Ds 2013:22
Behandlingen av personuppgifter vid Statens kriminaltekniska laboratorium
2
Innehåll
1 Promemorians huvudsakliga innehåll ........................... 7
2 Författningsförslag ................................................... 11
2.1 Förslag till lag om ändring i lagen (2000:343) om internationellt polisiärt samarbete ...................................... 11 2.2 Förslag till lag om ändring i polisdatalagen (2010:361) ..... 12 2.3 Förslag till lag om ändring i polisdatalagen (2010:361) ..... 19 2.4 Förslag till förordning (2014:00) om elimineringsdatabasen ............................................................................... 23
2.5 Förslag till förordning om ändring i förordningen (2014:00) om elimineringsdatabasen .................................. 25
3 Bakgrund ................................................................ 27
3.1 Inledning ............................................................................... 27 3.2 Utredningsuppdraget ........................................................... 30 3.3 Polisorganisationskommittén .............................................. 33 3.4 Undersökningsärendena hos SKL ....................................... 34
Innehåll
3
3.5 Elimineringsdatabasen ......................................................... 40
4 Rättsliga utgångspunkter ......................................... 57
4.1 Urval och disposition av de rättsliga utgångspunkterna ...................................................................................... 57
4.2 Personuppgiftsbehandling ................................................... 58 4.2.1 Internationella överenskommelser .......................... 58 4.2.2 EU-rättsakter ............................................................ 60 4.2.3 Regeringsformen ...................................................... 64 4.2.4 Tryckfrihetsförordningen ........................................ 65 4.2.5 Personuppgiftslagen ................................................. 66 4.2.6 Offentlighets- och sekretesslagen ........................... 71 4.2.7 Särskilda s.k. registerförfattningar ........................... 73 4.2.8 Polisdatalagen ........................................................... 75 4.3 Provtagning för DNA-analys .............................................. 82 4.3.1 Regeringsformen m.m. ............................................. 82 4.3.2 Rättegångsbalken ...................................................... 84 4.4 SKL:s leverantörer av varor och tjänster ............................ 86 4.4.1 Regeringsformen ...................................................... 86 4.4.2 Lagen om offentlig upphandling ............................. 87
5 Överväganden och förslag avseende personuppgiftsbehandlingen vid SKL ........................ 89
5.1 Grundläggande utgångspunkter .......................................... 89 5.2 Är SKL:s personuppgiftsbehandling förenlig med personuppgiftslagen? ........................................................... 94 5.3 Behovet av en särskild författningsreglering .................... 102 5.4 Förslag till författningsreglering ....................................... 116
Innehåll Ds 2013:22
4
6 Överväganden och förslag avseende elimineringsdatabasen ........................................... 119
6.1 Grundläggande utgångpunkter .......................................... 119 6.2 Normgivningsnivån ............................................................ 125 6.3 En särskild lag eller en del av polisdatalagen? ................... 131 6.4 Ändamål och innehåll ........................................................ 133 6.5 Provtagning ........................................................................ 134 6.6 Jämförelser mellan DNA-profiler i spårregistret och elimineringsdatabasen ........................................................ 137 6.7 Andra jämförelser än med spårregistret ............................ 140 6.8 Gallring ............................................................................... 141 6.9 Åtkomst till elimineringsdatabasen .................................. 143 6.10 Ytterligare föreskrifter ....................................................... 144 6.11 Förslag till bestämmelser i förordning .............................. 145 6.12 Införandet av elimineringsdatabasen ................................ 148 6.13 En elimineringsdatabas över fingeravtryck ....................... 150
7 Ekonomiska konsekvenser ...................................... 155
8 Författningskommentar .......................................... 157
8.1 Förslaget till lag om ändring i lagen om internationellt polisiärt samarbete ..................................................... 157 8.2 Förslaget till lag om ändring i polisdatalagen med ikraftträdande den 1 januari 2014 ...................................... 158
Innehåll
5
8.3 Förslaget till lag om ändring i polisdatalagen med ikraftträdande den 1 januari 2015 ...................................... 166
7
1 Promemorians huvudsakliga innehåll
Promemorian innehåller författningsförslag som rör personuppgiftsbehandlingen vid Statens kriminaltekniska laboratorium (SKL). Det gäller dels personuppgiftsbehandlingen inom den forensiska verksamheten i stort, dels den personuppgiftsbehandling som sker för att stärka kvaliteten i den forensiska DNAverksamheten. Den senare personuppgiftsbehandlingen avser den s.k. elimineringsdatabasen, som är en samling DNA-profiler från anställda vid SKL, inom Polisen och andra personer, vars DNA riskerar att kontaminera (förorena eller sammanblandas med) material och prover som undersöks för DNA-analys.
Av betydelse för författningsförslagen är den omorganisation av polisväsendet som för närvarande genomförs och som avses resultera i att Rikspolisstyrelsen, de 21 polismyndigheterna och SKL slås samman till en myndighet, Polismyndigheten. Sammanslagningen ska vara fullt ut genomförd den 1 januari 2015. SKL:s huvudsakliga verksamhet, att utföra forensiska (kriminaltekniska) undersökningar och därmed sammanhängande verksamhet, kommer dock att kvarstå inom den nya organisationen.
I dag regleras SKL:s personuppgiftsbehandling i stort sett av personuppgiftslagen (1998:204). Promemorian innehåller i denna del en beskrivning av den personuppgiftsbehandling som i dag sker vid SKL och en analys av personuppgiftslagens tillämpning på denna behandling. Vidare analyseras behovet av en särreglering som skulle kunna innefatta t.ex. bestämmelser om ändamål för behandling, sökbegränsningar och gallring. Slutsatsen är att
Promemorians huvudsakliga innehåll Ds 2013:22
8
personuppgiftslagens bestämmelser i huvudsak är tillräckliga för att skydda den personliga integriteten vid behandlingen av personuppgifter inom SKL och att personuppgiftslagen också utgör en ändamålsenlig reglering för att SKL ska kunna utföra sitt myndighetsuppdrag på ett effektivt sätt. Det författningsförslag som lämnas i denna del går framför allt ut på att tydliggöra att polisdatalagen (2010:361) i princip inte ska vara tillämplig på personuppgiftsbehandlingen inom SKL, även när SKL blir en del av Polismyndigheten. Vissa bestämmelser i polisdatalagen bör dock vara tillämpliga för SKL. Det gäller föreskrifterna om tillgången till personuppgifter och om behandling av känsliga personuppgifter och sökbegränsningar beträffande sådana personuppgifter. Detta författningsförslag föreslås träda i kraft samtidigt som den nya myndigheten inleder sitt arbete.
En del av personuppgiftsbehandlingen vid SKL omfattas redan av en särreglering i och med att SKL hanterar personuppgiftsbehandlingen i DNA-registren, som regleras i 4 kap. polisdatalagen. SKL utför också de analyser av material och prover som resulterar i de DNA-profiler som läggs in i registren.
Eftersom en persons DNA-profil är unik (utom för enäggstvillingar) är DNA-profilering ett viktigt redskap för brottsutredningar och ökad brottsuppklaring. Hanteringen av material och prover måste därför ske på ett sådant sätt att riskerna för fel i analysen minimeras. En felkälla när det gäller DNA-analyser är att material eller prover som ska undersökas och analyseras i syfte att ta fram en DNA-profil i en brottsutredning, också kan komma att innehålla ovidkommande DNA genom att biologiskt material oavsiktligt tillförs materialet eller provet. Bl.a. för att upptäcka och utreda sådana kontamineringar förs vid SKL en elimineringsdatabas som innehåller DNA-profiler från den egna personalen, poliser, leverantörer av materiel som används vid DNA-analys och personer som av olika anledningar vistas i SKL:s lokaler utöver den egna personalen. Promemorian innehåller i denna del en närmare beskrivning av hur kontamineringar uppstår, hur de utreds och vilken effekt de kan ha för en brottsutredning.
Ds 2013:22 Promemorians huvudsakliga innehåll
9
I promemorian förslås att förandet av elimineringsdatabasen ges uttryckligt stöd i lag. Det övergripande syftet med författningsförslaget är att elimineringsdatabasen ska kunna användas på ett sätt som gör den till ett effektivt kvalitetssäkringsverktyg i den forensiska DNA-verksamheten, samtidigt som behandlingen av personuppgifter sker på ett sätt som värnar de registrerades personliga integritet.
Författningsregleringen av elimineringsdatabasen innebär i huvudsak att Rikspolisstyrelsen får en lagfäst möjlighet att föra en elimineringsdatabas och att databasen får innehålla DNA-profiler från arbetstagare vid polismyndigheter och SKL samt vissa andra personer. Arbetstagare vid angivna myndigheter är i förekommande fall skyldiga att lämna prov för DNA-analys. För andra, utomstående personer ska provtagning m.m. baseras på samtycke. Den nya regleringen, som föreslås träda i kraft redan den 1 januari 2014, tas in i polisdatalagen i anslutning till regleringen av de nuvarande DNA-registren.
11
2 Författningsförslag
2.1 Förslag till lag om ändring i lagen ( 2000:343 ) om internationellt polisiärt samarbete
Härigenom föreskrivs att 16 § lagen (2000:343) om internationellt polisiärt samarbete ska ha följande lydelse.
Nuvarande lydelse Föreslagen lydelse
16 §
Vid samarbete enligt Prümrådsbeslutet får ett utländskt kontaktställe medges direktåtkomst till referensuppgifter i de svenska registren över DNA-profiler.
Efter överenskommelse mellan Sverige och en annan stat får kontaktstället i den andra staten göra en automatisk jämförelse mellan sina oidentifierade DNA-profiler och referensuppgifter i de svenska registren över DNA-profiler.
Vad som sägs i första och andra styckena gäller inte för elimineringsdatabasen.
Denna lag träder i kraft den 1 januari 2014.
Författningsförslag Ds 2013:22
12
2.2 Förslag till lag om ändring i polisdatalagen (2010:361)
Härigenom förskrivs i fråga om polisdatalagen (2010:361)
dels att 4 kap. 6, 8 och 9 §§ ska ha följande lydelse,
dels att det i lagen ska införas sju nya paragrafer, 4 kap. 1 a,
6 a – 6 d, 7 a och 10 d §§ samt närmast före 6 a § och 10 a § nya rubriker av följande lydelse.
Nuvarande lydelse Föreslagen lydelse
4 kap
1 a §
Rikspolisstyrelsen får även föra ett register över DNA-profiler i syfte att stärka kvaliteten i den forensiska DNA-verksamheten (elimineringsdatabasen) i enlighet med 6–9 §§.
Behandling av uppgifter i elimineringsdatabasen får ske för att spåra och utreda kontamineringar. Vid en överensstämmelse mellan en DNA-profil i elimineringsdatabasen och en DNAprofil som har tagits fram under utredning av brott får uppgiften om vem DNA-profilen i elimineringsdatabasen tillhör behandlas även för att utreda brott.
Ds 2013:22 Författningsförslag
13
6 §
DNA-profiler i spårregistret får jämföras med DNAprofiler
1. som inte kan hänföras till en identifierbar person,
2. som finns i DNAregistret,
3. som kan hänföras till en person som är skäligen misstänkt för brott, eller
4. som finns i elimineringsdatabasen och under de förutsättningar som anges i 6 c §.
DNA-profiler i spårregistret får också jämföras i andra fall om det är nödvändigt för att fullgöra en internationell överenskommelse som Sverige efter riksdagens godkännande har tillträtt eller om det följer av en EU-rättsakt.
Elimineringsdatabasen
6 a §
Elimineringsdatabasen får innehålla DNA-profiler från personer som i enlighet med 6 b § är skyldiga att genomgå provtagning eller som samtyckt till sådan provtagning.
Det som anges i 3 § första stycket gäller också vid registrering i elimineringsdatabasen.
Utöver DNA-profiler får elimineringsdatabasen innehålla uppgifter om vem DNA-profilen avser.
Författningsförslag Ds 2013:22
14
6 b §
En arbetstagare hos en polismyndighet eller Statens kriminaltekniska laboratorium är skyldig att lämna prov för DNA-analys om syftet är att arbetstagarens DNA-profil ska registreras i elimineringsdatabasen. Skyldigheten gäller under förutsättning att det finns risk för att arbetstagarens DNA kan komma att kontaminera material eller prover, som ska bli föremål för DNA-analys.
Andra personer än arbetstagare som anges i första stycket får lämna prov för DNA-analys i syfte att registrera DNA-profilen i elimineringsdatabasen under samma förutsättningar som i första stycket, om de ger sitt samtycke till provtagning och registrering i databasen.
6 c §
En DNA-profil som har tagits fram i den forensiska DNAverksamheten och som inte kan hänföras till en identifierbar person får jämföras med profiler i elimineringsdatabasen. Jämförelsen ska göras innan profilen läggs in i spårregistret eller senast i samband med att så sker för första gången. Jämförelsen måste göras innan jämförelse
Ds 2013:22 Författningsförslag
15
sker med andra DNA-profiler i spårregistret, DNA-registret eller utredningsregistret.
Enskilda DNA-profiler i spårregistret får jämföras med profiler i elimineringsdatabasen även i andra fall än som anges i första stycket, om det är av särskild betydelse för utredningen i det ärende i vilket DNA-profilen har tagits fram och DNAprofilen i spårregistret hänför sig till en utredning om brott för vilket är föreskrivet fyra års fängelse eller mer.
6 d §
En DNA-profil från ett prov som avses i 4 § och som inte har lagts in i utredningsregistret får jämföras med DNA-profiler i elimineringsdatabasen.
Med DNA-profiler i elimineringsdatabasen får även jämföras en DNA-profil som har tagits fram för att kvalitetssäkra den forensiska DNA-verksamheten och som inte hänför sig till brottsutredande verksamhet.
7 a §
Uppgifter i elimineringsdatabasen ska gallras när de inte längre behövs för att utreda om en persons DNA kan ha konta-
Författningsförslag Ds 2013:22
16
minerat undersökningsmaterial eller prover.
Uppgifter i elimineringsdatabasen som avser arbetstagare vid en polismyndighet och Statens kriminaltekniska laboratorium ska gallras senast ett år efter det att anställningsförhållandet har upphört.
Om någon som lämnat sitt samtycke till provtagning och registrering i elimineringsdatabasen inte längre samtycker till registrering ska uppgifterna gallras senast ett år efter det att detta har meddelats Rikspolisstyrelsen.
8 §
Om det i samband med utredning av ett brott har tagits ett prov för DNA-analys, får provet inte användas för något annat ändamål än det som provet togs för.
Detsamma gäller för ett prov som har tagits för DNA-analys i syfte att registrera en DNA-profil i elimineringsdatabasen.
Ds 2013:22 Författningsförslag
17
9 §
Ett prov för DNA-analys som har tagits med stöd av 28 kap. rättegångsbalken, eller på begäran av en annan stat, ska förstöras senast sex månader efter det att provet togs.
Detsamma gäller för ett prov som har tagits för DNA-analys i syfte att registrera en DNAprofil i elimineringsdatabasen.
10 §
Polismyndigheter, Ekobrottsmyndigheten, Åklagarmyndigheten, Tullverket, Kustbevakningen och Statens kriminaltekniska laboratorium får medges direktåtkomst till
register över DNA-profiler.
Polismyndigheter, Ekobrottsmyndigheten, Åklagarmyndigheten, Tullverket, Kustbevakningen och Statens kriminaltekniska laboratorium får medges direktåtkomst till
DNA-registret, utredningsregistret och spårregistret. Statens kriminaltekniska laboratorium får även medges direktåtkomst till elimineringsdatabasen.
En myndighet som medgetts direktåtkomst ansvarar för att tillgången till personuppgifter begränsas till vad varje tjänsteman behöver för att kunna fullgöra sina arbetsuppgifter.
Regeringen eller den myndighet som regeringen bestämmer meddelar närmare föreskrifter om omfattningen av direktåtkomsten samt om behörighet och säkerhet.
Författningsförslag Ds 2013:22
18
Ytterligare föreskrifter
10 a §
Regeringen eller den myndighet regeringen bestämmer meddelar ytterligare föreskrifter om kretsen arbetstagare som omfattas av skyldigheten i 6 a § första stycket, samtycke och återtagande av samtycke samt utredningen av överensstämmelser mellan en DNA-profil i elimineringsdatabasen och en annan DNA-profil.
Denna lag träder i kraft den 1 januari 2014.
Ds 2013:22 Författningsförslag
19
2.3 Förslag till lag om ändring i polisdatalagen (2010:361)
Härigenom föreskrivs i fråga om polisdatalagen (2010:361)
dels att 4 kap. 1 a, 6 b, 7 a och 10 §§ ska ha följande lydelse,
dels att det i lagen ska införas en ny paragraf, 1 kap. 2 b §, av
följande lydelse.
Nuvarande lydelse Föreslagen lydelse
1 kap.
2 b §
Följande bestämmelser i lagen gäller i Statens kriminaltekniska laboratoriums verksamhet med att utföra laboratorieundersökningar som föranleds av misstanke om brott och annan verksamhet i samband därmed:
1. 2 kap. 10–11 §§
2. 3 kap. 5 §. 3 kap. 5 § tillämpas oavsett om uppgifterna inom Statens kriminaltekniska laboratorium anses ha gjorts gemensamt tillgängliga.
Vid sådan behandling av personuppgifter som sker i de särskilt reglerade registren enligt 4 kap. tillämpas denna lag för den behandling som sker vid Statens kriminaltekniska laboratorium.
I övrigt tillämpas personuppgiftslagen (1998:204) vid be-
Författningsförslag Ds 2013:22
20
handling av personuppgifter som sker vid Statens kriminaltekniska laboratorium i verksamhet som avses i första stycket.
Lydelse enligt förslaget i 2.2 Föreslagen lydelse
4 kap
1 a §
Rikspolisstyrelsen får även
föra ett register över DNAprofiler i syfte att stärka kvaliteten i den forensiska DNAverksamheten (elimineringsdatabasen) i enlighet med 6 – 9 §§.
