp.    
Sökförbudet hindrar inte heller sökning i en viss handling eller i ett visst  
ärende.        
Tillgången till personuppgifter        
5 § Tillgången till personuppgifter ska begränsas till det som var och en  
behöver för att kunna fullgöra sina arbetsuppgifter.      
Information om personuppgiftsincidenter      
6 § Den personuppgiftsansvariges skyldighet att informera den  

registrerade om en personuppgiftsincident enligt artikel 34 i EU:s dataskyddsförordning gäller inte sådana uppgifter som den personuppgiftsansvarige inte får lämna ut till den registrerade enligt lag eller annan författning eller enligt beslut som har meddelats med stöd av författning.

Rätt att meddela föreskrifter

7 § Regeringen eller den myndighet som regeringen bestämmer kan med stöd av 8 kap. 7 § regeringsformen

1.meddela föreskrifter om begränsningar av möjligheten att göra sökningar i syfte att få fram ett urval av personer grundat på uppgifter om hälsa, biometriska uppgifter och genetiska uppgifter samt sådana sökningar som anges i 4 §, och

2.meddela närmare föreskrifter om tillgången till personuppgifter enligt

5 §.

3 kap. Behandling av personuppgifter inom det område som omfattas av brottsdatalagen

Ändamål

1 § Rättsmedicinalverket får behandla personuppgifter om det är nödvändigt för att myndigheten ska kunna utföra följande uppgifter:

1.förebygga, förhindra eller upptäcka brottslig verksamhet,

2.utreda eller lagföra brott,

3.verkställa straffrättsliga påföljder, eller

4.fullgöra förpliktelser som följer av internationella åtaganden.

2 § Förutsättningarna för att behandla personuppgifter som behandlas med stöd av 1 § för nya ändamål regleras i 2 kap. 4 och 22 §§ brottsdatalagen (2018:1177).

125

Prop. 2019/20:106 Bilaga 4

Biometriska och genetiska uppgifter

3 § Rättsmedicinalverket får behandla biometriska och genetiska uppgifter om det är absolut nödvändigt för ändamålet med behandlingen.

Sökförbud

4 § Det är förbjudet att göra sökningar i syfte att få fram ett urval av personer grundat på personuppgifter som avslöjar ras, etniskt ursprung, politiska åsikter, religiös eller filosofisk övertygelse eller medlemskap i fackförening eller som rör sexualliv eller sexuell läggning.

5 § Sökförbudet i 4 § hindrar inte att särskilda beteckningar för identifiering av en viss ärendetyp, brottsrubriceringar eller uppgifter som beskriver en persons utseende används som sökbegrepp.

Sökförbudet hindrar inte heller sökning i en viss handling eller i ett visst ärende.

Sanktionsavgifter

6 § En sanktionsavgift får tas ut av den personuppgiftsansvarige vid överträdelse av bestämmelserna i

1 § om ändamål, eller

4 § om sökförbud.

En sanktionsavgift får också tas ut vid överträdelse av de föreskrifter

som anges i 8 § 1.

Sanktionsavgiften ska bestämmas till högst 10 000 000 kronor.

Skadestånd

7 § Bestämmelsen om skadestånd i 7 kap. 1 § brottsdatalagen (2018:1177) ska tillämpas vid behandling av personuppgifter i strid med denna lag eller föreskrifter som har meddelats i anslutning till den.

Rätt att meddela föreskrifter

8 § Regeringen eller den myndighet som regeringen bestämmer kan med stöd av 8 kap. 7 § regeringsformen

1.meddela föreskrifter om begränsningar av möjligheten att göra sökningar i syfte att få fram ett urval av personer grundat på uppgifter om hälsa, biometriska uppgifter och genetiska uppgifter samt sökningar som anges i 5 §, och

2.meddela närmare föreskrifter om tillgången till personuppgifter.

1.Denna lag träder i kraft den 1 juli 2020.

2.En sanktionsavgift enligt 3 kap. 6 § får beslutas endast för överträdelser som har skett efter ikraftträdandet.

126

Förslag till lag om Rättsmedicinalverkets Prop. 2019/20:106
elimineringsdatabas Bilaga 4
 
Härigenom föreskrivs följande.  
Ändamål  
1 § Rättsmedicinalverket får föra ett register över dna-profiler i syfte att  
stärka kvaliteten i den rättsgenetiska verksamheten med dna-analyser  
(elimineringsdatabasen) i enlighet med denna lag.  
Uppgifter i elimineringsdatabasen får endast behandlas för att upptäcka  
och utreda kontamineringar av det som är föremål för dna-analys.  
Innebörden av vissa uttryck  
2 § I denna lag avses med  
dna-analys: varje förfarande som kan användas för analys av  
deoxiribonukleinsyra i humant material, och  
dna-profil: resultatet av en dna-analys som presenteras i form av siffror  
eller bokstäver.  
Förhållandet till annan dataskyddsreglering  
3 § Vid behandling av personuppgifter enligt denna lag gäller lagen  
(2020:000) om Rättsmedicinalverkets behandling av personuppgifter och  
föreskrifter som har meddelats i anslutning till den lagen, om inte annat  
följer av denna lag eller föreskrifter som har meddelats i anslutning till  
lagen.  
Personuppgiftsansvar  
4 § Rättsmedicinalverket är personuppgiftsansvarigt för behandling av  
personuppgifter i elimineringsdatabasen.  
Innehåll  
5 § Elimineringsdatabasen får innehålla dna-profiler från personer som  
anges i 6 och 7 §§ och som genom att komma i kontakt med material eller  
prover som ska bli föremål för dna-analys eller lokaler där sådana analyser  
utförs riskerar att kontaminera dessa. Databasen får också innehålla dna-  
profiler som har påträffats vid en dna-analys och som inte kan hänföras till  
en identifierad person.  
En dna-profil som registreras i databasen får endast ge information om  
identitet och inte om personliga egenskaper.  
Utöver dna-profiler får elimineringsdatabasen innehålla uppgifter om  
vem dna-profilen avser.  
Provtagning  
6 § Anställda vid Rättsmedicinalverket och andra som återkommande  
kan komma i kontakt med och därigenom riskerar att kontaminera material  
som används vid dna-analys, prover som ska bli föremål för dna-analys 127
 

