Tilläggsdirektiv till Biometriutredningen (Ju 2021:05)

Innehåll

Beslut vid regeringssammanträde den 17 mars 2022

Utvidgning av uppdraget

Regeringen beslutade den 20 maj 2021 kommittédirektiv om biometri i brottsbekämpningen (dir. 2021:34). Enligt direktiven ska en särskild utredare se över förutsättningarna för att använda biometri som verktyg i brottsbekämpningen. Syftet med utredningen är att fler personer som misstänks för brott ska kunna identifieras med hjälp av fingeravtryck, dna, ansiktsbilder eller liknande information om individuella kännetecken.

Utredaren ska nu, bl.a.

. ta ställning till om och i så fall under vilka förutsättningar Polismyndigheten ska kunna använda dna-baserade släktforskningsdatabaser i syfte att identifiera personer som misstänks för brott, och

. lämna nödvändiga författningsförslag.

Utredningstiden ligger fast. Uppdraget ska alltså redovisas senast den 20 februari 2023.

Polismyndigheten har använt dna-baserade släktforskningsdatabaser för att utreda brott

Under 2020 kunde Polismyndigheten genom att använda dna-baserade släktforskningsdatabaser inom ramen för ett pilotprojekt identifiera den tidigare okända gärningsman som sedan kunde gripas och dömas för ett dubbelmord i Linköping 2004. Den s.k. släktforskningsmetoden går i korthet ut på att Polismyndigheten laddar upp ett dna-dataunderlag som tagits fram efter en analys av spår som säkrats vid t.ex. en brottsplats i en kommersiell släktforskningsdatabas. Detta kan sedan generera en träff på släktingar till den misstänkte gärningsmannen. Därefter kan det vara möjligt att identifiera denne genom traditionell släktforskning och vidare utredning. Efter att dubbelmordet i Linköping lösts med hjälp av denna metod begärde Polismyndigheten förhandssamråd enligt 3 kap. 7 § brottsdatalagen (2018:1177) med Integritetsskyddsmyndigheten (IMY) för att säkerställa att släktforskningsmetoden var laglig och kunde införas som en metod och därmed användas i fler fall. Metoden är tänkt att användas i utredning av vissa typer av mycket grova brott för att identifiera okända gärningsmän, där gärningsmannen inte har kunnat identifieras på annat sätt. IMY bedömde i samrådsyttrande i maj 2021 att den planerade behandlingen av personuppgifter skulle innebära att personuppgifter i flera avseenden skulle behandlas i strid med lag. IMY avrådde därför Polismyndigheten från fortsatt användning av släktforskningsmetoden.

Släktforskningsmetoden

Polismyndigheten har i samband med att myndigheten begärde förhandssamråd med IMY beskrivit släktforskningsmetoden enligt i huvudsak följande fyra steg. I det första steget tar Nationellt forensiskt centrum (NFC) inom Polismyndigheten ut dna-extrakt från ett dna-spår som t.ex. säkrats vid en brottsplats. Analys av dna-extraktet sker på Rättsmedicinalverket och vid behov med hjälp av ett svenskt externt laboratorium. Genom analysen erhålls ett detaljerat dna-resultat (på dna-sekvensnivå). I steg två laddas det erhållna dna-resultatet upp och jämförs mot motsvarande dna-resultat som lagts in i tillgängliga släktforskningsdatabaser av andra personer. Med tillgänglig avses släktforskningsdatabaser som enligt användarvillkoren och med andra användares medgivande tillåter sökningar för brottsbekämpande ändamål. De databaser som hittills varit tillgängliga finns hos privata aktörer i USA. Uppladdningen går till så att dna-resultatet via internet förs in i databasen hos företaget (t.ex. genom att ett användarkonto upprättas för Polismyndigheten). Sökningen resulterar sedan, i steg tre, i en träfflista över vilka andra användares dna-profiler som matchar det inmatade dna-resultatet och vilken grad av släktskap som finns. Träfflistan kan inledningsvis vara omfattande och i så fall behöver ett urval göras t.ex. med beaktande av namn, geografi eller bedömt generationsavstånd. Träfflistan eller ett begränsat urval bearbetas sedan vidare genom traditionell släktforskning som kan behöva ta en utgångspunkt fyra eller fem generationer tillbaka i tiden från de personer som visat sig matcha vid sökning i databasen. Därifrån kartläggs sedan släktbanden framåt i tiden och ett släktträd sammanställs. Kartläggningen kan t.ex. göras genom sökningar i släktforskningsdatabaser, folkbokföringsdatabasen eller i kyrkoböcker. Syftet med släktforskningen är att få fram en mycket begränsad lista med personer som har relevant släktskap med personerna på träfflistan och som kan vara intressanta att utreda vidare. I metodens fjärde och sista steg handlar det om att med utgångspunkt i resultaten av släktforskningen nå fram till den misstänkte med vanliga brottsutredande metoder och göra en direkt jämförelse med brottsplatsspåret, genom s.k. topsning.