Polismyndigheten får även föra
ett register över DNA-profiler i syfte att stärka kvaliteten i den forensiska DNA-verksamheten (elimineringsdatabasen) i enlighet med 6–9 §§.
Behandling av uppgifter i elimineringsdatabasen får ske för att spåra och utreda kontamineringar. Vid en överensstämmelse mellan en DNA-profil i elimineringsdatabasen och en DNAprofil som har tagits fram under utredning av brott får uppgiften om vem DNA-profilen i elimineringsdatabasen tillhör behandlas även för att utreda brott.
6 b §
En arbetstagare hos en
polismyndighet eller Statens kriminaltekniska laboratorium är
skyldig att lämna prov för DNA-analys om syftet är att arbetstagarens DNA-profil ska registreras i elimineringsdatabasen. Skyldigheten gäller under förutsättning att det finns risk för att arbetstagarens DNA kan komma att kontaminera material eller prover,
En arbetstagare hos Polis-
myndigheten är skyldig att
lämna prov för DNA-analys om syftet är att arbetstagarens DNA-profil ska registreras i elimineringsdatabasen. Skyldigheten gäller under förutsättning att det finns risk för att arbetstagarens DNA kan komma att kontaminera material eller prover, som ska bli föremål för DNA-analys.
Ds 2013:22 Författningsförslag
21
som ska bli föremål för DNAanalys.
Andra personer än arbetstagare som anges i första stycket får lämna prov för DNA-analys i syfte att registrera s DNA-profilen i elimineringsdatabasen under samma förutsättningar som i första stycket, om de ger sitt samtycke till provtagning och registrering i databasen.
7 a §
Uppgifter i elimineringsdatabasen ska gallras när de inte längre behövs för att utreda om en persons DNA kan ha kontaminerat undersökningsmaterial eller prover.
Uppgifter i elimineringsdatabasen som avser arbetstagare vid en polismyndighet och
Statens kriminaltekniska laboratorium ska gallras senast ett
år efter det att anställningsförhållandet har upphört.
Uppgifter i elimineringsdatabasen som avser arbetstagare hos Polismyndigheten ska gallras senast ett år efter det att anställningsförhållandet har upphört.
Om någon som lämnat sitt samtycke till provtagning och registrering i elimineringsdatabasen inte längre samtycker till registrering ska uppgifterna gallras senast ett år efter det att detta har meddelats Rikspolis-
styrelsen.
Om någon som lämnat sitt samtycke till provtagning och registrering i elimineringsdatabasen inte längre samtycker till registrering ska uppgifterna gallras senast ett år efter det att detta har meddelats Polismyn-
digheten.
10 §
Polismyndigheter,
Eko-
brottsmyndigheten, Åklagarmyndigheten, Tullverket, Kustbevakningen och Statens
kriminaltekniska laboratorium
får medges direktåtkomst till DNA-registret, utredningsre-
Ekobrottsmyndigheten, Åklagarmyndigheten, Tullverket och Kustbevakningen får medges direktåtkomst till DNA-registret, utredningsregistret och spårregistret.
Författningsförslag Ds 2013:22
22
gistret och spårregistret. Sta-
tens kriminaltekniska laboratorium får även medges direktåtkomst till elimineringsdatabasen.
En myndighet som medgetts direktåtkomst ansvarar för att tillgången till personuppgifter begränsas till vad varje tjänsteman behöver för att kunna fullgöra sina arbetsuppgifter.
Regeringen eller den myndighet som regeringen bestämmer meddelar närmare föreskrifter om omfattningen av direktåtkomsten samt om behörighet och säkerhet.
Denna lag träder i kraft den 1 januari 2015.
Ds 2013:22 Författningsförslag
23
2.4 Förslag till förordning ( 2014:00 ) om elimineringsdatabasen
Härigenom föreskrivs följande.
Förordningens innehåll och definitioner
1 § I denna förordning finns kompletterande föreskrifter om elimineringsdatabasen, som regleras i 4 kap. polisdatalagen (2010:361). Begrepp och uttryck som används i denna förordning har samma innebörd och tillämpningsområde som i polisdatalagen.
Skyldighet att lämna prov
2 § Följande kategorier av arbetstagare är skyldiga att lämna prov för DNA-analys i syfte att deras DNA-profiler ska registreras i elimineringsdatabasen:
1. Arbetstagare vid en polismyndighet som regelmässigt hanterar, eller på något annat sätt kommer i kontakt med sådant material eller sådana prover med anknytning till brottsplatser som kan komma att bli föremål för DNA-analys.
2. Arbetstagare vid Statens kriminaltekniska laboratorium som
a) genom sina arbetsuppgifter eller på något annat sätt kommer i kontakt med sådant material eller sådana prover med anknytning till brottsplatser som ska eller avses bli föremål för DNA-analys, eller
b) på grund av arbetsställets plats i laboratoriebyggnaden riskerar att indirekt kontaminera material eller prover som nu sagts.
Information
3 § Den som kan komma ifråga för att lämna sitt samtycke till provtagning för DNA-analys och registrering av sin DNA-profil i elimineringsdatabasen ska informeras om vad en registrering
Författningsförslag Ds 2013:22
24
innebär och om hur man återtar sitt samtycke. Information om vad registreringen innebär ska också lämnas till den som är skyldig att genomgå provtagning.
Samtycke och återtagande av samtycke
4 § Samtycke ska lämnas skriftligen.
5 § Den som vill återta ett lämnat samtycke ska meddela detta skriftligen till Rikspolisstyrelsen.
6 § Om en DNA-profil som tagits fram under utredning av brott överensstämmer med en DNA-profil i elimineringsdatabasen ska en utredning göras för att klarlägga om förekomsten av den registrerades DNA-profil i ett prov sannolikt beror på en kontaminering. Resultatet av utredningen ska redovisas till den som är ansvarig för den utredning som föranlett begäran om DNAanalys i undersökningsärendet.
Gallring i vissa fall
7 § En DNA-profil som har registrerats före den 1 januari 2014 i syfte att användas för att spåra och utreda kontamineringar i
DNA-prov, ska gallras på begäran av den registrerade.
Ytterligare föreskrifter
8 § Rikspolisstyrelsen får meddela de ytterligare föreskrifter som behövs för verkställighet av denna förordning. Rikspolisstyrelsen får meddela närmare föreskrifter om vilka arbetstagare som ska vara skyldiga att genomgå provtagning.
Denna förordning träder i kraft den 1 januari 2014.
Ds 2013:22 Författningsförslag
25
2.5 Förslag till förordning om ändring i förordningen ( 2014:00 ) om elimineringsdatabasen
Härigenom föreskrivs att 2, 5 och 8 §§ ska ha följande lydelse.
Lydelse enligt förslaget i 2.4 Föreslagen lydelse
2 §
Följande kategorier av arbetstagare är skyldiga att lämna prov för DNA-analys i syfte att deras DNA-profiler ska registreras i elimineringsdatabasen:
1. Arbetstagare vid en polis-
myndighet som regelmässigt
hanterar, eller på något annat sätt kommer i kontakt med sådant material eller sådana prover med anknytning till brottsplatser som kan komma att bli föremål för DNA-analys.
1. Arbetstagare hos Polis-
myndigheten som regelmässigt
hanterar, eller på något annat sätt kommer i kontakt med sådant material eller sådana prover med anknytning till brottsplatser som kan komma att bli föremål för DNA-analys.
2. Arbetstagare vid Statens kriminaltekniska laboratorium som
a) genom sina arbetsuppgifter eller på något annat sätt kommer i kontakt med sådant material eller sådana prover med anknytning till brottsplatser som ska eller avses bli föremål för DNA-analys, eller
b) på grund av arbetsställets plats i laboratoriebyggnaden riskerar att indirekt kontaminera material eller prover som nu sagts.
5 §
Den som vill återta ett lämnat samtycke ska meddela detta skriftligen till Rikspolisstyrel-
sen.
Den som vill återta ett lämnat samtycke ska meddela detta skriftligen till Polismyndig-
heten.
Författningsförslag Ds 2013:22
26
8 §
Rikspolisstyrelsen får med-
dela de ytterligare föreskrifter som behövs för verkställighet av denna förordning. Rikspolis-
styrelsen får meddela närmare föreskrifter om vilka arbetstagare som ska vara skyldiga att genomgå provtagning.
Polismyndigheten får med-
dela de ytterligare föreskrifter som behövs för verkställighet av denna förordning.
Denna förordning träder i kraft den 1 januari 2015.
27
3 Bakgrund
3.1 Inledning
Utredningsuppdraget tar sikte på ett par spörsmål vid Statens kriminaltekniska laboratorium (SKL); det gäller dels frågor som rör personuppgiftsbehandlingen i allmänhet, dels frågor kring åtgärder för att stärka tillförlitligheten i den forensiska DNAverksamheten. En liten tillbakablick på SKL kan ge ett bättre perspektiv på verksamheten vid myndigheten.
SKL är en självständig myndighet inom polisväsendet. Verksamheten regleras i förordningen (1978:677) med instruktion för Statens kriminaltekniska laboratorium. Laboratoriets huvudsakliga uppgift är att utföra kriminaltekniska undersökningar som föranleds av misstanke om brott. Polisen är den största avnämaren av SKL:s tjänster. SKL ansvarar även för forskning, utveckling, information, utbildning samt stöd och service till hela det kriminaltekniska området. SKL utför också i mindre omfattning uppdrag från enskilda uppdragsgivare såsom försäkringsbolag och enskilda personer.
SKL:s föregångare var Statens kriminaltekniska anstalt som inrättades år 1939 genom en sammanslagning av dåvarande Statspolisens fingeravtrycksbyrå och Stockholmspolisens signalementsbyrå. I samband med att polisväsendet förstatligades 1964/65 ombildades Kriminaltekniska anstalten så att dess laboratorieavdelning organiserades som en ny anslagsfinansierad statlig myndighet inom polisväsendet1: Statens kriminaltekniska
1 Anstaltens polisregisterverksamhet fördes till den nyinrättade Rikspolisstyrelsen.
Bakgrund Ds 2013:22
28
laboratorium. Myndigheten hade då ca 50 anställda. Omkring tio år senare lokaliserades SKL till Linköping.
Efter flyttningen till Linköping skedde efter hand stora förändringar i verksamheten. Framför allt ökade antalet undersökningsuppdrag från Polisen dramatiskt. Från början var det främst uppdrag rörande narkotika som dominerade ökningen, men också fingeravtrycksframkallningar, morfologiska undersökningar2och kemiska analyser av glas, färg och explosiva ämnen ökade. Sedan DNA-tekniken togs i bruk i större skala i slutet av 1990talet, har det området ständigt ökat och efter den reformerade DNA-lagstiftningen den 1 januari 20063i det närmast explosionsartat. Utvecklingen på IT-området och därmed sammanhängande teknik har inneburit att antalet IT-forensiska undersökningar (bl.a. elektroniska spår och digitala bevis) har vuxit betydligt.
SKL:s anslag för år 2013 uppgår till drygt 247 milj. kr. Antalet medarbetare är ca 300. Verksamheten är organiserad i fem enheter och en stab. Enheterna, som är underindelade i grupper, är enheter för:
– Biologi (i allt väsentligt DNA-analyser och hantering av DNA-registren),
– Dokument och informationsteknik (olika typer av informationsbärare, från handstil och dokument till datorer),
– Droganalys (narkotika- och dopningsbeslag, gifter och illegal alkohol),
– Kemi och teknik (klassisk kriminalteknik, dvs. fingeravtryck, fibrer, vapen, skospår, inbrottsverktyg, brand, färger m.m.) samt
– Förvaltning och service (IT-support, personal, ekonomi, diarieföring, arkivering m.m.).
År 2011 inkom mer än 98 000 ärenden, och antalet utförda undersökningar uppgick till totalt ca 94 500, att jämföra med år 2002 då motsvarande antal var 31 135 resp. 30 653 och år 1992 då
2 Undersökning av hår, fibrer m.m. 3 SFS 2005:878 (rättegångsbalken) och 2005:877 (polisdatalagen [1998:622]).
Bakgrund
29
antalen var 11 941 inkomna ärenden och 11 967 avslutade. Själva ärendehanteringen sker administrativt till en del digitalt. Den digitala begäran om undersökning från Polisen registreras i SKL:s ärendehanteringssystem (kallat Forum). Merparten av undersökningsresultaten redovisas endast digitalt, men pappersredovisning i kombination med digital redovisning kvarstår i en mindre andel av ärendena. Det inskickade material, i huvudsak spår och andra föremål från brottsplatser, som har varit föremål för undersökning sänds i regel tillbaka till uppdragsgivaren.4
Den personuppgiftsbehandling som sker vid SKL är dels behandling med stöd av personuppgiftslagen (1998:204), dels behandlingen i de tre DNA-registren där SKL är personuppgiftsbiträde åt Rikspolisstyrelsen och då behandlar uppgifter med stöd av polisdatalagen (2010:361). SKL har också tillgång till misstanke- och belastningsregistret i ärenden om DNA-analys.5
När det särskilt gäller utredningsuppdraget rörande stärkande av tillförlitligheten i den forensiska DNA-verksamheten ska den saken ses i ljuset av dels den ständigt ökande användningen av DNA i samband med brottsutredningar, dels att allt mindre mängder DNA kan tas till vara och användas. Dessa två förhållanden innebär samtidigt att DNA-hanteringen vad gäller främst spår – spårsäkring, spårhantering och analys – har blivit allt mer känslig och därmed utsatt för risken att kontamineras, dvs. att sammanblandas eller förorenas, av ovidkommande DNA, kanske i första hand från den personal som hanterar DNA-materialet. En kontaminering kan som beskrivs längre fram i flera avseenden vara till men för DNA-hanteringen.
Redan vid 2000-talets början aktualiserades frågan hur man ska kunna fånga upp sådana kontamineringar. Diskussionerna om en databas med DNA-profiler från berörd personal resulterade så småningom till att det vid SKL skapades en vad som senare kom att kallas elimineringsdatabas med DNA-profiler från i första hand viss personal och besökare. Databasen inrättades år
4 Gäller inte narkotika som destrueras genom SKL:s försorg. 5 Se 3 § första stycket 9 förordningen (1999:1135) om misstankeregister och 10 § första stycket 15 förordningen (1999:1134) om belastningsregister.
Bakgrund Ds 2013:22
30
2009 och till att börja med som en temporär sådan med vissa manuella rutiner. Senare under året automatiserades rutinerna så att nya DNA-profiler från brottsplatsspår, som registrerats, rutinmässigt jämförs mot DNA-profiler i elimineringsdatabasen. Ett huvudsyfte med databasen har varit och är att försöka förhindra att en DNA-profil som inte har med brottet att göra läggs in i ett DNA-register (spårregistret6). Även andra kvalitetssäkrande syften ska tillgodoses. Databasen som i fråga om lämnande av DNA-prov, registrering och behandling bygger på frivillighet omfattar idag DNA-profiler från ca 600 personer, varav mer än hälften utgörs av SKL-personal.7
Sedan Datainspektionen i mars 2012 inlett en tillsyn mot SKL avseende frågan om elimineringsdatabasens förenlighet med gällande rätt, fann Inspektionen i ett beslut den 28 maj 2012 att så inte är fallet. SKL förelades att upphöra med verksamheten. Inspektionens beslut har överklagats av Rikspolisstyrelsen och har därmed inte vunnit laga kraft.
3.2 Utredningsuppdraget
Det uppdrag som förevarande departementspromemoria grundas på är en inom Justitiedepartementet upprättad uppdragspromemoria.8Uppdraget omfattar två spörsmål, dels frågor som rör personuppgiftsbehandlingen på det kriminaltekniska området i allmänhet vid SKL, dels frågor kring den vid SKL inrättade elimineringsdatabasen. De båda spörsmålen har beröringspunkter, men vi har ändå valt att behandla dem var för sig i denna departementspromemoria.
Uppdragspromemorian fogas som bilaga 1 till departementspromemorian.
6 Spårregistret är ett av de tre register på DNA-området som regleras i polisdatalagen (2010:361). De två andra är DNA-registret och utredningsregistret. 7 Databasen innefattar också personal som slutat vid SKL. 8 2012-08-22 (Ju 2012/5620/P).
Bakgrund
31
Personuppgiftsbehandlingen i allmänhet vid SKL
I uppdragspromemorian framhålls att det idag inte finns någon särskild registerförfattning som reglerar SKL:s personuppgiftsbehandling.9I samband med införandet av den nya polisdatalagen, som inte skulle gälla SKL, anförde regeringen att det kunde finnas anledning att i ett annat sammanhang överväga behovet av att särskilt författningsreglera personuppgiftsbehandlingen vid SKL.10Den aktuella frågan och den snabba utvecklingen inom området för kriminalteknik gör, enligt uppdragspromemorian, att det finns skäl att närmare överväga om den personuppgiftsbehandling som förekommer vid SKL bör regleras särskilt.
Uppdragspromemorian mynnar i den här delen ut i att utredningen ska kartlägga vilken personuppgiftsbehandling som förekommer vid SKL och med utgångspunkt i detta överväga om det behövs en särskild reglering av den behandlingen.
Elimineringsdatabasen
I fråga om elimineringsdatabasen konstateras i uppdragspromemorian att syftet med att inrätta denna har varit att stärka tillförlitligheten kring den forensiska DNA-verksamheten. En fortsatt behandling av DNA-profiler i detta syfte kan enligt promemorian fylla en mycket viktig funktion i SKL:s kvalitetssäkring. Med hänsyn till detta och till att Datainspektionen i sitt tillsynsärende inte har satt ifråga den aktuella personuppgiftsbehandlingen i sig, utan bara huruvida det finns lagligt stöd för den, bör ett arbete inledas med inriktning på att finna en lösning på denna fråga.
