Lag (2020:421) om Rättsmedicinalverkets behandling av personuppgifter

Innehåll

1 kap. Allmänna bestämmelser

Lagens tillämpningsområde

1 § Denna lag gäller vid behandling av personuppgifter i Rättsmedicinalverkets verksamhet.

Lagen gäller endast om behandlingen är helt eller delvis automatiserad eller om personuppgifterna ingår i eller kommer att ingå i ett register.

Lagens uppbyggnad

2 § I detta kapitel finns allmänna bestämmelser om behandling av personuppgifter i Rättsmedicinalverkets verksamhet.

Bestämmelserna i 2 kap. gäller vid behandling av personuppgifter inom det område som omfattas av Europaparlamentets och rådets förordning (EU) 2016/679 av den 27 april 2016 om skydd för fysiska personer med avseende på behandling av personuppgifter och om det fria flödet av sådana uppgifter och om upphävande av direktiv 95/46/EG (allmän dataskyddsförordning), här benämnd EU:s dataskyddsförordning.

Bestämmelserna i 3 kap. gäller vid behandling av personuppgifter inom det område som omfattas av brottsdatalagen (2018:1177).

Förhållandet till annan reglering

3 § Denna lag kompletterar EU:s dataskyddsförordning.

Vid behandling av personuppgifter enligt denna lag gäller lagen (2018:218) med kompletterande bestämmelser till EU:s dataskyddsförordning och föreskrifter som har meddelats i anslutning till den lagen, om inte annat följer av denna lag eller föreskrifter som har meddelats i anslutning till lagen.

4 § När Rättsmedicinalverket i egenskap av behörig myndighet enligt 1 kap. 6 § brottsdatalagen (2018:1177) behandlar personuppgifter enligt denna lag i syfte att förebygga, förhindra eller upptäcka brottslig verksamhet, utreda eller lagföra brott eller verkställa straffrättsliga påföljder gäller brottsdatalagen och föreskrifter som har meddelats i anslutning till den lagen, om inte annat följer av denna lag eller föreskrifter som har meddelats i anslutning till lagen.

5 § Denna lag gäller inte när personuppgifter behandlas med stöd av
1. lagen (1999:353) om rättspsykiatriskt forskningsregister,
2. lagen (2003:460) om etikprövning av forskning som avser människor,
3. patientdatalagen (2008:355), eller
4. lagen (2022:913) om sammanhållen vård- och omsorgsdokumentation. Lag (2022:921).

6 § I lagen (2020:422) om Rättsmedicinalverkets elimineringsdatabas finns bestämmelser om Rättsmedicinalverkets behandling av personuppgifter i myndighetens elimineringsdatabas.

Uppgifter om avlidna

7 § Följande reglering ska i tillämpliga delar gälla även vid behandling av uppgifter om avlidna i Rättsmedicinalverkets verksamhet:
1. denna lag och föreskrifter som har meddelats i anslutning till den,
2. EU:s dataskyddsförordning, lagen (2018:218) med kompletterande bestämmelser till EU:s dataskyddsförordning och föreskrifter som har meddelats i anslutning till den, och
3. brottsdatalagen (2018:1177) och föreskrifter som har meddelats i anslutning till den.

Personuppgiftsansvar

8 § Rättsmedicinalverket är personuppgiftsansvarigt för behandling av personuppgifter i myndighetens verksamhet.

Elektroniskt utlämnande av personuppgifter

9 § Personuppgifter får lämnas ut elektroniskt om det inte är olämpligt. Utlämnande får dock inte ske i form av direktåtkomst.

Regeringen eller den myndighet som regeringen bestämmer kan med stöd av 8 kap. 7 § regeringsformen meddela ytterligare föreskrifter om begränsningar av möjligheten att lämna ut personuppgifter elektroniskt.

2 kap. Behandling av personuppgifter inom det område som omfattas av EU:s dataskyddsförordning

Ändamål

1 § Rättsmedicinalverket får behandla personuppgifter om det är nödvändigt för att myndigheten ska kunna utföra sina uppgifter i den rättspsykiatriska, rättskemiska, rättsmedicinska eller rättsgenetiska verksamheten.

2 § Personuppgifter som behandlas enligt 1 § får även behandlas för att fullgöra uppgiftslämnande som sker i överensstämmelse med lag eller förordning.

Personuppgifterna får behandlas även för andra ändamål, under förutsättning att uppgifterna inte behandlas på ett sätt som är oförenligt med det ändamål för vilket uppgifterna samlades in.