Prop. 2019/20:106 Bilaga 4

128

eller lokaler där sådana analyser utförs, är skyldiga att lämna prov för dnaanalys i syfte att dna-profilen ska registreras i elimineringsdatabasen. Provet tas i form av salivprov.

7 § För att få tillträde till en lokal där dna-prover hanteras eller förvaras är även den som inte omfattas av 6 § men som riskerar att kontaminera lokalen, prover som ska bli föremål för dna-analys eller material som används för dna-analys skyldig att lämna prov för dna-analys i syfte att dna-profilen ska registreras i elimineringsdatabasen. Provet tas i form av salivprov.

8 § Ett prov för dna-analys som har tagits med stöd av 6 eller 7 § får inte användas för något annat ändamål än det som provet togs för och ska förstöras senast sex månader efter det att provet togs.

Användning av elimineringsdatabasen

9 § En dna-profil från prov som analyseras vid Rättsmedicinalverket får jämföras med dna-profiler i elimineringsdatabasen.

En dna-profil som har tagits fram för att kvalitetssäkra den rättsgenetiska verksamheten med dna-analyser får jämföras med dna-profiler i elimineringsdatabasen.

Längsta tid för behandling

10 § Uppgifter i elimineringsdatabasen får inte behandlas längre än vad som behövs för att upptäcka och utreda om en persons dna kan ha kontaminerat material, prover eller lokaler.

Uppgifter som rör anställda vid Rättsmedicinalverket får inte behandlas längre än två år efter det att det förhållande som grundade skyldigheten att lämna prov upphörde.

Uppgifter som har registrerats med stöd av 7 § får inte behandlas längre än ett år efter det att uppgifterna registrerades.

Uppgifter som rör andra än de som anges i andra och tredje styckena får inte behandlas längre än ett år efter det att det förhållande som grundade skyldigheten att lämna prov upphörde.

Bestämmelsen i 2 kap. 17 § andra stycket brottsdatalagen (2018:1177) gäller inte vid tillämpning av denna paragraf.

Skadestånd

11 § Inom det område som omfattas av brottsdatalagen (2018:1177) ska bestämmelsen om skadestånd i 7 kap. 1 § brottsdatalagen tillämpas vid behandling av personuppgifter i strid med denna lag eller föreskrifter som har meddelats i anslutning till den.

Rätt att meddela föreskrifter

12 § Regeringen eller den myndighet som regeringen bestämmer kan med stöd av 8 kap. 7 § regeringsformen

1.meddela närmare föreskrifter om vilka personalkategorier vid Rättsmedicinalverket och vilka andra personkategorier enligt 6 och 7 §§ som är skyldiga att lämna prover för dna-analys till elimineringsdatabasen,

2.meddela närmare föreskrifter om tillgången till uppgifter i elimineringsdatabasen, och

3.meddela föreskrifter om förfarandet vid överensstämmelse mellan en dna-profil i elimineringsdatabasen och en annan dna-profil.

1.Denna lag träder i kraft den 1 juli 2020.

2.En dna-profil som har registrerats före den 1 juli 2020 i syfte att upptäcka och utreda kontamineringar av det som är föremål för dnaanalys, får registreras i elimineringsdatabasen om den registrerade godtar det. De dna-profiler som inte registreras i elimineringsdatabasen ska gallras senast den 1 januari 2021.

Prop. 2019/20:106 Bilaga 4

129

Prop. 2019/20:106 Bilaga 5

Lagrådets yttrande

Utdrag ur protokoll vid sammanträde 2020-02-12

Närvarande: F.d. justitierådet Eskil Nord samt justitieråden Inga-Lill Askersjö och Sten Andersson

Stärkt integritet i Rättsmedicinalverkets verksamhet

Enligt en lagrådsremiss den 30 januari 2020 har regeringen (Justitiedepartementet) beslutat inhämta Lagrådets yttrande

över förslag till

1.lag om Rättsmedicinalverkets behandling av personuppgifter,

2.lag om Rättsmedicinalverkets elimineringsdatabas.

Förslagen har inför Lagrådet föredragits av kanslirådet

Manne Heimer.

Lagrådet lämnar förslagen utan erinran.

130

Prop. 2019/20:106

Justitiedepartementet

Utdrag ur protokoll vid regeringssammanträde den 5 mars 2020

Närvarande: statsminister Löfven, ordförande, och statsråden Johansson, Hallengren, Hultqvist, Andersson, Bolund, Damberg, Shekarabi, Ygeman, Eriksson, Linde, Ekström, Eneroth, Dahlgren, Nilsson, Ernkrans, Lindhagen, Lind, Hallberg, Nordmark, Micko

Föredragande: statsrådet Johansson

Regeringen beslutar proposition Stärkt integritet i Rättsmedicinalverkets verksamhet

131