I den här delen av uppdraget ska prövas behovet av och förslag till de författningsändringar som kan bedöms vara nödvän-
9Personuppgiftslagen (1998:204) tillämpas på personuppgiftsbehandlingen. 10Prop. 2009/10:85 s. 71 f.
Bakgrund Ds 2013:22
32
diga och lämpliga för att begränsa risken för att kontaminering påverkar DNA-analyser. I detta ligger att ta ställning bl.a. till:
– vilka personkategorier som bör omfattas av en eventuell reglering
– om det bör vara obligatoriskt för berörda personer att lämna prover och vad som bör gälla i fråga om prover och provtagning
– hur regleringen av den personuppgiftsbehandling som bedöms vara nödvändig ska se ut och vilken myndighet som ska vara personuppgiftsansvarig för en sådan personuppgiftsbehandling
– vilka jämförelser med andra DNA-profiler som bör tillåtas – hur en eventuell överensstämmelse med en annan DNAprofil ska hanteras på ett rättssäkert och effektivt sätt.
Under arbetet med den del av uppdraget som gäller elimineringsdatabasen har vi osökt kommit in på frågan om en motsvarande problematik med kontaminering av brottsplatsspår föreligger i fråga om fingeravtryck och om frågan bör föranleda närmare utredning i detta sammanhang, trots att den inte omfattas av utredningsuppdraget. Saken tar sikte på en eventuell förekomst på en brottsplats eller ett brottsplatsspår av fingeravtryck från bl.a. brottsplatsundersökare, kriminaltekniker och annan polispersonal som vistats på brottsplatsen i tjänsten. Även om problematiken med kontaminering på DNA- och fingeravtrycksområdena företer likheter, finns det dock skillnader som gör att jämförelsen mellan en kontaminering genom DNA och genom fingeravtryck inte är så signifikant.
För att få ett underlag för en bättre belysning av ämnet har vi genomfört en enkät till ett antal polismyndigheter och Rikskriminalpolisen med frågor kring behovet av en databas med uppgifter om fingeravtryck från anställda inom polisorganisationen.
Ämnet om kontaminering genom fingeravtryck behandlas under avsnitt 6.13.
Bakgrund
33
3.3 Polisorganisationskommittén
SKL är en del av polisväsendet. Myndigheten är självständig, dock med den begränsningen att Rikspolisstyrelsen är chefsmyndighet för SKL.
I juli 2010 tillkallade regeringen en parlamentarisk kommitté med uppgift att analysera om polisens nuvarande organisation11utgör ett hinder för de krav som regeringen ställer på högre kvalitet, ökad kostnadseffektivitet, ökad flexibilitet och väsentligt förbättrade resultat i polisens verksamhet.12Om kommittén finner att organisationen utgör ett hinder i dessa avseenden, ska ett fullständigt förslag till helt eller delvis ny organisation lämnas.
I ett betänkande den 30 mars 2012 En sammanhållen svensk polis13föreslår kommittén bl.a. att Rikspolisstyrelsen och de 21 polismyndigheterna samt SKL ska ombildas till en sammanhållen myndighet, Polismyndigheten. SKL ska därmed utgöra en del av Polismyndigheten. Konstruktionen med Rikspolisstyrelsen som chefsmyndighet för SKL avskaffas således. Kommittén har i december 2012 redovisat ytterligare ett betänkande med författningsförslag, En sammanhållen svensk polis – följdändringar i författningar.14
I budgetpropositionen för år 2013 föreslår regeringen att Rikspolisstyrelsen och de 21 polismyndigheterna ska ombildas till en samlad polismyndighet per den 1 januari 2015.15Riksdagen godkände den 18 december 2012 regeringens förslag. Regeringen har därefter gett en särskild utredare i uppdrag att, i nära samarbete med Rikspolisstyrelsen, besluta om och genomföra de åtgärder som krävs för att ombilda Rikspolisstyrelsen och de 21 polismyndigheterna till en sammanhållen myndighet.16 Den nya
11 Rikspolisstyrelsen med Rikskriminalpolisen, SKL och Säkerhetspolisen samt de 21 självständiga polismyndigheterna. 12 Dir. 2010:75. 13SOU 2012:13. 14SOU 2012:78 del 1 och 2. 15Prop. 2012/13: 1, utgiftsområde 4. 16 Dir. 2012:129.
Bakgrund Ds 2013:22
34
myndigheten ska kunna inleda sin verksamhet den 1 januari 2015. I direktiven anges att SKL:s roll i den framtida polisorganisationen är föremål för ytterligare överväganden inom Regeringskansliet och att regeringen avser att återkomma till riksdagen i denna fråga med förslag som ligger i linje med kommitténs uppfattning att SKL ska ingå i Polismyndigheten.17
3.4 Undersökningsärendena hos SKL
Ärendeutvecklingen
Som redan har antytts har ärendeutvecklingen hos SKL varit stadd i en ständig ökning, framför allt sedan myndigheten lokaliserades till Linköping år 1975.
Redan med ett backspegelperspektiv finns det inte någon anledning att tro att utvecklingen ska brytas. Tvärtom finns det goda skäl att anta att ärendeutvecklingen på det kriminaltekniska och forensiska fältet kommer att fortsätta att öka. Den här fortgående ökningen har flera orsaker. På det kriminalpolitiska området kan man finna förklaringar i bl.a. de stora ambitioner som samhället sedan början av 1980-talet har när det gäller narkotikabekämpningen. Dessa ambitioner har återspeglats i en fortgående ökning av antalet undersökningsuppdrag rörande droganalyser. Senare års prioriteringar på att bekämpa mängdbrottsligheten har i viss mån haft effekter i samma riktning. Detsamma torde gälla aktuella prioriteringar när det gäller kampen mot den grova, organiserade brottsligheten.
Genom den per den 1 januari 2006 reformerade DNA-lagstiftningen utvidgades högst väsentligt möjligheterna att använda DNA i samband med brottsutredningar. Reglerna innebär bl.a. att Polisen har möjlighet att rutinmässigt ta personprover18 i form av s.k. salivprov (topsning) för DNA-analys på alla som är
17 A. dir. s. 12 f. 18 Termen jämförelseprov används också i sammanhanget och främst då syftet är att det ska jämföras med ett spårprov.
Bakgrund
35
skäligen misstänkta för brott med fängelse i straffskalan, dvs. i praktiken nästan alla slags brott.19 Alla som man har tagit prov på, dvs. deras DNA-profiler, registreras i DNA-utredningsregistret och den som döms till en annan påföljd än böter registreras sedan i DNA-registret. Eftersom syftet med provtagningen är att uppgifterna ska registreras, brukar metoden ibland kallas för registertopsning. Från början var effekterna för SKL av reformen ganska blygsamma, men sedan ett par år har reformen gett ett betydande genomslag på DNA-hanteringen. Som en illustration kan nämnas att före reformen omfattade DNAregistret ca 6 000 registreringar. Idag är antalet uppe i ca 117 000.
Andra förklarande faktorer till den fortgående stigande ärendeutvecklingen är den kompetenshöjning som skett och sker på det kriminaltekniska fältet, såväl när det gäller i tekniskt och naturvetenskapligt hänseende, som ifråga om de personer som är verksamma på området inom SKL och Polisen. Brottsplatsundersökarnas förmåga att finna och ta hand om informationsbärande material på brottsplatser, i förening med den alltmer kvalificerade forensiska kapaciteten hos SKL att ta fram hållbara analyser och svar rörande brottsplatsspår, har lett till att det kriminaltekniska verktyget har fått en allt större och många gånger avgörande betydelse. Detta har skapat en ökande efterfrågan hos SKL i brottsutredningar och i lagföringsprocessen; det sagda har relevans också i fråga om Polisens tekniska rotlar. Exempel på det som nu sagts är förmågan att finna och kunna använda även mycket små mängder DNA, liksom den avancerade teknik som finns hos SKL för att framkalla fingeravtryck på till synes omöjliga brottsplatsspår m.m. Den här utvecklingen har gått hand i hand med att de misstänkta gärningsmännen i allt fler fall inte medverkar i brottsutredningarna, något som ökar fokuset på teknisk bevisning. En ytterligare faktor i sammanhanget är de nya banor som brottsligheten tar och de nya områden som brottsligheten breder ut sig på, liksom de nya brottsverktyg som kommer till användning. I sistnämnda hänseende kan pekas på den arena
19 Undantagna är bl.a. förseelser på vägtrafikens område och några få brottsbalksbrott.
Bakgrund Ds 2013:22
36
för kriminell verksamhet som IT-området har kommit att utgöra.
Forensiska uppslag
En annan sak som är värd att nämnas i samband med ärendeutvecklingen på det forensiska området är den ambition som SKL har att bredda sin verksamhet till att också omfatta underrättelse- och spaningsinformation till Polisen baserad på egna befintliga databaser och register under begreppet forensiska uppslag.20En tanke är att skapa en ämnesöverskridande databas, där ärenden kan kopplas samman med hjälp av information från olika undersökningstyper. En annan del av arbetet med de forensiska uppslagen avser de uppslag som spåren i ett enskilt ärende kan ge upphov till, bl.a. analysmöjligheter när det gäller DNA. En sådan möjlighet är att genomföra s.k. familjesökningar, vilket innebär att jämföra DNA-profiler för att finna släktingar till en viss person, t.ex. en oidentifierad misstänkt. Familjesökningar baserar sig på att nära släktingar till viss del har överensstämmande arvsmassa. En familjesökning går till så att en jämförelse sker mellan en DNA-profil och registrerade DNA-profiler, men med en lägre grad av matchning mellan profilernas STR-markörer (se vidare om DNA-analys i avsnitt 3.5). Överensstämmelse kan i dessa fall indikera släktskap och Polisen kan ges ett uppslag i form av potentiella släktningar till den misstänkte. Hittills har inga familjesökningar genomförts i Sverige.21
En annan potentiell information i ett DNA-spår gäller en persons biogeografiska ursprung och utseende. Felriskerna med sådana analyser bedöms dock som betydande i nuläget.22
Ambitionen med forensiska uppslag ligger i linje med den kriminaltekniska strategi som antagits av Rikspolisstyrelsen, där
20 se Underrättelse- och spaningsinformation till Polisen, Hantering av forensiska uppslag, SKL Rapport 2011:01. 21 Uppgifter från SKL. 22 Underrättelse- och spaningsinformation till Polisen, Hantering av forensiska uppslag, SKL Rapport 2011:01, s. 24 f.
Bakgrund
37
det framgår bl.a. att samverkan mellan kriminalteknisk kompetens och underrättelseledd verksamhet ska utvecklas.23
Ett undersökningsärendes gång 24
Huvuddelen av de kriminaltekniska undersökningarna vid SKL utförs åt rättsväsendet, i första hand Polisen. Ärendet vid SKL inleds vanligtvis genom att Polisen skriver en digital begäran om undersökning som registreras i SKL:s ärendehanteringssystem Forum. Polisen har dessförinnan säkrat material och spår på brottsplatsen och gjort en bedömning av vilka undersökningar som ska begäras av SKL. I vissa fall kan personal från SKL medverka redan vid brottsplatsundersökningen.
När den digitala begäran om undersökning kommit in och registrerats, genereras ett automatiskt svarsmail med SKL:s ärendenummer. När materialet från polisen kommer in till SKL registreras det och paras ihop med den digitala begäran, som skrivs ut och läggs i en mapp som följer ärendet. En ärendeansvarig utses som svarar för att materialet fördelas till den eller de grupper som ska göra undersökningen eller undersökningarna. Polisen bidrar med relevanta frågeställningar och SKL ger synpunkter och förslag. I vissa fall kan SKL behöva anlita externa organ för änden som kräver undersökningar utanför SKL:s kompetensområden.
Efter att materialet dokumenterats, t.ex. genom fotografering, utförs den undersökning, eller de undersökningar, med de metoder som valts ut med hänsyn till polisens frågeställningar och med hänsyn till metodernas begränsningar och fördelar. Vid utvärdering av resultaten kontrollerar två handläggare varandras arbeten, vilket dokumenteras i ett arbetsblad. Beroende på resultatet av undersökningarna kan behov uppstå av att utföra utökade eller förnyade undersökningar. I vissa fall ger resultat inte en tillräcklig kvalitetsnivå för att kunna användas i ett utlåtande
23 Kriminalteknisk strategi med handlingsplan, dnr POA-470-7282/08, s. 14. 24 Jfr SKL:s årsberättelse 2011, s. 6.
Bakgrund Ds 2013:22
38
som kan användas som processmaterial. Eventuellt kan resultatet då redovisas som ett forensiskt uppslag. En slutlig värdering av undersökningarna görs av två handläggare.
Ett sakkunnigutlåtande, baserat på en nio-gradig utlåtandelåtandeskala, eller den redovisning som undersökningarna annars gett upphov till, skickas digitalt till Polisen, i vissa fall uppföljt av en redovisning i pappersform. Det undersökta materialet, utom narkotika, skickas tillbaka till Polisen om inte annat överenskommits.
Personuppgiftsbehandling i undersökningsärendena
Som nämnts ovan kallas SKL:s ärendehanteringssystem Forum. Där registreras inte bara inkommande digitala uppdrag från Polisen utan också uppdrag från privata aktörer och andra till myndigheten inkommande handlingar. I de digitala uppdragen från Polisen kan olika personuppgifter förekomma, t.ex. namn på misstänkta, målsäganden och vittnen. Om ett ärende innehåller prov från personer som topsats för DNA-analys, dvs. misstänkta och i förekommande fall målsäganden eller andra inblandade personer, lagras fullständiga namn och personnummer på personerna. I Forum är det möjligt att söka på en persons namn och personnummer, varvid de undersökningsärenden eller andra ärenden en person förekommer i, kommer att visas. Det finns också en rad andra sökbegrepp i Forum, bl.a. sådana som är hänförliga till SKL:s handläggning av ärendet, t.ex. ärendeansvarig, handläggare och antal inkomna material.
Det är genom Forum som kopplingen mellan en person och en DNA-profil bevaras. För det fall ett DNA-spår överensstämmer med en profil i DNA-registret eller utredningsregistret söks identiteten på personen via ett registeridnummer i Forum. Sökningen sker automatiskt.
Forum innehåller i dag fler än 800 000 poster. SKL avvaktar en långtidsarkivlösning som kommer att innebära att en stor del av ärendena i Forum kommer att skiljas av från systemet. Det är
Bakgrund
39
meningen att undersökningsärendena sedan kontinuerligt ska avskiljas från Forum i princip fem år efter det att de avslutats. Eftersom Forum innehåller kopplingen mellan en DNA-profil och identiteten på den person som DNA-profilen tillhör, måste dock sådana ärenden vara aktiva i Forum så länge den aktuella DNA-profilen finns kvar i DNA-registret. Även andra ärenden kan av verksamhetsskäl behöva ligga kvar i Forum även efter fem år.
Personuppgiftsbehandling i de forensiska databaserna
SKL har ett antal register av administrativ karaktär, t.ex. register över personalen med dess befattningar och grupptillhörigheter. SKL har också ett antal register som visserligen kan innehålla personuppgifter, men utan koppling till enskilda undersökningsärenden, t.ex. register över vapenmanualer och register över tidskrifter och böcker.
SKL för därtill som berörts ett antal forensiska register. De forensiska registren är i princip inriktade på samlad information om antingen föremål och material eller andra spår. Bland föremålen kan nämnas vapen och olika slag av förfalskade handlingar och sedlar, bland materialen olika slag av narkotika, explosivämnen, fibrer och glas. Registren över spår innehåller bl.a. skospår, spår efter inbrottsverktyg och spår på avskjutna kulor. SKL för ett 40-tal forensiska databaser, varav ca 20 innehåller indirekta personuppgifter, i förekommande fall Polisens k-nr och/eller SKL:s diarienr. I ungefär lika många av databaserna finns direkta personuppgifter som avser handläggare vid SKL eller andra personalnoteringar.
Ett syfte med registren är att öka personalens kompetens, både i en upplärningssituation och i det dagliga arbetet. Ett annat syfte är att ge statistisk information som gör att resultatvärdet av informationen i ett enskilt spår kan fastställas.
Olika jämförelser mellan undersökta material, föremål eller spår kan också visa på sådana likheter som kan ge Polisen upp-
Bakgrund Ds 2013:22
40
slag i den brottsutredande verksamheten; ett forensiskt uppslag. Ett exempel på sådana uppslag är jämförelser av olika narkotikapartiers kemiska sammansättning, vilket kan indikera att partierna härrör från samma tillverkningstillfälle, eller jämförelser av spår på avskjutna kulor eller hylsor, som kan visa på att samma vapen använts vid två olika brott. I princip registreras inte direkta personuppgifter (utom avseende SKL:s personal) i de forensiska uppgiftssamlingarna, eftersom det huvudsakliga ändamålet med databaserna är att bevara information om det undersökta materialet, föremålet eller spåret och hur undersökningen utfördes. För att kunna få mer utförlig information om t.ex. undersökningen i ett visst ärende, behöver informationen i databaserna vara kopplad till SKL:s ärendenummer. I ärendet i Forum, t.ex. i Polisens digitala begäran, kan det, som tidigare redogjorts för, förekomma direkta personuppgifter, namn och eventuellt personnummer, på flera inblandade personer. Eftersom Polisens k-nr alltid finns i Forum kan också en sökning hos Polisen generera fler personuppgifter.
I de fall SKL konstaterar en koppling mellan två olika ärenden, t.ex. två olika undersökningar av narkotika, kan personuppgifterna i ärendena naturligtvis komma att få betydelse i Polisens fortsatta brottsutredning.
3.5 Elimineringsdatabasen
DNA och DNA-analyser
DNA (deoxyribonukleinsyra) är den kemiska benämningen på arvsmassan, bäraren av våra gener. I kroppens alla cellkärnor finns arvsmassan (DNA:t) samlad i kromosomer. Hälften av DNA:t ärvs från modern och hälften från fadern.