Sökförbud

3 § Det är förbjudet att göra sökningar i syfte att få fram ett urval av personer grundat på personuppgifter som avslöjar ras, etniskt ursprung, politiska åsikter, religiös eller filosofisk övertygelse eller medlemskap i fackförening eller som rör sexualliv eller sexuell läggning.

4 § Sökförbudet i 3 § hindrar inte att särskilda beteckningar för identifiering av en viss ärendetyp, brottsrubriceringar eller uppgifter som beskriver en persons utseende används som sökbegrepp.

Sökförbudet hindrar inte heller sökning i en viss handling eller i ett visst ärende.

Tillgången till personuppgifter

5 § Tillgången till personuppgifter ska begränsas till det som var och en behöver för att kunna fullgöra sina arbetsuppgifter.

Information om personuppgiftsincidenter

6 § Den personuppgiftsansvariges skyldighet att informera den registrerade om en personuppgiftsincident enligt artikel 34 i EU:s dataskyddsförordning gäller inte sådana uppgifter som den personuppgiftsansvarige inte får lämna ut till den registrerade enligt lag eller annan författning eller enligt beslut som har meddelats med stöd av författning.

Rätt att meddela föreskrifter

7 § Regeringen eller den myndighet som regeringen bestämmer kan med stöd av 8 kap. 7 § regeringsformen
1. meddela föreskrifter om begränsningar av möjligheten att göra sökningar i syfte att få fram ett urval av personer grundat på uppgifter om hälsa, biometriska uppgifter och genetiska uppgifter samt sådana sökningar som anges i 4 §, och
2. meddela närmare föreskrifter om tillgången till personuppgifter enligt 5 §.

3 kap. Behandling av personuppgifter inom det område som omfattas av brottsdatalagen

Ändamål

1 § Rättsmedicinalverket får behandla personuppgifter om det är nödvändigt för att myndigheten ska kunna utföra följande uppgifter:
1. förebygga, förhindra eller upptäcka brottslig verksamhet,
2. utreda eller lagföra brott,
3. verkställa straffrättsliga påföljder, eller
4. fullgöra förpliktelser som följer av internationella åtaganden.

2 § Förutsättningarna för att behandla personuppgifter som behandlas med stöd av 1 § för nya ändamål regleras i 2 kap. 4 och 22 §§ brottsdatalagen (2018:1177).

Biometriska och genetiska uppgifter

3 § Rättsmedicinalverket får behandla biometriska och genetiska uppgifter om det är absolut nödvändigt för ändamålet med behandlingen.

Sökförbud

4 § Det är förbjudet att göra sökningar i syfte att få fram ett urval av personer grundat på personuppgifter som avslöjar ras, etniskt ursprung, politiska åsikter, religiös eller filosofisk övertygelse eller medlemskap i fackförening eller som rör sexualliv eller sexuell läggning.

5 § Sökförbudet i 4 § hindrar inte att särskilda beteckningar för identifiering av en viss ärendetyp, brottsrubriceringar eller uppgifter som beskriver en persons utseende används som sökbegrepp.

Sökförbudet hindrar inte heller sökning i en viss handling eller i ett visst ärende.

Sanktionsavgifter

6 § En sanktionsavgift får tas ut av den personuppgiftsansvarige vid överträdelse av bestämmelserna i
- 1 § om ändamål, eller
- 4 § om sökförbud.

En sanktionsavgift får också tas ut vid överträdelse av de föreskrifter som anges i 8 § 1.

Sanktionsavgiften ska bestämmas till högst 10 000 000 kronor.

Skadestånd

7 § Bestämmelsen om skadestånd i 7 kap. 1 § brottsdatalagen (2018:1177) ska tillämpas vid behandling av personuppgifter i strid med denna lag eller föreskrifter som har meddelats i anslutning till den.

Rätt att meddela föreskrifter

8 § Regeringen eller den myndighet som regeringen bestämmer kan med stöd av 8 kap. 7 § regeringsformen
1. meddela föreskrifter om begränsningar av möjligheten att göra sökningar i syfte att få fram ett urval av personer grundat på uppgifter om hälsa, biometriska uppgifter och genetiska uppgifter samt sökningar som anges i 5 §, och
2. meddela närmare föreskrifter om tillgången till personuppgifter.

Övergångsbestämmelser

2020:421
1. Denna lag träder i kraft den 1 juli 2020.
2. En sanktionsavgift enligt 3 kap. 6 § får beslutas endast för överträdelser som har skett efter ikraftträdandet.