Av begäran om förhandssamråd med IMY framgår att Polismyndigheten har bedömt den planerade behandlingen som författningsenlig, men också att den medfört flera svåra rättsliga avvägningar.

Integritetsskyddsmyndighetens yttrande

I samrådsyttrande den 3 maj 2021 bedömde IMY, i motsats till Polismyndigheten, att den planerade behandlingen av personuppgifter som släktforskningsmetoden kräver skulle innebära att personuppgifter i flera avseenden behandlas i strid med lag och avrådde Polismyndigheten från att gå vidare med den tilltänkta behandlingen. Enligt IMY krävs det lagändringar för att Polismyndigheten ska kunna gå vidare med släktforskningsmetoden. IMY identifierade nedanstående dataskyddsrättsliga problem, men lämnade även öppet för att det kan finnas fler frågeställningar som behöver behandlas.

Ändamål med behandlingen

Släktforskningsmetoden innebär enligt Polismyndigheten och IMY att genetiska uppgifter behandlas. För att sådana uppgifter ska få behandlas krävs bl.a. att det är särskilt föreskrivet (2 kap. 12 § brottsdatalagen). Av 6 kap. 1 och 4 §§ lagen (2018:1693) om polisens behandling av personuppgifter inom brottsdatalagens område (polisens brottsdatalag) framgår att det inom Polismyndigheten endast är NFC som får behandla genetiska uppgifter för vissa angivna ändamål. IMY uttrycker i sitt yttrande att behandlingen i det steg som innebär överföring av dna-dataunderlag för sökning i en släktforskningsdatabas hos ett utländskt företag inte tycks falla in under något av de tillåtna ändamålen för behandling enligt 6 kap. 1 § polisens brottsdatalag.

Absolut nödvändigt

För att genetiska uppgifter ska få behandlas av NFC krävs också att det är absolut nödvändigt för ändamålet med behandlingen (2 kap. 12 § brottsdatalagen och 6 kap. 4 § polisens brottsdatalag). Samma krav gäller för att Polismyndigheten ska få behandla biometriska uppgifter (2 kap. 12 § brottsdatalagen och 6 kap. 4 § polisens brottsdatalag). IMY framhåller i sitt yttrande att det innebär att behovet av att behandla sådana uppgifter måste prövas särskilt noga i det enskilda fallet och att behandlingen kräver särskilt robusta motiveringar. I och med att IMY redan när det gäller ändamålet med behandlingen ansåg att det sannolikt saknas lagstöd fann myndigheten inte anledning att närmare redogöra för vad som skulle krävas för att i det här sammanhanget uppnå det strikta kravet på nödvändighet.

Sökförbud

Enligt brottsdatalagen är det förbjudet att utföra sökningar i syfte att få fram ett urval av personer grundat på bl.a. biometriska och genetiska uppgifter (2 kap. 14 § brottsdatalagen). Undantag från sökförbudet finns bl.a. i 6 kap. 5 § polisens brottsdatalag.

Sökningar i släktforskningsdatabaser inom ramen för den beskrivna metoden sker enligt IMY i syfte att få fram ett urval av personer grundat på genetiska uppgifter. IMY och Polismyndigheten har båda bedömt att undantaget i 6 kap. 5 § polisens brottsdatalag inte är tillämpligt vid sökning i en släktforskningsdatabas. Polismyndigheten har dock, inom ramen för samrådet, bedömt att sökförbudet enligt 2 kap. 14 § brottsdatalagen inte kan anses gälla i aktuell situation, då det inte kan anses träffa annat än på vilket sätt som personuppgifter som har samlats in i den svenska polisens register eller uppgiftssamlingar får användas vid sökning. Detta bl.a. mot bakgrund av att uppgifterna i släktforskningsdatabaserna är att anse som tydligt offentliggjorda av användaren (jfr artikel 10.c i det EU-direktiv som ligger till grund för brottsdatalagen) och att sökförbudets utformning förutsätter att den personuppgiftsansvariga myndigheten har faktisk rådighet över hur sökmöjligheter tekniskt utformas i en databas. Enligt IMY tyder varken förarbetena eller bestämmelsens ordalydelse på att sökförbudet skulle vara begränsat på det sätt som Polismyndigheten hävdat. Sökning i släktforskningsdatabaser på det sätt som den beskrivna släktforskningsmetoden kräver strider enligt IMY mot sökförbudet i 2 kap. 14 § brottsdatalagen.