De första ärendena där DNA-tekniken användes i Sverige utfördes i slutet av 1980-talet. Den teknik som då var aktuell krävde relativt stora mängder av det spår som skulle undersökas med avseende på förekomst av DNA. Tekniken byggde på att hela
Bakgrund
41
DNA:t klipptes av i fragment (strängar) som fick olika längder, unika för varje individ. Idag används s.k. STR-markörer (Short Tandem Repeat). STR-tekniken bygger på att vissa områden i DNA:t kopieras och därmed kan även små mängder DNA användas vid en analys. Med DNA-analys avses enligt 2 kap. 3 § polisdatalagen varje förfarande som kan användas för analys av DNA i humant material. Vid specialanalys genom LT-tekniken25kan numera spårprov med endast ett fåtal celler praktiskt användas för DNA-analys. För förekomst av användbart DNA kan det räcka med att någon har hållit i eller tagit på ett föremål. Detta att jämföra med en vanlig rutinanalys där det krävs omkring 50 – 100 celler för att få fram en användbar DNA-profil. LT-tekniken används för specialanalyser när den vanliga analysmetoden inte räcker till. Tekniken används i första hand vid mycket grova vålds- och sexualbrott. En avigsida med denna teknik är att spårprovets utsatthet för kontaminering är stor. I och med att SKL i april 2011 bytte analyskit för DNA-profilering ligger nuvarande rutinanalys närmare LT-tekniken vad gäller både möjlighet att analysera DNA i mindre mängder biologiskt material och när det gäller riskerna för kontaminering.26
Av flera tusen områden är det idag endast 15 områden, STRmarkörer, i DNA-strängen som analyseras. Markörerna visar inte på någon personlig egenskap utan de är användbara genom att antalet upprepningar kan variera mycket mellan olika individer. Könsbestämning utförs samtidigt med hjälp av en särskild markör. Eftersom man undersöker flera skilda STR-markörer, blir varje individs kombination unik. Endast enäggstvillingar är helt lika i sin DNA-kombination. Den DNA-profil som man får fram består av ett antal sifferkombinationer, ett s.k. nonsens-DNA som blir föremål för registrering. I det nyss nämnda lagrummet i polisdatalagen beskrivs DNA-profil som resultatet av en DNA-analys som presenteras i form av siffror eller bokstäver. Uppgiften om kön registreras inte, men finns naturligtvis med i
25 Low Template; begreppet förekommer också som benämningen Low Copy Number (LCN). 26 Rutin för kontamineringskontroll SKL Internrapport Biologienheten 2012:07, s. 7.
Bakgrund Ds 2013:22
42
den brottsutredning som brottsplatsspåret hänförs till. Om det går att utvinna annan information ur DNA:t i spåret, t.ex. genom en familjesökning (se avsnitt 3.4 om forensiska uppslag) får alltså en sådan information inte registreras, men väl användas i brottsutredningen.
DNA-register
Med DNA-register avses register som innehåller DNA-profiler. Sådana register är en relativt ny företeelse i svensk rätt. Möjligheten för Polisen att föra DNA-register infördes efter förslag i propositionen Polisens register.27 Regleringen togs in i den dåvarande polisdatalagen (1998:622). Genom propositionen Utvidgad användning av DNA-tekniken inom brottsbekämpningen m.m.28 utökades möjligheterna väsentligt att rutinmässigt ta prov för DNA-analys av personer misstänkta för brott. Ett huvudsyfte med reformen var att skapa ett mera fullständigt DNA-register.
När lagstiftningen om Polisens personuppgiftsbehandling reformerade år 2010 tillhörde DNA-register det fåtal register som ansågs nödvändigt att reglera särskilt i den nya polisdatalagen (lagens 4 kap.).
Det finns för närvarande tre lagreglerade DNA-register för brottsbekämpningsändamål. De regleras i 4 kap.1 – 7 §§polisdatalagen. Enligt 1 § får Rikspolisstyrelsen föra följande register över DNA-profiler, nämligen:
– DNA-registret, – utredningsregistret och – spårregistret. Registren levererar resultat i form av träffar mellan person och spår, mellan spår och person, mellan olika spår mot spår och mellan person mot person. Registren får även föras för att underlätta identifiering av avlidna personer. Rikspolisstyrelsen har
Bakgrund
43
personuppgiftsansvar för uppgiftsbehandlingen i registren. SKL hanterar registren i egenskap av personuppgiftsbiträde åt Rikspolisstyrelsen och ska i den egenskapen iaktta de aktuella bestämmelserna i lagen.
Allmänt om kontamineringar
Med begreppet kontaminering avses, när det gäller brottsplatsspår, att DNA:t i spåret förorenas, eller sammanblandas, genom att för brottsutredningen ovidkommande DNA förs över från en i och för sig behörig person någonstans i hanteringen från det att Polisen kommit till en brottsplats till det att laboratorieundersökningen av brottsplatsspåren är avslutad. Med kontaminering avses alltså inte att DNA i ett spår är sammanblandat med annat DNA som kan ha funnits på en plats före brottstillfället, eller DNA som har tillförts efter brottet men innan Polisen kom till platsen. Effekterna av sådana sammanblandningar av biologiskt material kan i och för sig ha samma effekter för utredningen.29
Andra prover som ingår i DNA-hanteringen kan också kontamineras; s.k. kontrollprover, som normalt ska vara DNA-fria, och prov som tagits av personer, t.ex. personer som registertopsats.
Ett spår eller ett prov kan kontamineras på flera olika sätt. Det ovidkommande DNA:t kan överföras från personer som hanterar spårsäkring och spårundersökning på brottsplatsen eller av personer som utför undersökningar av material eller prover vid SKL. Vid DNA-analysen kan en kontaminering uppstå genom att den materiel som då används inte är DNA-fri utan innehåller DNA t.ex. från personer som tillverkat eller förpackat sådan materiel (s.k. leverantörskontamineringar). Ytor och föremål i ett laboratorium kan också bära DNA (s.k. bakgrunds-DNA), både från laboratoriets personal som arbetar med DNAanalyser men även från personer som befunnit sig i lokalerna av
29 Rutin för kontamineringskontroll, SKL Internrapport Biologienheten 2012:07, s. 7 f.
Bakgrund Ds 2013:22
44
andra skäl, t.ex. lokalvårdare, servicepersonal eller besökare.30Sådana kontamineringar kan uppstå t.ex. genom att DNA i fibrer från kläder eller liknande fastnar i damm som ligger kvar lokalen och så småningom hamnar i ett spår som ska analyseras. Att DNA kan överföras mellan personer och föremål innebär att DNA också kan överföras mellan lokaler.
DNA är mycket tidsbeständigt och risken för sådana kontamineringar upphör alltså först när DNA:t rent fysiskt avlägsnas i miljön.
Kontamineringar kan också ske mellan prover. Det är framför allt prover som innehåller stora mängder DNA som utgör den största kontamineringsrisken vid sidan av anställda och andra personer. En elimineringsdatabas fångar givetvis inte upp sådana kontamineringar.31
Effekterna av en kontaminering
I en av SKL:s internrapporter från Biologienheten beskrivs effekterna av kontaminering enligt följande:
Kontaminerande DNA som ger upphov till en regelrätt DNA-profil (när det undersökta spåret i sig inte ger något användbart DNA) riskerar att tolkas som ett viktigt DNA-spår, särskilt om det rör ett grovt brott där annan bevisning eller information saknas. Ett sådant, i sammanhanget helt irrelevant DNA-spår, är vilseledande och kan i ett värsta scenario bli helt förödande för den fortsatta brottsutredningen. Det mest uppenbara är att en kontamination, i vad som utredningsmässigt bedöms vara ett avgörande DNA-spår kan leda till att polisen missar gärningsmannen genom att DNA:t inte ger träff vid en jämförelse eller sökning mot DNA-registret. […]Om samma persons DNA dessutom kontaminerat vid två eller flera tillfällen kan det leda till ytterligare komplikationer genom att polisen felaktigt kopplar samman brott som inte har med varandra att göra. Det mest omtalade exemplet kring detta gäller fallet med den så kallade ”fantomkvinnan”, en i grunden gång på gång upprepad ”leverantörs-
30 A. a. s. 8. 31 Kvalitetsdatabas-DNA, SKL Internrapport, Biologienheten 2008:3, s. 3.
Bakgrund
45
kontamination” som felaktigt kopplade samman ett stort antal brott i framförallt Tyskland, men också i andra länder. Totalt vilseleddes polisens utredare i 16 år. Ett annat mer närliggande exempel rör en släktskapsutredning kring regissören Ingemar Bergman, som genomfördes av Rättsmedicinalverket (RMV), där en uteslutande slutsats avseende det undersökta släktskapet senare visade sig bero på DNA-kontamination.32
Ytterligare exempel på hur kontamineringar kan påverka en brottsutredning finns i en annan rapport från Biologienheten som tar upp ett antal fingerade fallbeskrivningar. En fallbeskrivning avser att en biolog vid SKL som arbetar med DNA-ärenden kontaminerar ett prov som är ett brottsplatsspår från en misstänkt misshandel. Biologens DNA träffar inte mot något av DNA-registren, och läggs in i spårregistret. Efter att ha slutat sin anställning vid SKL blir biologen misstänkt för stöld och registertopsas. DNA-profilen träffar nu mot profilen i spårregistret och biologen blir därför misstänkt för misshandeln. Ett annat exempel som anges i rapporten är att ett brottsplatsspår, med en stark koppling till gärningsmannen, kontamineras av en brottsplatsutredare. Brottsplatsspåret innehåller en liten mängd DNA från en misstänkt, men kontamineringen gör att den misstänktes DNA-profil inte syns i analysen. I analysen av spåret framkommer istället brottsplatsutredarens DNA-profil, vilket leder till att den misstänkte utesluts som gärningsman.33
Värt att poängtera i sammanhanget är att oupptäckta kontamineringar generellt sätt gör felaktiga uteslutningar mer sannolika än felaktiga överensstämmelser.
Internationella rekommendationer
European Network of Forensic Science Institutes, ENFSI, är ett europeiskt nätverk för forensiska institut där SKL medverkar. Nätverkets projekt för att utveckla den forensiska verksamheten
32 Rutin för kontaminationskontroll, SKL Internrapport Biologienheten 2012:7, s. 9 f. 33 Kvalitetsdatabas-DNA, SKL Internrapport, Biologienheten 2008:3, s. 4.
Bakgrund Ds 2013:22
46
finansieras av bl.a. EU. Målsättningen för nätverkets arbete är att garantera kvaliteten inom den forensiska vetenskapen i Europa. ENFSI har 17 arbetsgrupper, varav en arbetar med frågor som rör DNA. Arbetsgruppen har gett ut rekommendationer för hur det forensiska arbetet med DNA-analyser bör gå till och anslutande frågor om bl.a. DNA-register. ENFSI:s rekommendation är att en elimineringsdatabas ska inrättas som ett komplement till övriga DNA-register. Elimineringsdatabasen bör innehålla profiler från personalen på ett laboratorium och andra personer med tillgång till laboratoriets lokaler, poliser som hanterar spåren från brottsplatser och även andra personer som varit närvarande på en brottsplats. När det gäller tillverkare av materiel är ENFSI:s rekommendation att även oidentifierade DNA-profiler som finns i kontrollprover (som alltså ska vara DNA-fria) och som kan komma från personer som tillverkar materiel som används vid DNA-analyser, bör ingå i en elimineringsdatabas. Sådana oidentifierade DNA-profiler bör också, enligt ENFSI, göras tillgängliga för andra ENFSI-länder.34
Interpols handbok för DNA-hanteringen i ett internationellt perspektiv hänvisar till ENFSI:s rekommendationer.35Handboken tar inte ställning i frågan om en elimineringsdatabas måste finnas för att upprätthålla kvaliteten i DNA-hanteringen, men anger att en sådan, eller andra liknande databaser, kan vara användbara i hanteringen av DNA-spår. Sådana databaser bör omgärdas av regler som gör att de är avskilda från DNA-register som förs i brottsbekämpande syfte och jämförelse bör bara få ske mellan en elimineringsdatabas och enskilda brottsplatsspår.36
34 DNA-database management – Review and recommendations, ENFSI DNA Working Group, 2011, s. 17 f. 35 Interpol handbook on DNA data exchange and practice – Recommendations from the Interpol DNA monitoring expert group, 2009, s. 68 och 100. 36 A. a. s. 68: ”Precautionary rules should be defined so that these databases are not mixed with the criminal databases, but are only used on a case-by-case basis”.
Bakgrund
47
Elimineringsdatabasens bakgrund och syfte
Som redan har berörts något uppkom redan bara några år efter att DNA-tekniken kommit till användning i lite större skala ett behov av att skilja ut ovidkommande DNA från främst spårDNA-material och därmed skydda materialet från att kontamineras I första hand rörde det sig om den personal som hanterar DNA-material. Tanken med åtgärden var att om möjligt förhindra att felaktiga DNA-resultat kom in i den kriminaltekniska hanteringen. Inom SKL har frågan var uppe till diskussion vid flera tillfällen.
Frågan om riskerna med kontaminering av DNA-material från de personer som arbetar med sådant material berördes kort i den utredning som låg till grund för lagstiftningen år 2006 om utvidgad användning av DNA-tekniken i brottsbekämpningen (se avsnitt 3.4). Något förslag till åtgärder lades dock inte fram, utan man ansåg att saken fick tas upp i annan ordning.37
I takt med att användningen av DNA i samband med brottsutredningar ständigt ökar blev det alltmer angeläget att hanteringen av de stigande volymerna omgärdas med säkerhets- och skyddsrutiner och andra arrangemang för att förebygga en felaktig hantering. Så har skett och sker också fortlöpande såväl vid SKL som vid Polisen och då främst dess tekniska rotlar. Insiktsfulla bedömare verksamma på området ansåg det dock inte vara möjligt att med sådana åtgärder helt undanröja själv grundproblemet såvitt nu är i fråga, nämligen kontamineringar genom förekomst av ovidkommande DNA. Att en hantering av en betydande och ökande volym ärenden i sig kunde skapar risker för logistiska och praktiska hanteringsfel, t.ex. förväxlingar, är en annan sak som den här departementspromemorian dock inte behandlar annat än om saken har med elimineringsdatabasen att göra.
Risken för kontamineringar har också ökat när det sedan ett par år är teknisk möjligt att praktiskt ta till vara och använda mycket små mängder DNA (se ovan, avsnittet om DNA och
Bakgrund Ds 2013:22
48
DNA-analyser). Mot den bakgrunden blev det särskilt angeläget att försöka få ett grepp om den kontaminering som kan uppkomma från olika källor för att förhindra och förebygga att felaktiga DNA-resultat redovisas och tas in i ett DNA-register. Det handlar med andra ord om kvalitetskontroll. För den berörda personalen m.fl. är det inte minst av integritetsskäl lika angeläget att ens DNA-profil, som kontaminerat ett spår, upptäcks och inte läggs in i ett DNA-register (spårregistret). Och från ett mer allmänt kriminalpolitiskt perspektiv är det en viktig trovärdighets- och tillförlitlighetsfråga knuten till de brottsutredande organens sätt att arbeta att inte oupptäckt, ovidkommande DNA kontaminerar spår från brottsplatser.
Här ska vidare sägas att användningen av en elimineringsdatabas med DNA-profiler från personer som kommer i kontakt med spår dock inte löser hela problematiken kring kontamineringar. En sådan databas fångar inte upp kontamineringar från bakgrunds-DNA från brottsplatsen eller kontamineringar mellan olika prover. Det är framför allt prover som innehåller stora mängder DNA som i det sistnämnda avseendet utgör den största risken.
I en intern rapport från SKL angavs syftet med vad som där kallas en kvalitetsdatabas vara följande:
– att förhindra att personalens DNA-profiler felaktigt hamnar i DNA-register
– att minska risken för att felaktiga resultat redovisas till uppdragsgivaren (Polisen)
– att få ett erfarenhetsmaterial som kan fungera som underlag för att korrigera avvikelser i rutinen och därmed minska risken för att kontamineringar sker i framtiden
– att erhålla ett erfarenhetsmaterial för att bättre kunna uppskatta kontamineringsrisken.38
Syftet med en elimineringsdatabas var alltså att med hjälp av databasen så långt det sig göra låter utesluta förekomsten av profiler i DNA-registren som härrör från bl.a. anställda som hante-
38 Kvalitetsdatabas-DNA, SKL Internrapport, Biologienheten 2008:3, s. i.
Bakgrund
49
rat det undersökta materialet, vistats på brottsplatsen, i undersökningslokalen och liknande samt inte minst minska risken för att felaktiga resultat redovisas i en brottsutredning.
Inrättandet av SKL:s elimineringsdatabas
Om det formella förfarandet kring tillkomsten av elimineringsdatabasen kan följande antecknas. I april 2009 anmälde SKL enligt 36 § personuppgiftslagen till personuppgiftsombudet vid SKL sin avsikt att använda en ”temporär eliminationsdatabas” som hjälp vid DNA-kontamineringsutredningar vid biologienheten. Databasen omfattade främst personal vid SKL, och den byggde på informerat samtycke från de berörda. Arbetsrutinerna vid sökningarna skulle vara manuella. I samma månad lämnade personuppgiftsombudet besked om att personuppgiftsbehandlingen var tillåten enligt 10 § personuppgiftslagen. Ett par månader senare gjorde SKL en anmälan om ”temporär, digitaliserad eliminationsdatabas” till personuppgiftsombudet. Huvudsyftet sades vara att man ville digitalisera de aktuella DNA-proverna för att kunna göra automatiska jämförelser mellan personalens m.fl. DNA-profiler och DNA-profiler i spårregistret. Dagliga sökningar mot alla nya spår som läggs in i spårregistret skulle därmed kunna ske. SKL aviserade att ett arbete pågick med att upprätta en permanent elimineringsdatabas där alla spår, inte bara de som ska registreras i spårregistret, ska jämföras automatiskt mot personalens m.fl. DNA-profiler. Med sådana spår avses oftast spår med blandbilder, dvs. DNA från fler än en person. Även enligt denna anmälan byggde systemet på frivillig medverkan från de berörda. I juli 2009 godkände personuppgiftsombudet ärendet. I januari 2010 fattade personuppgiftsombudet beslut med anledning av en kompletterande anmälan från SKL som handlade om kvalitetskontroll av lokaler och utrustning, där funna DNA-profiler (s.k. bakgrunds-DNA) jämförs/söks mot profilerna i elimineringsdatabasen.
Bakgrund Ds 2013:22
50
Det ska i sammanhanget antecknas att ett förstadium till elimineringsdatabasen i form av en lista på papper där namn och DNA-profil fanns varit i bruk några år före tillkomsten av databasen.
Nämnas kan att SKL till visst stöd för sina arrangemang med elimineringsdatabasen har haft tillgång till rättanalyser från Rikspolisstyrelsen. Elimineringsdatabasens rättsliga grund är enligt dessa analyser personuppgiftslagen. Själva provtagningen görs genom salivprov.
Elimineringsdatabasens användning och funktion i dag
Sökningar i elimineringsdatabasen används idag för att bekräfta och spåra kontamineringar
DNA-spår som ska registreras i spårregistret – i DNA-spår som ska redovisas till uppdragsgivaren – i olika slags personprover (topsningar) – i olika slag av kontrollprov som ska vara blanka (utan DNA) eller innehålla DNA med känd profil
– i prover för att undersöka förekomsten av bakgrunds-DNA i labbmiljön.
Elimineringsdatabasen är i och med detta också ett stöd för att
– förhindra att DNA-profiler felaktigt registreras i spårregistret
– förhindra att resultat som kommer från kontamineringar redovisas till uppdragsgivaren (Polisen m.fl.) och därmed missleder brottsutredningar
– ge ett erfarenhetsunderlag som kan användas för att förbättra eller korrigera avvikelser i rutiner och därmed minska risken för framtida kontamineringar
– tillsammans med annat underlag användas för att bedöma risknivån för kontamineringar.
Elimineringsdatabasen är i dag inlagd i ett särskilt index i CODIS, den programvara som används för DNA-registren. När
Bakgrund
51
en ny profil läggs in i spårregistret jämförs den först mot elimineringsdatabasen. Om det blir en träff tas profilen bort ur spårregistret där den lagts in och träffen utreds (se vidare nedan under Utredningen av kontamineringar). Andra DNA-profiler än sådana som är inlagda i något av registren kan, som framgått ovan, också sökas mot elimineringsdatabasen, t.ex. profiler ur kontrollprover. Även DNA-profiler från brottsplatsspår jämförs mot elimineringsdatabasen utan att läggas in i spårregistret om handläggaren anser att det behövs. Det kan röra sig om spårprofiler där kriterierna för registrering inte är uppfyllda, t.ex. blandbilder eller profiler med för få markörer, eller spårprofiler där handläggaren under ärendets gång behöver utesluta kontamineringar från den egna personalen.
Det totala antalet upptäckta kontamineringar var 143 stycken i december 2012, varav 37 kom från SKL:s personal, 6 från leverantörer av materiel och 7 från Polisen. I övrigt var 35 kontamineringar kom från andra prover och 58 var av okänd härkomst. De flesta kontamineringar som upptäcks finns i kontrollprover och i prover från topsningar (för 2012 utgjorde sådana kontamineringar 11 respektive 15 stycken av totalt 38 kontamineringar). I de kontaminerade spårproverna under 2012, som var 8 stycken, kom kontamineringarna från personal på SKL och vid Polisen.39
Det fanns i december 2012 DNA-profiler från ca 600 personer i elimineringsdatabasen varav mer än hälften utgörs av SKL:s personal, 20 – 25 % av servicetekniker eller hantverkare och 15 – 20 % av poliser, besökare, leverantörer och andra. Någon generell gallringstid för DNA-profilerna i databasen finns inte. Gallring sker på begäran av den enskilde.
Utredningen av kontamineringar
Om ett kontrollprov, som normalt ska vara DNA-fritt, innehåller DNA måste detta DNA vara resultatet av en kontaminering.
39 Uppgifter från SKL.
Bakgrund Ds 2013:22
52
En sökning i elimineringsdatabasen har för dessa prov, och prover som tagits för att undersöka förekomsten av s.k. bakgrunds-DNA, ingen betydelse för att upptäcka bl. a kontamineringar av spår, men däremot för att följa upp förekomsten av DNA i syfte att förbättra rutiner och förebygga framtida kontamineringar. Ett prov från en topsning innehåller så mycket DNA från den topsade personen att en kontaminering inte riskerar att täcka över det ursprungliga DNA:t, utan kontamineringen visar sig som en blandbild. Elimineringsdatabasen fyller här samma funktion som när det gäller kontrollprover och bakgrunds-DNA.
När det gäller kontamineringar i ett spårprov kan kontamineringen också visa sig som en blandbild av DNA. Ur ett kvalitetssäkringsperspektiv, men även för brottsutredningen, kan det vara av värde att i sådana fall utreda om blandbilden till någon del består av en DNA-profil som finns i elimineringsdatabasen. Blandbilden i ett spårprov kan ju också bero på bakgrunds-DNA från brottsplatsen eller att DNA från flera personer som varit inblandade i brottet sammanblandats.
I de fall en kontaminering leder till att DNA:t i det ’’riktiga’’ spårprovet täcks över av den andra DNA-profilen kan kontamineringen i förekommande fall inte upptäckas annat än genom en jämförelse med elimineringsdatabasen.
Den vidare utredningen av en överensstämmelse mellan en DNA-profil i elimineringsdatabasen och en annan DNA-profil beror på i vilken sorts prov och på vilket sätt kontamineringen upptäcks. I uppenbara fall av arbetsrelaterade kontamineringar, som är fallet då kontrollprover eller prover från topsningar är kontaminerade, hanteras kontamineringen internt som en administrativ kvalitetssäkringsfråga. Om ett spårprov träffar mot elimineringsdatabasen och avser en person som inte haft en behörig, arbetsrelaterad anknytning till ärendet, informeras Polisen. I de fall där sådana kontamineringar upptäckts och kontamineringen kommit från en polis eller SKL-anställd som arbetat med ärendet har förekomsten av personens DNA hanterats som en kontaminering. Dagens rutiner innebär att endast fall där det sannolikt inte rör sig om en kontaminering formellt överlämnas
Bakgrund
53
till laboratoriechefen, som sedan beslutar om det ska lämnas till Polisens enhet för internutredningar.40 Fallet hanteras då enligt förordningen (2010:1031) om handläggning av ärenden om brott av anställda inom polisen m.m. Anställda vid SKL hör i sammanhanget till kretsen anställda vid Polisen (2 §). I förordningen föreskrivs att felaktigt handlande i samband med arbetet ska bli föremål för ett särskilt utredningsförfarande, som bl.a. innebär att det är Rikspolisstyrelsen som handlägger ärendet, att ärendet omedelbart ska överlämnas till åklagare och att särskilda rutiner gäller vid förhör (9 – 12 §§). Även brott som inte har samband med arbetet ska utredas enligt dessa särskilda rutiner (5 §). För personer som ligger utanför den krets som anses som anställda inom polisen tillämpas det vanliga brottsutredningsförfarandet.
Datainspektionens tillsynsärende
Datainspektionen inledde den 23 mars 2012 tillsyn mot SKL i syfte att kontrollera om den personuppgiftsbehandling som sker i laboratoriets elimineringsdatabas är förenlig med gällande rätt.41Sedan SKL yttrat sig meddelade Datainspektionen beslut i ärendet den 28 maj 2012. Datainspektionen fann i sitt beslut att den jämförelse som SKL gör mellan DNA-profiler i elimineringsdatabasen och det spårregister som förs med stöd av 4 kap. 5 § polisdatalagen inte är förenlig med gällande rätt. SKL förelades därför att upphöra med all jämförelse mellan DNA-profiler i elimineringsdatabasen och spårregistret eller att på annat sätt behandla DNA-profiler i elimineringsdatabasen för brottsbekämpande ändamål. I sin bedömning anförde Datainspektionen inledningsvis att man inte fann anledning att i någon del ifrågasätta syftena för vilka SKL behandlar personuppgifter i elimineringsdatabasen. I bedömningen framhöll Datainspektionen bl.a. att det i polisdatalagen finns uttömmande bestämmelser om vilka
40 Se vidare om hanteringen av kontamineringar i Rikspolisstyrelsens Förstudierapport dna-elimineringsdatabas, diarienr POA 470-2327/11 s. 21 f. 41 Dnr 514-2012.
Bakgrund Ds 2013:22
54
DNA-register som får föras i polisens brottsbekämpande verksamhet och att SKL i sin roll som personuppgiftsbiträde åt Rikspolisstyrelsen är skyldigt att följa reglerna i polisdatalagen när laboratoriet hanterar något av DNA-registren. Datainspektionen ansåg vidare att all personuppgiftsbehandling som sker med anledning av ett uppdrag till SKL om spårundersökning i en förundersökning eller annat uppdrag som en brottsbekämpande myndighet har gett SKL, och där DNA-registren i 4 kap. polisdatalagen används, sker för brottsbekämpande ändamål och således faller under polisdatalagen. Dessutom ansåg Datainspektionen att all användning av de tre DNA-registren i polisdatalagen utanför den brottsbekämpande verksamheten är otillåten, med undantag för underlättande av identifiering av avlidna. Datainspektionen ansåg därför – i motsats till SKL – att personuppgiftslagen inte kan utgöra rättslig grund för behandling av personuppgifter som innefattar en jämförelse med DNA-profiler i spårregistret.
När det gäller frågan om elimineringsdatabasen lagligen kan föras och användas för icke brottsbekämpande ändamål anförde Datainspektionen att det finns omständigheter som talar starkt för att den behandling av DNA-profiler som SKL utför i elimineringsdatabasen för icke brottsbekämpande ändamål ska ha stöd i lag och att det i lag även uttömmande ska anges vilka förutsättningar som ska gälla för databasen. Datainspektionen berörde i bedömningen även frågan om giltigt samtycke till behandling av personuppgifterna och anförde därvid att, i de fall databasen endast används utanför det brottsbekämpande området, det ankommer på SKL att säkerställa att den frivillighet som ska finnas är reell, alternativt utreda om registrering kan ske utan samtycke.
Datainspektionens beslut har överklagats av Rikspolisstyrelsen med yrkande att beslutet upphävs. Beslutet har således inte vunnit laga kraft.
Rikspolisstyrelsen anförde i sitt överklagande bl.a. att verksamheten vid SKL inte sker i brottsbekämpande syfte och alltså inte heller den behandling av personuppgifter som sker i elimineringsdatabasen, varför polisdatalagen inte är tillämplig på denna
Bakgrund
55
hantering. Rikspolisstyrelsen hänvisade i denna del till regeringens ställningstagande i prop. 2009/10:85, att SKL:s verksamhet inte är brottsbekämpande i vedertagen mening och att polisdatalagen därför inte bör omfatta SKL:s personuppgiftsbehandling.
Datainspektionen bemötte frågan om elimineringsdatabasen förs i brottsbekämpande verksamhet med två exempel. Ett exempel avsåg att en hantverkare lämnar ett prov och får sin DNAprofil registrerad i elimineringsdatabasen. Profilen gallras inte, och tre år senare säkras ett DNA-spår från en brottsplats, som också överensstämmer med ett tio år gammalt brottsplatsspår. När det nya spåret körs mot elimineringsdatabasen träffar det mot hantverkarens DNA-profil. Det står klart att hantverkarens DNA inte kan ha funnits i de båda brottsplatsspåren p.g.a. kontaminering från det tillfälle då han arbetade i SKL:s lokaler. Hantverkaren blir därför misstänkt i de två brottsutredningarna och sedermera dömd för båda brotten. Det andra exemplet Datainspektionen nämnde i sitt yttrande avsåg en liknande situation, nu med den skillnaden att personen som är registrerad i elimineringsdatabasen kan avföras från brottsutredningen, dock inte p.g.a. att träffen var en kontaminering utan för att utredningen visar att det påträffade DNA-spåret måste härröra från tiden före brottet. I Datainspektionens exempel blev personen i fråga först kallad till förhör och också delgiven misstanke om brottet. Datainspektionen anförde att båda fallen visar att elimineringsdatabasen kan få samma funktion som DNA-registret och alltså inte enbart kan sägas vara en databas som förs i ett kvalitetssäkrande syfte.
56
57
4 Rättsliga utgångspunkter
4.1 Urval och disposition av de rättsliga utgångspunkterna
Utredningsuppdragets första del avser att överväga om personuppgiftsbehandlingen i allmänhet vid SKL behöver en särskild författningsreglering. Rättsliga utgångspunkter för detta arbete är de rättskällor som avser dels personuppgiftsbehandling i stort, dels de som rör personuppgiftsbehandling inom brottsbekämpande verksamhet. Även utredningsuppdragets andra del, frågan om författningsreglering av elimineringsdatabasen, rör frågor om personuppgiftsbehandling i stort, eftersom behandlingen av en samling DNA-profiler som kan kopplas till individer innefattar en personuppgiftsbehandling. Polisdatalagen (2010:361) är relevant både för frågor om personuppgiftsbehandlingen vid SKL i allmänhet, eftersom många av de personuppgifter som behandlas i SKL:s verksamhet kommer från polisens brottsutredningar, och för frågorna kring elimineringsdatabasen, eftersom de särskilda DNA-registren regleras i den lagen.
När det gäller elimineringsdatabasen innefattar inhämtandet av personuppgifter en fysisk provtagning i form av ett salivprov för att få material till en DNA-analys. Regeringsformens skydd mot påtvingade kroppsliga ingrepp behandlas därför som en rättslig utgångpunkt. I en elimineringsdatabas kan arbetstagare hos SKL och Polisen komma att omfattas av en reglering. Bestämmelsen i regeringsformen om skydd mot påtvingade kroppsliga ingrepp har särskild betydelse för offentligt anställda, vilket redogörs för nedan.
Rättsliga utgångspunkter Ds 2013:22
58
Om andra personer än arbetstagare ska ingå i elimineringsdatabasen är det framförallt personer som erbjuder varor eller tjänster till SKL som myndighet. Eftersom deras affärsmässiga förhållande till SKL kan komma att påverkas av en eventuell reglering, behandlas också regeringsformens skydd av närings- och yrkesfriheten samt lagen (2007:1091) om offentlig upphandling som rättsliga utgångspunkter.
Lagen (2006:351) om genetisk integritet m.m. reglerar undersökningar som syftar till att ge information om människans arvsmassa och resultatet av sådana undersökningar. Lagens tillämpningsområde är begränsat till sådana undersökningar som sker inom hälso- och sjukvården eller i medicinsk forskning (1 kap. 5 §). Denna lagstiftning berörs därför inte närmare.
4.2 Personuppgiftsbehandling
4.2.1 Internationella överenskommelser
Europakonventionen
Enligt artikel 8 i Europakonventionen har var och en rätt till respekt bl.a. för sitt privat- och familjeliv. En offentlig myndighet får inte inskränka åtnjutandet av denna rättighet annat än med stöd av lag och om det i ett demokratiskt samhälle är nödvändigt med hänsyn till statens säkerhet, den allmänna säkerheten, landet ekonomiska välstånd eller till förebyggande av oordning eller brott eller till skydd för hälsa eller moral eller för andra personers fri- och rättigheter. I uttrycket ”med stöd av lag” ligger, utöver att intrånget ska ha stöd i nationell lag, att den åberopade lagen måste uppfylla vissa minimikrav i fråga om kvalitet och tydlighet, bl.a. ska en rättighetsinskränkande tolkning av lagen kunna förutses.
Ds 2013:22 Rättsliga utgångspunkter
59
Dataskyddskonventionen
Bestämmelser av betydelse för automatisk databehandling av personuppgifter finns också i Europarådets konvention från år 1981 om skydd för enskilda vid automatisk databehandling av personuppgifter (dataskyddskonventionen). Samtliga medlemsstater i EU har ratificerat konventionen.
Dataskyddskonventionens innehåll kan ses som en precisering av skyddet enligt artikel 8 i Europakonventionen för enskilda vid automatisk databehandling. Dataskyddskonventionens syfte är att säkerställa den enskildes rätt till personlig integritet i samband med behandling av personuppgifter och att förbättra förutsättningarna för ett fritt informationsflöde över gränserna.
Dataskyddskonventionen innehåller principer för dataskydd som de konventionsanslutna staterna måste iaktta i sin nationella lagstiftning. Personuppgifter som är föremål för automatisk databehandling ska hämtas in och behandlas på ett korrekt sätt för särskilt angivna ändamål. Vidare måste uppgifterna vara relevanta för ändamålen och får inte senare användas på ett sätt som är oförenligt med dessa. Uppgifterna måste också vara riktiga och aktuella och de får inte bevaras längre än vad som är nödvändigt för ändamålen.
Dataskyddskonventionens roll som grundläggande dokument för automatiserad behandling av personuppgifter inom EU har i princip övertagits av dataskyddsdirektivet (se vidare nedan). Direktivet omfattar dock inte behandling av personuppgifter inom t.ex. statens verksamhet på straffrättens område. På detta område är alltså dataskyddskonventionen fortfarande av betydelse.42
42 Jfr prop. 2009/10:85 s. 47.
Rättsliga utgångspunkter Ds 2013:22
60
4.2.2 EU-rättsakter
Unionens stadga om de grundläggande rättigheterna
Lissabonfördraget innebär att EU:s stadga om de grundläggande rättigheterna, tillkännagiven av parlamentet, rådet och kommissionen den 7 december 2000 och anpassad den 12 december 2007, är rättsligt bindande.43I artikel 8 i stadgan föreskrivs bl.a. att var och en har rätt till skydd av de personuppgifter som rör honom eller henne och att personuppgifter ska behandlas lagenligt för bestämda ändamål och på grundval av den berörda personens samtycke eller någon annan legitim och lagenlig grund. Av artikel 51 följer att den riktar sig till EU:s egna organ och institutioner och att den blir tillämplig för medlemsstaterna endast i de fall där de tillämpar EU-rätten.