Säkerhetsåtgärder

Enligt 3 kap. 8 § brottsdatalagen ska den personuppgiftsansvarige vidta lämpliga tekniska och organisatoriska åtgärder för att skydda de personuppgifter som behandlas, särskilt mot obehörig eller otillåten behandling och mot förlust, förstöring eller annan oavsiktlig skada. IMY lyfter i sitt yttrande svårigheterna med att tillse att uppgifter som förs in och behandlas i en släktforskningsdatabas hos ett privat företag i USA omfattas av det skydd som krävs enligt bestämmelsen.

Tredjelandsöverföringar

Behöriga myndigheter får överföra personuppgifter till ett tredjeland endast om vissa särskilt uppräknade villkor är uppfyllda. 8 kap. 5 § första stycket 2 och 8 kap. 8 § brottsdatalagen ger en möjlighet att under vissa omständigheter överföra personuppgifter till tredjeland i enskilda fall. Inskränkningen till enskilda fall får enligt förarbetena till brottsdatalagen ses som ett uttryck för att regleringen inte får utnyttjas för bl.a. storskaliga överföringar. Om Polismyndigheten avser att använda släktforskningsmetoden i fler fall, och då tillämpa denna grund för tredjelandsöverföring, kan det enligt IMY innebära problem eftersom denna grund för överföring ska tillämpas restriktivt och de nämnda bestämmelserna som regel inte möjliggör upprepade överföringar.

Uppdraget att undersöka förutsättningarna för att använda dna-baserade släktforskningsdatabaser för att identifiera personer som misstänks för brott

Det är mycket viktigt att polisen har effektiva verktyg för att utreda allvarliga brott. Släktforskningsmetoden har visat sig vara ett kraftfullt verktyg för att identifiera personer som har gjort sig skyldiga till brott när dna-spår säkrats och andra utredningsmetoder inte räckt till. Samtidigt är det viktigt att beakta integritetsaspekterna. Både det grundläggande skyddet för den personliga integriteten och den EU-rättsliga dataskyddslagstiftningen behöver beaktas när nya metoder övervägs. Såväl Polismyndighetens begäran om förhandssamråd som IMY:s yttrande tydliggör att det finns flera komplexa frågor att ta ställning till.

Intresset av en effektiv brottsbekämpning är så starkt att förutsättningarna för att använda dna-baserade släktforskningsdatabaser i syfte att identifiera personer som misstänks för brott under alla förhållanden måste analyseras närmare. Det kan handla om att regelverket behöver anpassas för att metoden ska kunna användas. Det kan också vara så att metoden, så som Polismyndigheten beskrivit den, kan behöva anpassas eller förändras i något avseende för att stå i överensstämmelse med den EU-rättsliga dataskyddslagstiftningen. Om dna-baserade släktforskningsdatabaser ska få användas i syfte att identifiera misstänkta bör det också noga övervägas under vilka förutsättningar det ska få ske, t.ex. vid vilken typ av allvarlig brottslighet som metoden ska kunna användas.

Utredaren ska därför

. identifiera vilka rättsliga hinder som kan finnas mot att jämföra dna från brottsutredningar med dna-data i släktforskningsdatabaser i dag,

. ta ställning till om och i så fall under vilka förutsättningar Polismyndigheten ska kunna använda dna-baserade släktforskningsdatabaser i syfte att identifiera personer som misstänks för brott, och

. lämna nödvändiga författningsförslag.

Utredaren får också ta upp och lämna författningsförslag i andra frågor som direkt anknyter till tilläggsuppdraget. Utredaren ska även i denna del av uppdraget noga väga behovet av en effektiv brottsbekämpning mot den enskildes rätt till skydd för sin personliga integritet. Grundläggande fri- och rättigheter ska beaktas på samma sätt som enligt de ursprungliga direktiven. Utredarens förslag måste även hålla sig inom ramarna för det EU-direktiv som reglerar personuppgiftsbehandling inom brottsbekämpningen och som ligger till grund för brottsdatalagen och annan svensk lagstiftning.

Kontakter och redovisning av uppdraget

I den utsträckning det behövs ska utredaren hämta in synpunkter och upplysningar från berörda myndigheter och organisationer. Utredningstiden ligger fast. Uppdraget ska alltså redovisas senast den 20 februari 2023.

(Justitiedepartementet)