Dataskyddsdirektivet
Dataskyddsdirektivet syftar till att garantera en hög och i alla medlemsstater likvärdig skyddsnivå när det gäller enskilda personers fri- och rättigheter med avseende på behandling av personuppgifter. Direktivet är inte tillämpligt på bl.a. statens verksamhet på straffrättens område. Medlemsstaterna får inom den ram som direktivet anger närmare precisera villkoren för när behandling av personuppgifter får förekomma. Sådana preciseringar får dock inte hindra det fria flödet av personuppgifter inom unionen.
Dataskyddsdirektivet har i svensk rätt genomförts genom personuppgiftslagen (1998:204). Lagen har gjorts generellt tilllämplig och omfattar alltså även sådan verksamhet som faller utanför direktivets tillämpningsområde. Lagen anger den grundläggande ramen för behandling av personuppgifter. Särreglering i lag eller förordning gäller emellertid framför bestämmelserna i personuppgiftslagen.
43 Se artikel 6.1 i EU-fördraget och prop. 2007/08:168 s. 58.
Ds 2013:22 Rättsliga utgångspunkter
61
En särreglering av personuppgiftsbehandling kan vara utformad så att personuppgiftslagens regler helt ersätts, eventuellt med hänvisningar till vissa bestämmelser i personuppgiftslagen. Polisdatalagen är ett exempel på en särreglering som är uppbyggd på det sättet. För det flesta registerförfattningar gäller istället att de ska tillämpas utöver den generella lagstiftningen i personuppgiftslagen. Regeringen anförde i propositionen Behandling av personuppgifter inom studiestödsområdet att en sådan författningsteknik bl.a. har den fördelen att risken blir mindre att dataskyddsdirektivet inte blir fullt och korrekt genomfört på det berörda området, eftersom endast de föreslagna avvikelserna från personuppgiftslagen behöver prövas i förhållande till direktivets bestämmelser.44
Dataskyddsrambeslutet
Rådets rambeslut 2008/977/RIF av den 27 november 2008 om skydd av personuppgifter som behandlas inom ramen för polissamarbete och straffrättsligt samarbete (dataskyddsrambeslutet) reglerar dataskyddet inom angivna områden. Dataskyddsrambeslutet innebär förpliktelser för medlemsstaterna endast i den utsträckning de behandlar personuppgifter som överförts från ett land till ett annat och har alltså ingen relevans för personuppgifter som samlas in och behandlas inom medlemsstaten.
Dataskyddsrambeslutet är ännu inte helt genomfört i svensk rätt. Regeringen har nyligen överlämnat propositionen Dataskydd vid europeiskt polissamarbete och straffrättsligt samarbete45 till riksdagen.
I propositionen föreslås en ny lag med vissa bestäm-
melser om skydd för personuppgifter vid polissamarbete och straffrättsligt samarbete inom EU, för att Sverige fullt ut ska genomföra dataskyddsrambeslutet.
Rättsliga utgångspunkter Ds 2013:22
62
Dataskyddspaketet
Den 25 januari 2012 presenterade kommissionen ett förslag till en genomgripande reform av EU:s regler om skydd för personuppgifter. Paketet omfattar dels en förordning med en generell reglering som ska ersätta dataskyddsdirektivet, dels ett nytt direktiv med särregler för den brottsbekämpande sektorn som ska ersätta dataskyddsrambeslutet. Till skillnad från dataskyddsrambeslutet ska direktivet inte omfatta endast utbyte av information över gränserna utan även nationell personuppgiftsbehandling inom den brottsbekämpande sektorn.
Kommissionens förslag ansluter i stor utsträckning till de rättsakter som ska ersättas, men innehåller också vissa nyheter. Om förslagen går igenom skulle det få till konsekvens att den föreslagna förordningen ersätter inte bara dataskyddsdirektivet utan också den svenska personuppgiftslagen, men med ett visst utrymme för medlemsstaterna att behålla en särreglering inom vissa områden. Det föreslagna direktivet kommer att få konsekvenser för de registerförfattningar som gäller på direktivets område, t.ex. polisdatalagen.
Den svenska regeringen anser att Sverige bör välkomna en reform av EU:s dataskyddsregelverk i syfte att åstadkomma ett heltäckande och effektivt skydd för personuppgifter, men att vissa frågor bör analyseras närmare och följas upp under förhandlingarnas gång.46
Riksdagen har vid en subsidiaritetsprövning funnit att inget av förslagen är förenligt med subsidiaritetsprincipen och har överlämnat ett motiverat yttrande till Europaparlamentets ordförande, ordförande för Europeiska unionens råd och Europeiska kommissionens ordförande.47 Den subsidiaritetsprövning riksdagen företagit ska göras av alla de nationella parlamenten när det gäller lagförslag inom områden där både EU och medlemsländerna har befogenhet att stifta lagar, enligt artikel 5 i EU-fördraget. De närmare formerna för och verkningarna av denna
46 Regeringskansliets faktapromemorior 2011/12:FPM 117 och 119. 47 Rskr. 2011/12:175.
Ds 2013:22 Rättsliga utgångspunkter
63
subsidiaritetsprövning framgår av ett protokoll till fördraget. De nationella parlamenten är tilldelade ett visst antal röster var och om en tredjedel av antalet röster är av den motiverade ståndpunkten att lagförslaget står i strid med subsidiaritetsprincipen, ska lagförslaget omprövas. Omprövningen kan leda till att lagförslaget vidhålls, ändras eller förkastas. Inom det ordinarie lagstiftningsförfarandet, till vilket dataskyddspaketet hör enligt artikel 16 (2) i EUF-fördraget, innebär en enkel majoritet av rösterna emot lagförslaget, att det inte behandlas vidare förutsatt att antingen Europarlamentet eller rådet också anser att förslaget strider mot subsidiaritetsprincipen.48
Prümrådsbeslutet
Rådets beslut 2008/615/RIF av den 23 juni 2008 om ett fördjupat gränsöverskridande samarbete, särskilt för bekämpning av terrorism och gränsöverskridande brottslighet, innehåller bestämmelser som syftar till att fördjupa det gränsöverskridande samarbetet mellan de myndigheter inom EU som ansvarar för att förebygga och utreda brott. I huvudsak ska detta ske genom förenklade former för utbyte av DNA-profiler, fingeravtryck och uppgifter om fordon. För utbytet av uppgifter enligt Prümrådsbeslutet infördes bestämmelser i bl.a. lagen (2000:343) om internationellt polisiärt samarbete. Informationsutbytet sker genom att de av medlemsstaterna utsedda kontaktställena medges direktåtkomst till medlemsstaternas nationella register. Rikspolisstyrelsen har utsetts att vara svenskt kontaktställe för samarbetet enligt Prümrådsbeslutet.49
48 Protokoll (nr 2) om tillämpning av subsidiaritets och proportionalitetsprinciperna, artikel 7. Om 55 % av rådsmedlemmarna eller en majoritet av avgivna röster i Europaparlamentet anser att förslaget inte är förenligt med subsidiaritetsprincipen ska det inte behandlas vidare. (artikel 7 punkten 3 b]). 49 2 § andra stycket 1 g) förordning (1989:773) med instruktion för Rikspolisstyrelsen.
Rättsliga utgångspunkter Ds 2013:22
64
4.2.3 Regeringsformen
Skydd mot intrång i den personliga integriteten
Enligt 2 kap. 6 § andra stycket regeringsformen ska var och en gentemot det allmänna vara skyddad mot betydande intrång i den personliga integriteten, om det sker utan samtycke och innebär övervakning eller kartläggning av den enskildes personliga förhållanden. Skyddet mot intrång får, på samma sätt som skyddet mot påtvingat kroppslig ingrepp i 2 kap. 6 § första stycket regeringsformen, endast begränsas i lag och under förutsättning bl.a. att begränsningen sker endast för att tillgodose ändamål som är godtagbara i ett demokratiskt samhälle och att begränsningen inte går utöver vad som är nödvändigt med hänsyn till det ändamål som har föranlett den (2 kap.20 – 21 §§regeringsformen).
Som exempel på åtgärder som kan innebära kartläggning anges i propositionen En reformerad grundlag bl.a. registrering i polisens fingeravtrycks- eller DNA-register.50 Grundlagsskyddet omfattar dock bara vissa kvalificerade intrång i den personliga integriteten. Vid bedömningen av vad som kan anses utgöra ett betydande intrång ska man enligt förarbetsuttalandena väga in uppgifternas karaktär och omfattning samt ändamålet med behandlingen och omfattningen av utlämnandet av uppgifter till andra.51
Det är i första hand personuppgiftslagen som ska tillgodose regeringsformens krav i fråga om integritetsskydd när det gäller automatiserad personuppgiftsbehandling.52
I propositionen Genomförande av Prümrådsbeslutet – automatiserat uppgiftsutbyte gjorde regeringen bedömningen att möjligheten för utländska myndigheter att söka i vissa svenska register med direktåtkomst krävde lagstöd, bl.a. med hänvisning till att de nya möjligheterna till sökningar måste antas leda till
50Prop. 2009/10:80 s. 180. 51 A. prop. s. 183. 52 Jfr prop. 2009/10:85 s. 67.
Ds 2013:22 Rättsliga utgångspunkter
65
fler förfrågningar om att få ut personuppgifter, vilket ansågs vara en ökad kartläggning av enskilda.53
4.2.4 Tryckfrihetsförordningen
Allmänhetens rätt att ta del av allmänna handlingar regleras dels i tryckfrihetsförordningen, dels i offentlighets- och sekretesslagen (2009:400). Att lämna ut en allmän handling som innehåller personuppgifter är att anse som en behandling av personuppgifterna.54Personuppgiftslagens bestämmelser inskränker dock inte rätten att ta del av allmänna handlingar. Detta följer redan av 2 § och av en vedertagen princip om att grundlag har företräde framför annan lag vid en inhemsk normkonflikt (principen om lex superiori). I förtydligande syfte finns också en bestämmelse i 8 § personuppgiftslagen som anger att bestämmelserna i personuppgiftslagen inte ska tillämpas om det skulle inskränka en myndighets skyldighet enligt 2 kap. tryckfrihetsförordningen. Bestämmelser om sekretess till skydd för en enskilds intressen utgör därmed ett grundläggande integritetsskydd när det gäller personuppgifter i allmänna handlingar.
En handling är allmän under vissa förutsättningar, bl.a. att den förvaras hos myndigheten. När det gäller uppgifter i olika former av elektroniska medier, enligt lagtexten ”upptagningar som kan läsas, avlyssnas eller på annat sätt uppfattas endast med tekniskt hjälpmedel” anses sådana förvarade hos myndigheten om upptagningen är tillgänglig för myndigheten med tekniskt hjälpmedel som myndigheten själv utnyttjar. Varje sammanställning av uppgifter som en myndighet kan göra ur en upptagning för automatiserad behandling är också en allmän handling om sammanställningen kan ske med ”rutinbetonade åtgärder” (2 kap 3 § tryckfrihetsförordningen). Sådana sammanställningar brukar kallas potentiella (elektroniska) handlingar. Myndigheten måste ta fram och lämna ut en potentiell handling även om samman-
Rättsliga utgångspunkter Ds 2013:22
66
ställningen inte behövs för myndighetens egen verksamhet och även om myndigheten i den egna verksamheten bara får behandla förekommande personuppgifter för vissa särskilda ändamål.55
Om en sammanställning innehåller personuppgifter och myndighet enligt lag eller förordning saknar befogenhet att göra sammanställningen tillgänglig anses sammanställningen däremot inte förvarad hos myndigheten, och är därmed inte en allmän handling. Detta framgår av 2 kap. 3 § tredje stycket tryckfrihetsförordningen (begränsningsregeln).
Bestämmelser som förbjuder en myndighet att använda vissa sökbegrepp innebär att myndigheten saknar befogenhet att ta fram en sammanställning utifrån det förbjudna sökbegreppet och en sammanställning kan därmed under inga förhållanden lämnas ut enligt offentlighetsprincipen. Bestämmelser om tillåtna sökbegrepp har alltså betydelse för skyddet av personuppgifterna, utöver de sekretessbestämmelser som kan gälla för uppgifterna.
Potentiella elektroniska handlingar ska skiljas från s.k. färdiga elektroniska handlingar, t.ex. e-postmeddelanden eller pdf-filer. Färdiga elektroniska handlingar anses förvarade hos myndigheten trots att det kan krävas mer än rutinbetonade åtgärder för att göra handlingen tillgänglig. De omfattas inte heller av begränsningsregeln.56
4.2.5 Personuppgiftslagen
Tillämpningsområde
Personuppgiftslagen (1998:204) innehåller generella bestämmelser för all behandling av personuppgifter. Begreppet personuppgift avser all information som direkt eller indirekt kan hänföras till en fysisk person som är i livet (3 §). Frågan om uppgifterna kan hänföras till en individ ska avgöras med beaktande av alla hjälpmedel som rimligen kan komma att användas för att
55 Se bl.a. SOU 2004:6 s. 246 och prop. 2007/08:160 s. 69 f., jfr prop. 2009/10:85 s. 154 f. 56Prop. 2001/02:70 s. 20 f.
Ds 2013:22 Rättsliga utgångspunkter
67
identifiera personen i fråga, antingen av den personuppgiftsansvarige eller av någon annan person. Om syftet med behandlingen är att på något sätt identifiera individer, bör man vid en rättslig bedömning kunna utgå ifrån att den personuppgiftsansvarige eller någon annan har eller kommer att ha tillgång till de hjälpmedel som behövs för att det i de fall det bedöms nödvändigt ska vara möjligt att identifiera de personer som förekommer i materialet. I ett sådant fall bör utan vidare samtliga uppgifter som ingår i materialet och som rör enskilda individer anses utgöra personuppgifter. Detta gäller även i den utsträckning det skulle visa sig att vissa individer som förekommer i materialet i praktiken inte går att identifiera.57
Begreppet behandling omfattar i stort sett allt man kan göra med personuppgifterna, exempelvis att samla in, söka, registrera, bevara och sprida uppgifter. Lagen omfattar i princip endast behandling av personuppgifter som är helt eller delvis automatiserad, men även manuell behandling kan omfattas under vissa förhållanden.
Personuppgiftslagen ger ett grundläggande integritetsskydd när det gäller behandling av personuppgifter. Särreglering i lag eller förordning gäller i princip framför bestämmelserna i personuppgiftslagen (2 §). Eftersom personuppgiftslagen bygger på dataskyddsdirektivet får dock en särreglering endast avvika från personuppgiftslagens bestämmelser om särregleringen är förenlig med dataskyddsdirektivet, under förutsättning dock att särregleringen omfattas av direktivets tillämpningsområde (jfr avsnitt 4.2.2 om dataskyddsdirektivet).
Undantag för behandling i ostrukturerat material
Den 1 januari 2007 trädde vissa ändringar av personuppgiftslagen i kraft, som innebär att lagen i viss utsträckning numera är utformad enligt en s.k. missbruksmodell.58 En bestämmelse infördes i
Rättsliga utgångspunkter Ds 2013:22
68
5 a § som innebär att behandling av personuppgifter i ostrukturerat material är tillåten i stort sett utan andra begränsningar än att den registrerades personliga integritet inte får kränkas. Personuppgifter kan därför behandlas i ostrukturerat material utan hänsyn till bl.a. bestämmelserna i 9 och 10 §§ om grundläggande krav på behandlingen och förutsättningar för att behandlingen ska vara tillåten.
De grundläggande kraven på behandling
De grundläggande kraven på behandling av personuppgifter följer av 9 § i lagen. Den personuppgiftsansvarige ska bl.a. se till att personuppgifter behandlas bara om det är lagligt, att personuppgifter samlas in bara för särskilda, uttryckligt angivna och berättigade ändamål och att personuppgifter inte behandlas för något ändamål som är oförenligt med det för vilket uppgifterna samlades in. Att uppgifterna inte behandlas för något ändamål som är oförenligt med det för vilket de samlades utgör den s.k. finalitetsprincipen.
I 9 § i) finns en bestämmelse om bevarande av personuppgifter som anger att bevarande inte får ske under längre tid än vad som är nödvändigt med hänsyn till ändamålet med behandlingen. Enligt 8 § andra stycket hindrar inte denna bestämmelse att allmänna handlingar arkiveras. Enligt 10 § arkivlagen (1990:782) får allmänna handlingar gallras, men det får inte ske på ett sådant sätt att ändamålen med arkivbildningen inte kan tillgodoses. Enligt 14 § arkivförordningen (1991:446) får statliga myndigheter bara gallra allmänna handlingar i enlighet med föreskrifter eller beslut av Riksarkivet om inte särskilda gallringsföreskrifter finns i lag eller förordning. Utgångspunkten i en statlig myndighets verksamhet är alltså att handlingar, och därmed personuppgifter, ska bevaras för arkivändamål om inga särskilda gallringsbestämmelser gäller för verksamheten. Datainspektionen har uttalat att bestämmelserna om arkivering inte kan anses ge en myndighet rätt att fortlöpande lagra stora mängder integritetskänsliga upp-
Ds 2013:22 Rättsliga utgångspunkter
69
gifter om en registrerad i det verksamhetssystem som används i den dagliga verksamheten, när dessa inte längre behövs för handläggningen i det enskilda ärendet.59
Historiska, statistiska och vetenskapliga ändamål
Enligt 9 § andra – fjärde styckena gäller vissa särskilda bestämmelser för personuppgifter som behandlas för historiska, statistiska eller vetenskapliga ändamål. Enligt andra stycket ska en sådan behandling inte anses oförenlig med de ändamål för vilka uppgifterna samlades in, dvs. dessa ändamål är alltid förenliga med finalitetsprincipen. Enligt tredje stycket kan personuppgifter bevaras under längre tid än vad som är nödvändigt med hänsyn till det ursprungliga ändamålet med behandlingen, dock inte under längre tid än vad som behövs för det aktuella historiska, statistiska eller vetenskapliga ändamålet. En behandling för sådana ändamål får inte användas för att vidta åtgärder mot den registrerade annat än om denne lämnat sitt samtycke eller om det annars finns synnerliga skäl med hänsyn till den registrerades vitala intressen.
Tillåten behandling av personuppgifter
I 10 § anges att personuppgifter får behandlas antingen om den registrerade har lämnat sitt samtycke till behandlingen eller om behandlingen är nödvändig av olika angivna skäl, bl.a. för att den personuppgiftsansvarige ska kunna utföra en arbetsuppgift i samband med myndighetsutövning. De ändamål som upptas i bestämmelsen i punkterna a) – f) är uttömmande och behandling får alltså inte ske i några andra fall om den registrerade inte lämnat sitt samtycke. För att ett samtycke ska vara giltigt och kunna läggas till grund för en behandling krävs att det är fråga om en frivillig, särskild och otvetydig viljeyttring från den registrerades
59 Beslut den 16 januari 2012, dnr 1413-2010.
Rättsliga utgångspunkter Ds 2013:22
70
sida. Det förutsätter också att information om behandlingen har lämnats till den registrerade innan denne samtycker till behandlingen. Om en person befinner sig i en beroendeställning till den som avser att behandla personuppgifterna, som t.ex. en arbetstagare i förhållande till en arbetsgivare, kan det ibland ifrågasättas om ett samtycke verkligen lämnats frivilligt. Det bör i sådana fall stå klart att arbetstagaren har ett helt fritt val och även möjlighet att senare ta tillbaka sitt samtycke utan att det medför några nackdelar för honom eller henne.60Samtycket kan när som helst återkallas (12 §).
Genom bestämmelsen i punkten e), som avser behandling i samband med myndighetsutövning, är den del av personuppgiftsbehandlingen som sker inom sakverksamheten i den offentliga sektorn tillåten.61Begreppet myndighetsutövning torde ha en EU-gemensam innebörd men enligt Datalagskommittén bör man kunna utgå från att det som i Sverige anses vara myndighetsutövning faller under begreppet, i vart fall till dess annat framkommit t.ex. genom EU-domstolens praxis.62
Känsliga personuppgifter och personnummer
Behandling av känsliga personuppgifter (ras eller etniskt ursprung, politiska åsikter, religiös eller filosofisk övertygelse, medlemskap i fackförening och personuppgifter som rör hälsa eller sexualliv) är i princip förbjuden (13 §) utom i vissa särskilt angivna undantagsfall, bl.a. inom hälso- och sjukvården (15 – 19 §§). Regeringen eller den myndighet som regeringen bestämmer får också meddela föreskrifter med ytterligare undantag, om sådana behövs med hänsyn till ett viktigt allmänt intresse (20 §). I 8 § personuppgiftsförordningen (1998:1191) finns ett sådant undantag som innebär att känsliga personuppgifter får behandlas
60SOU 2009:44 s. 111 f. 61 Öman och Lindblom, Personuppgiftslagen, 1 oktober 2012, Zeteo, kommentaren till 10 §. 62SOU 1997:39 s. 362.
Ds 2013:22 Rättsliga utgångspunkter
71
av en myndighet i löpande text om uppgifterna har lämnats i ett ärende eller är nödvändiga för handläggningen av det.
Personnummer eller samordningsnummer får bara behandlas utan samtycke om det är klart motiverat med hänsyn till ändamålet med behandlingen, vikten av en säker identifiering eller något annan beaktansvärt skäl (22 §).
Bestämmelser om den behandlades rättigheter, tillsyn m.m.
Personuppgiftslagen innehåller bestämmelser som tillförsäkrar den registrerade vissa rättigheter, bl.a. rätt till information om den behandling av personuppgifter som utförs av den personuppgiftsansvarige. Informationen ska lämnas både självmant av den personuppgiftsansvarige och på ansökan av den enskilde (23 – 26 §§). Informationsplikten viker dock för bestämmelser om sekretess och tystnadsplikt (27 §). Om personuppgifter samlas in från någon annan än den registrerade behöver information inte lämnas till denne om det finns bestämmelser om registrering och utlämnande i lag eller annan författning (24 § andra stycket).
Den registrerade kan också kräva rättelse, blockering eller utplåning av oriktiga personuppgifter (28 §) och har rätt till skadestånd under vissa förutsättningar (48 §). Personuppgiftslagen innehåller vidare bestämmelser om bl.a. säkerhetsåtgärder vid personuppgiftsbehandlingen och tillsyn över behandlingen.
Sekretess i brottsutredningar
Sekretess gäller för uppgift som hänför sig till förundersökning i brottmål om det kan antas att syftet med beslutade eller förutsedda åtgärder motverkas om uppgiften röjs (18 kap. 1 § offentlighets- och sekretesslagen [2009:400]). Sekretessen gäller inte bara uppgifter som hänför sig till en viss förundersökning utan
Rättsliga utgångspunkter Ds 2013:22
72
också, vilket framgår av 18 kap. 1 § andra stycket, till uppgift i annan brottsförebyggande eller brottsutredande verksamhet som bedrivs av bl.a. polismyndigheter. Förundersökningssekretessen följer med uppgiften och gäller även om uppgiften lämnas ut till en annan myndighet som i och för sig inte bedriver brottsförebyggande eller brottsbeivrande verksamhet.63 För en myndighet som biträder t.ex. en polismyndighet i dess verksamhet att förebygga, uppdaga, utreda eller beivra brott gäller, enligt 18 kap. 3 §, samma sekretess som i 18 kap 1 och 2 §§. Denna bestämmelse har ansetts tillämplig på en utredning för uppgifter i ett utlåtande rörande isotopundersökning av kulor från ett skjutvapen som utfördes på SKL.64Både för de uppgifter som SKL tar emot från Polisen i ett undersökningsärende och för uppgifter som ingår i de utlåtanden och andra handlingar som SKL framställer finns alltså tillämpliga sekretessbestämmelser.
Sekretess kan också gälla för uppgifter om enskildas ekonomiska och personliga förhållanden som förekommer i förundersökningar om det inte står klart att uppgiften kan röjas utan att den enskilde eller någon närstående till denne lider skada eller men (35 kap. 1 § första stycket 1). Under samma förutsättningar gäller sekretess också i annan verksamhet som syftar till att utreda brott och som bedrivs av ett antal uppräknade myndigheter, däribland SKL (35 kap. 1 § första stycket 4). Sekretessen gäller också för DNA-registren (och andra register som förs med stöd av polisdatalagen) (35 kap. 1 § första stycket 6).
Om SKL blir en del av Polismyndigheten enligt Polisorganisationskommitténs förslag kommer SKL inte längre att nämnas i 35 kap. 1 §, utan bestämmelsen blir tillämplig på verksamheten inom SKL genom att den gäller för den nya Polismyndighetens verksamhet.65SKL kommer då inte längre vara en självständig myndighet som biträder en polismyndighet, utan förundersök-
63 Lenberg m.fl., Offentlighets- och sekretesslagen, 1 juli 2012, Zeteo, kommentaren till 18 kap. 1 §. 64RÅ 1988 not. 104. 65SOU 2012:78 del 1 s. 55 f. och del 2 s. 331.
Ds 2013:22 Rättsliga utgångspunkter
73
ningssekretessen enligt 18 kap. 1 § får förutsättas bli direkt tilllämplig på SKL:s verksamhet.
Sekretess om ett utlämnande strider mot bestämmelserna i personuppgiftslagen
En sekretessbestämmelse som är generellt tillämplig på alla myndigheter i alla sorters verksamheter finns i 21 kap. 7 § offentlighets- och sekretesslagen. Enligt bestämmelsen gäller sekretess för en personuppgift om ett utlämnande skulle medföra att uppgiften behandlas i strid med personuppgiftslagen. En tillämpning av bestämmelsen aktualiseras främst om någon begär att få del av ett stort antal personuppgifter, ett s.k. massuttag, eller selekterade uppgifter.66
4.2.7 Särskilda s.k. registerförfattningar 67
De allmänna bestämmelserna för behandling av personuppgifter finns alltså i personuppgiftslagen. Sedan slutet av 1990-talet har det utöver personuppgiftslagen utarbetats en stor mängd specialförfattningar med bestämmelser om behandling av personuppgifter, s.k. registerförfattningar. Termen avser både författningar som reglerar inrättande och förandet av viktigare register i en traditionell mening och annan personuppgiftsbehandling på det offentliga, i vissa fall också det privata, området.
Syftet med registerförfattningar är att anpassa lagstiftningen till de särskilda behov som finns inom olika verksamhetsområden och samtidigt göra avvägningar mellan behovet av effektivitet i berörd verksamhet och behovet av skydd för enskildas integritet. Den uttalade ambitionen är att myndighetsregister med
66SOU 2010:4 s. 149 och 153 samt, för en utförlig redogörelse för regelns tillämpning, avsnitt 3.8 i sin helhet. 67 För en allmän beskrivning av registerförfattningarna, se t.ex. Öman, Sören, Särskilda registerförfattningar, Festskrift till Peter Seipel, 2006, s. 685, SOU 2010:4 s. 132 – 143, SOU 2010:76 s. 317 – 338 eller prop. 2008/09:96 s. 56 f.
Rättsliga utgångspunkter Ds 2013:22
74
ett stort antal registrerade och ett särskilt känsligt innehåll ska regleras särskilt i lag.68
Registerförfattningarna innehåller, med hänsyn till att de är anpassade till en viss verksamhets särskilda behov, olika bestämmelser. Den behandling som regleras brukar vara samma behandling som omfattas av personuppgiftslagen, dvs. behandling som sker helt eller delvis automatiserat, eller manuellt i registerform. Tillämpningsområdet för en registerförfattning kan utformas som en sådan personuppgiftsbehandling som sker i en viss myndighets, eller myndighetsstrukturs, verksamhet, eventuellt verksamhet av visst slag. Regelmässigt innehåller registerförfattningarna bestämmelser om för vilka ändamål personuppgiftsbehandlingen får ske och vilka personuppgifter som får behandlas för dessa ändamål. Ändamålen kan vara uppdelade i primära och sekundära, där de primära avser den personuppgiftsbehandling myndigheten måste utföra för att kunna handlägga ärenden i sin egen verksamhet, medan de sekundära avser utlämnande, i första hand till andra myndigheter, av uppgifter som samlats in för de primära ändamålen.
Andra bestämmelser som kan förekomma i registerförfattningarna är särskilda bestämmelser om behandling av känsliga personuppgifter, begränsningar av tillåtna sökbegrepp och vad som ska gälla för utlämnande av uppgifter i elektronisk form.
Eftersom personuppgiftslagens bestämmelser om rättelse och skadestånd (28 och 48 §§) avser personuppgiftsbehandling enligt den lagen, brukar också registerförfattningarna ta upp en hänvisning till dessa bestämmelser.
68Prop. 1997/98:44 s. 41 och KU 1997/98:18 s. 43 samt prop. 1990/91:60 s. 50 och KU 1990/91:11 s. 11.
Ds 2013:22 Rättsliga utgångspunkter
75
4.2.8 Polisdatalagen
Syfte och omfattning
Polisdatalagen (2010:361) trädde i kraft den 1 mars 2012. Syftet med den nya lagen är att ge polisen möjlighet att behandla personuppgifter på ett ändamålsenligt sätt i sin brottsbekämpande verksamhet och att skydda människor mot att deras personliga integritet kränks vid sådan behandling. Lagen reglerar, med några få undantag, all behandling av personuppgifter i Polisens brottsbekämpande verksamhet vid Rikspolisstyrelsen, polismyndigheterna och Ekobrottsmyndigheten. Personuppgiftsbehandling i sådan verksamhet som inte är brottsbekämpande, exempelvis hanteringen av förvaltningsärenden, omfattas inte av lagen utan regleras av personuppgiftslagen.
När det gällde SKL gjorde regeringen bedömningen att laboratoriet inte borde omfattas av den nya polisdatalagen. Regeringen tog vid bedömningen hänsyn till dels att verksamheten vid SKL inte är brottsbekämpande i vedertagen mening, dels att myndighetens personal inte är polismän utan experter inom sina respektive verksamhetsområden och inte har traditionella polisiära uppgifter eller befogenheter. De särskilda krav som gör sig gällande på personuppgiftsbehandling i den brottsbekämpande verksamheten gällde därmed inte för SKL:s verksamhet enligt regeringens uppfattning.69
Polisorganisationskommittén har konstaterat att SKL, när laboratoriet blir en del av den nya Polismyndigheten, åtminstone formellt kommer att omfattas av tillämpningsområdet för registerförfattningar som i dag tillämpas på de 21 polismyndigheterna. Begränsningen i tillämpningsområdet kan, enligt kommittén, åstadkommas genom att en viss författningsbestämmelse begränsas till att avse Polismyndighetens brottsbekämpande verksamhet.70Kommitténs utgångspunkt tycks alltså ha varit densamma
69Prop. 2009/10:85 s. 71 f. 70SOU 2012:78, del 1, s. 116.
Rättsliga utgångspunkter Ds 2013:22
76
som regeringens, nämligen att SKL: verksamhet inte är brottsbekämpande.
Behandlingen av personuppgifter
Polisen får enligt 2 kap. 7 § polisdatalagen behandla personuppgifter om det behövs för att förebygga, förhindra eller upptäcka brottslig verksamhet, utreda eller beivra brott eller fullgöra förpliktelser som följer av internationella åtaganden. Lagen bygger på en uppdelning mellan å ena sidan behandling av ”gemensamt tillgängliga uppgifter” och å andra sidan annan behandling. Uttrycket gemensamt tillgängliga uppgifter har införts som ett teknikneutralt begrepp i stället för begreppen register och databas som tidigare använts för att definiera uppgifter som har gjorts tillgängliga för en större krets. Med att en uppgift är tillgänglig för en viss person avses att personen i fråga har både faktisk möjlighet att ta del av uppgiften och rättslig behörighet att ta del av den. Det har däremot ingen betydelse om personen rent faktiskt också utnyttjar sin möjlighet att ta del av uppgiften och det saknar betydelse om personen kan påverka uppgiften eller enbart ta del av den.71
För att en uppgift ska anses vara gemensamt tillgänglig ska det alltså vara fler än ett fåtal tjänstemän som har tillgång till uppgiften. Exakt vilket antal personer som avses har inte angetts i författningstexten, men regeringen angav att en tumregel bör vara fler än ett tiotal. Bedömningen i det enskilda fallet kan dock bero på andra omständigheter än antalet personer som har tillgång till uppgiften.72
Bestämmelser om vilka personuppgifter som får göras gemensamt tillgängliga, hur sökning får ske, direktåtkomst till gemensamt tillgängliga uppgifter, m.m. finns i 3 kap. polisdatalagen.
71Prop. 2009/10:85 s. 127. 72 A. prop. s. 128 f.
Ds 2013:22 Rättsliga utgångspunkter
77
DNA-registren
Vissa kategorier av personuppgifter behandlas enligt polisdatalagen fortfarande i särskilda register. Bestämmelser för de särskilda registren finns i 4 kap. polisdatalagen och gäller bl.a. register över DNA-profiler.
Ändamålen för behandlingen av personuppgifter i DNA-register är desamma som för polisens behandling av personuppgifter i allmänhet, alltså t.ex. att utreda eller beivra brott. DNA-registren får också föras för ändamålet att underlätta identifiering av avlidna personer (4 kap. 1 § polisdatalagen). Det är Rikspolisstyrelsen som för DNA-registren och har personuppgiftsansvaret för uppgiftsbehandlingen i registren. SKL hanterar registren i egenskap av personuppgiftsbiträde åt Rikspolisstyrelsen och ska i den egenskapen iaktta de aktuella bestämmelserna i polisdatalagen. Det finns följande tre DNA-register.
DNA-registret får enligt 4 kap. 2 § polisdatalagen innehålla
DNA-profiler från prov som har tagits med stöd av 28 kap. rättegångsbalken och som avser personer som antingen genom lagakraftvunnen dom har dömts till annan påföljd för brott än böter eller har godkänt ett strafföreläggande som avser villkorlig dom.
Utredningsregistret, som regleras i 4 kap. 4 § polisdatalagen, är
ett slags temporärt register. Det får innehålla DNA-profiler från prov som har tagits med stöd av 28 kap. rättegångsbalken och som avser personer som är skäligen misstänkta för brott på vilket fängelse kan följa. Uppgifterna gallras ur registret när uppgifterna antingen får föras in i DNA-registret, dvs. när det finns en lagakraftvunnen dom eller motsvarande, eller när förundersökning eller åtal mot den misstänkte läggs ned, åtalet ogillas eller påföljden bestäms till enbart böter.
En DNA-profil som registreras i DNA-registret eller utredningsregistret får endast ge information om identitet och i vilket ärende profilen har tagits fram samt brottskod. De registrerade uppgifterna får inte ge information om personliga egenskaper (4 kap. 3 – 4 §§).
Rättsliga utgångspunkter Ds 2013:22
78
Spårregistret får enligt 4 kap. 6 § polisdatalagen innehålla
DNA-profiler som har tagits fram under utredning av brott som inte kan hänföras till en identifierbar person. Registret innehåller således DNA-profiler från prov som har tagits på en brottsplats eller på någon annan plats där en gärningsman kan antas ha avsatt spår, t.ex. på ett bortslängt brottsverktyg eller i en flyktbil. DNA-profiler i spårregistret får jämföras med DNA-profiler som inte kan hänföras till en identifierbar person, dvs. andra profiler i spårregistret, med DNA-profiler i DNA-registret och i utredningsregistret. DNA-profiler i spårregistret får också jämföras i andra fall om det är nödvändigt för att fullgöra en internationell överenskommelse som Sverige efter riksdagens godkännande har tillträtt eller om det följer av en EU-rättsakt.
Polismyndigheter, Ekobrottsmyndigheten, Åklagarmyndigheten, Tullverket, Kustbevakningen och SKL får enligt 4 kap. 10 § polisdatalagen medges direktåtkomst till register över DNA-profiler. Av 15 § polisdataförordningen (2010:1155) följer att direktåtkomsten för alla utom SKL begränsas till uppgifter om huruvida någon förekommer i sådana register.
DNA-profiler får inte göras gemensamt tillgängliga, vilket framgår av 3 kap. 2 § polisdatalagen. Regeringen anförde att denna begränsning är viktig av integritetsskyddsskäl, eftersom det därigenom bl.a. säkerställs att det inte skapas uppgiftssamlingar med DNA-profiler vid sidan av de särskilda register där DNAprofiler får behandlas.73
Gallringsbestämmelser
Regeringen anförde vid införandet av polisdatalagen att gallringsbestämmelserna i den nya lagen borde syfta till att skydda den personliga integriteten för de personer vilkas uppgifter behandlas automatiserat. Som en allmän utgångspunkt nämndes att det är när stora mängder uppgifter om enskilda personer samlas hos
73 A. prop. s. 144 f.
Ds 2013:22 Rättsliga utgångspunkter
79
myndigheter som det uppstår oundvikliga integritetsrisker, i synnerhet som dagens teknik tillåter att avancerade sammanställningar av information görs på ett enkelt sätt. En metod att minska integritetskänsligheten är att se till att uppgifter som inte längre behövs för en myndighets verksamhet avlägsnas från myndighetens databaser eller register.74
Polisdatalagen innehåller en generell bestämmelse för bevarande och gallring av personuppgifter i 2 kap. 12 § som innebär att personuppgifter inte får bevaras under längre tid än vad som behövs för något eller några av de i lagen angivna ändamålen. I lagen finns sedan särskilda bestämmelser för hur länge personuppgifter som behandlas automatiserat får bevaras. Bestämmelserna är maximifrister, vilket alltså innebär att uppgifter som dessförinnan inte längre behövs, för något av de angivna ändamålen för behandling, måste gallras tidigare. För uppgifter i de särskilda registren som förs med stöd av lagen, bl.a. DNA-registret, gäller särskilda gallringsfrister. Det görs också åtskillnad när det gäller personuppgifter i ärenden som inte är gemensamt tillgängliga och uppgifter som gjorts gemensamt tillgängliga. För uppgifter som gjorts gemensamt tillgängliga gäller olika gallringsfrister bl.a. beroende på för vilka ändamål de behandlas (3 kap. 14 §). Den längsta angivna gallringsfristen för gemensamt tillgängliga uppgifter är 10 år (3 kap. 14 § tredje stycket).
I 3 kap. 15 § finns en upplysningsbestämmelse om att regeringen kan komma att meddela föreskrifter om att personuppgifter får bevaras under längre tid än vad som följer av gallringsbestämmelserna i 3 kap. 14 §. Några sådana bestämmelser har dock inte meddelats i polisdataförordningen.75
74 A. prop. s. 205 f. 75 I 27 § polisdataförordningen finns en bestämmelse av vilken följer att Riksarkivet, efter samråd med Rikspolisstyrelsen, får meddela föreskrifter om att uppgifter som ska gallras bl.a. enligt 3 kap. 14 § får bevaras för historiska, statistiska eller vetenskapliga ändamål. Att regeringen, eller den myndighet regeringen bestämmer, kan meddela sådana föreskrifter följer av 3 kap 15 § andra stycket.
Rättsliga utgångspunkter Ds 2013:22
80
Bevarande av uppgifter i ärenden om utredning av brott
Ärenden om utredning eller beivrande av brott omfattas inte av polisdatalagens gallringsbestämmelser. Brottsanmälningar, förundersökningar och andra brottsutredningar ska alltså inte gallras utan bevaras för arkivändamål i enlighet med arkivlagen. För uppgifter hänförliga till sådana ärenden och som har gjorts gemensamt tillgängliga finns istället bestämmelser om hur länge de får behandlas i polisens brottsbekämpande verksamhet (3 kap. 9 – 12 §§). Förenklat uttryckt är tidsfristen fem år från utgången av det kalenderår då en domstolsprövning avslutades eller förundersökningen avslutades på annat sätt (11 §). Om en brottsanmälan inte lett till förundersökning är den yttersta tidsfristen brottets preskriptionstid (10 §).76
I 3 kap. 12 § finns en upplysning att regeringen kan meddela föreskrifter om att vissa kategorier av personuppgifter i ärenden om utredning och beivrande av brott får bevaras i polisens brottsbekämpande verksamhet under längre tid än vad som anges i lagen. Sådana bestämmelser har också meddelats i 20 – 26 §§polisdataförordningen. Ett tillåtet ändamål för behandling under längre tid än den generella femårsfristen är att behandlingen av uppgifterna av särskilda skäl är nödvändig för att finna samband mellan olika brott eller mellan tänkbara gärningsmän (20 §). Uppgifterna måste dock gallras senast då uppgifterna om den dömde gallras ur belastningsregistret. Uppgifter om en person som inte lett till åtal kan också i enskilda fall behandlas om behandlingen är nödvändig för att trots detta kunna lagföra personen som är misstänkt. Uppgifterna om personen kan dock inte behandlas efter det att brottet preskriberats (22 §).77
I polisdataförordningen finns också bestämmelser som gäller egendom som varit föremål för brott (24 §) och barnpornografiska skildringar (26 §). För egendom som varit föremål för brott
76 Av samma bestämmelse följer dock att en avskriven brottsanmälan inte längre får behandlas i den brottsbekämpande verksamheten om anledningen till att anmälan inte lett till förundersökning var att den påstådda gärningen inte var brottslig. 77 Jfr dock att DNA-profiler i spårregistret inte behöver gallras förrän efter 30 år, vilket torde kunna överskrida brottets preskriptionstid.
Ds 2013:22 Rättsliga utgångspunkter
81
får sådan behandlas bl.a. för att kunna spåra föremålets användning vid annat brott eller brottslig verksamhet. Ingen maximifrist för gallring har föreskrivits för dessa uppgifter, men personuppgifter som är knutna till egendomen får inte bevaras längre tid än vad som behövs för de angivna ändamålen för behandling (24 §). När det gäller barnpornografiska skildringar ingår de i ett register i en mer traditionell bemärkelse, det s.k. digitala referensbiblioteket över barnpornografiska framställningar. Uppgifterna i det registret ska gallras senast 40 år efter det att de infördes i registret (26 § andra stycket).
I polisdatalagspropositionen anfördes att målsättningen med den nya lagstiftningen i och för sig är att så långt möjligt undvika särreglering av vissa speciella informationssamlingar. Genom möjligheten för regeringen att meddela föreskrifter om längre tid för behandling än vad som följer av polisdatalagen (3 kap. 12 och 15 §§) skapades alltså ändå en möjlighet att ha kvar vissa register genom bestämmelser i förordning. Ett annat exempel på ett traditionellt register som finns kvar är det centrala brottspaningsregistret. Detta register innehåller uppgifter om anmälda allvarligare brott och är avsett att kunna utnyttjas för såväl spaning som brottsutredning. I registret behandlas bl.a. uppgifter om tillvägagångssätt vid brott (modus operandi). Registret behandlas överhuvudtaget inte enligt polisdatalagen till utgången av år 2014 (punkten 2 i ikraftträdande och övergångsbestämmelser till polisdatalagen). Därefter ska alltså uppgifter i registret kunna behandlas under längre tid än de generella gallrings- och bevarandebestämmelserna i polisdatalagen med stöd av undantag i polisdataförordningen.78
Gallring i DNA-registren
En uppgift i utredningsregistret gallras när den kan föras in i DNA-registret, dvs. när en person fått en påföljd som bestämts
78 A. prop. s. 229 f.
Rättsliga utgångspunkter Ds 2013:22
82
till annat än böter. Uppgiften gallras också om det inte finns förutsättningar att föra över uppgiften till DNA-registret, t.ex. när ett åtal ogillas eller påföljden blivit endast böter. Uppgifterna i DNA-registret gallras på samma sätt som uppgifter i belastningsregistret enligt lagen (1998:620) om belastningsregister. För uppgifter i spårregistret, som alltså inte kan hänföras till en identifierbar person, gäller en gallringsfrist om 30 år (4 kap. 7 § tredje stycket). Om uppgiften hänför sig till en utredning om vissa uppräknade brott, t.ex. mord eller dråp, gäller dock en gallringsfrist om sjuttio år (4 kap. 7 § fjärde stycket).
Författningsregleringen av DNA-registren infördes ursprungligen i den tidigare gällande polisdatalagen (1998:622). Gallringsfristen för uppgifter i spårregistret var då 30 år, vilket också utgjorde den längsta preskriptionstiden för brott. Regeringen motiverade inte gallringsfristen längd, men angav att man delade registerutredningens förslag i frågan.79 Registerutredningen skrev i sitt betänkande Kriminalunderrättelseregister DNA-register att spårregistret, som består av spår från oidentifierade personer, bör kunna sparas under en längre tid än uppgifterna i register som innehåller personuppgifter och valde tiden 30 år med hänvisning till då gällande preskriptionsbestämmelser.80
4.3 Provtagning för DNA-analys
4.3.1 Regeringsformen m.m.
Påtvingat kroppsligt ingrepp
Enligt 2 kap. 6 § första stycket regeringsformen är varje medborgare gentemot det allmänna skyddad mot påtvingat kroppsligt ingrepp även i andra fall än som avses i 2 kap. 4 och 5 §§, vilka omfattar dödsstraff, kroppsstraff och tortyr. Skyddet mot på-
79 Prop 1997/98:97 s. 142. 80SOU 1996:35 s. 146.
Ds 2013:22 Rättsliga utgångspunkter
83
tvingade kroppsliga ingrepp får endast begränsas i lag (2 kap. 20 § regeringsformen). Begränsningar i skyddet får enligt 2 kap. 21 § regeringsformen göras endast för att tillgodose ändamål som är godtagbara i ett demokratiskt samhälle och en begränsning får aldrig gå utöver vad som är nödvändigt med hänsyn till det ändamål som har föranlett den.
I propositionen Utvidgad användning av DNA-tekniken inom brottsbekämpning m.m. gjorde regeringen bedömningen att ett tagande av ett DNA-prov mot den enskildes vilja får anses som ett sådant kroppsligt ingrepp som omfattas av bestämmelsen i regeringsformen. Regeringen gjorde också bedömningen att den reglering av provtagning av DNA-prov som föreslogs, med en möjlighet att ta prov från både skäligen misstänkta och ej misstänkta personer (t.ex. målsäganden och vittnen) var förenlig med regeringsformens krav.81Om provtagningen däremot sker med samtycke från den enskildes sida är den inte att betrakta som ett påtvingat kroppsligt ingrepp, under förutsättning att samtycket verkligen lämnats frivilligt.82 (Om frivilligt lämnade prover i brottsutredningar, se vidare avsnitt 4.3.2).
Även om ett kroppsligt ingrepp, t.ex. tagande av olika prover som blodprov, alkoholutandningsprov, urinprov eller DNAprov, äger rum utan fysiskt tvång är det att betrakta som påtvingat om det finns ett krav på den enskilde att lämna provet och kravet är förenat med ett hot om sanktioner.83Om ett kroppsligt ingrepp däremot är en förutsättning för en förmån, t.ex. en anställning, är ingreppet inte påtvingat.84
81Prop. 2005/06:29 s. 19 f. 82 A. prop. s. 25 f. 83Prop. 1993/94:65 s. 111, jfr JO, beslut den 27 mars 2009, dnr 5978-2006, s. 11. 84 A. prop. s. 111. När det gäller offentlig anställning finns dock andra bestämmelser som begränsar möjligheten att ställa upp vissa förutsättningar för en anställning, i första hand 12 kap. 5 § regeringsformen enligt vilken bestämmelse endast sakliga grunder såsom förtjänst och skicklighet får beaktas vid anställning hos en statlig myndighet.
Rättsliga utgångspunkter Ds 2013:22
84
Skyddet mot påtvingat kroppsligt ingrepp för offentligt anställda
2 kap. 6 § regeringsformen tillämpas på anställningsförhållanden inom staten. Arbetsdomstolen har dock uttalat i AD 1984 nr 94 att det inom den offentliga sektorn numera gäller att frågor som rör tjänstemännens anställningsförhållanden i allmänhet är av privaträttslig natur, men att detta inte hindrar att beslut av en myndighet i dess egenskap av arbetsgivare likväl kan vara att betrakta som myndighetsutövning. Om en åtgärd vidtas i det allmännas intresse, uppträder arbetsgivaren i egenskap av det allmänna och regeringsformen är tillämplig.85
Eftersom offentligt anställdas skydd mot påtvingat kroppsligt ingrepp endast får begränsas genom lag finns också lagstöd för vissa åtgärder som kan betraktas som kroppsliga ingrepp. T.ex. innehåller 30 § lagen (1994:260) om offentlig anställning en bestämmelse om att en arbetstagare i en offentlig anställning under vissa förhållanden är skyldig att genomgå hälsoundersökningar. En vägran att genomgå hälsoundersökning enligt bestämmelsen kan i sista hand leda till uppsägning. Att förbudet mot påtvingat kroppsligt ingrepp inte hindrar undersökningar som den anställde samtycker till framgår av förarbetsuttalanden till bestämmelsen.86
4.3.2 Rättegångsbalken
Provtagning för DNA-analys under en förundersökning regleras inte i polisdatalagen utan i 28 kap.12 – 12 b §§rättegångsbalken. Enligt 28 kap. 12 § får den som skäligen kan misstänkas för ett brott på vilket fängelse kan följa underkastas kroppsbesiktning i syfte att utröna omständigheter som kan vara av betydelse för utredningen om brottet eller att söka efter föremål som kan tas i
85 Se vidare Holmberg m.fl, Grundlagarna, 1 januari 2012, Zeteo, kommentaren till 2 kap. 6 § regeringsformen, och prop. 1993/94:65 s. 111. 86Prop. 1993/94:65 s. 112.
Ds 2013:22 Rättsliga utgångspunkter
85
beslag eller i förvar. Med kroppsbesiktning avses bl.a. att ta prov från människokroppen och undersökningen av sådana prov.
I 28 kap. 12 a och b §§ finns särskilda bestämmelser om prov för DNA-undersökning. Enligt 12 a § får kroppsbesiktning genom tagande av salivprov göras på den som skäligen kan misstänkas för ett brott på vilket fängelse kan följa, om syftet är att göra en DNA-analys av provet och att registrera resultatet av provet, dvs. DNA-profilen, i DNA-registret eller utredningsregistret. Eftersom syftet med provtagningen är att uppgifterna ska registreras, brukar metoden ibland kallas för ”registertopsning”. Provtagning får inte ske av den som är under 15 år.
Polisdatalagens 4 kap. innehåller bestämmelser om hantering av prover för DNA-analys. Enligt 8 § får ett prov som har tagits i samband med utredning om brott inte användas för något annat ändamål än det som provet togs för. Ett prov som har tagits med stöd av 28 kap. rättegångsbalken ska förstöras senast sex månader efter det att provet togs (9 §).
Enligt 28 kap. 12 b § får kroppsbesiktning genom tagande av salivprov göras även på annan än den som är skäligen misstänkt, om syftet är att genom en DNA-analys av provet underlätta identifiering vid utredning av ett brott på vilket fängelse kan följa och det finns synnerlig anledning att anta att det är av betydelse för utredningen av brottet. Prov av detta slag kan tas av t.ex. målsäganden i syfte att utesluta att DNA som påträffas på brottsplatsen kommer från brottsoffret. Prov av detta slag får inte jämföras med DNA-profiler som har registrerats enligt polisdatalagen eller i övrigt användas för något annat ändamål än för vilket provet har tagits. Dessa DNA-profiler får givetvis inte heller registreras.
Frågan om samtycke kan ersätta de förutsättningar som anges i 28 kap. rättegångsbalken har behandlats i avsnitt 4.3.1.
Om ett prov för DNA-analys lämnas frivilligt av någon som inte är skäligen misstänkt får provet inte heller i denna situation användas för registrering, eftersom polisdatalagen uttömmande reglerar vilka DNA-profiler som får registreras (när det gäller profiler efter topsningar regleras detta i 4 kap. 2 och 4 §§). Ett
Rättsliga utgångspunkter Ds 2013:22
86
frivilligt lämnat prov kan därmed inte heller jämföras med andra profiler i DNA-registren.
4.4 SKL:s leverantörer av varor och tjänster
4.4.1 Regeringsformen
Regeringsformens skydd för närings- och yrkesfriheten finns i
2 kap. 17 § regeringsformen och innebär att begränsningar i rätten att driva näring eller utöva yrke får införas endast för att skydda angelägna allmänna intressen och aldrig i syfte enbart att ekonomiskt gynna vissa personer eller företag. Bestämmelsen har utformats så att skyddet för närings- och yrkesfriheten tar sin utgångspunkt i den s.k. likhetsprincipen, som anses innebära att alla ska ha möjlighet att konkurrera på lika villkor under förutsättning att de i övrigt uppfyller de krav som kan ställas på t.ex. kompetens. Bestämmelsen utesluter därmed inte möjligheter att föreskriva de inskränkningar i närings- och yrkesfriheten som från allmänna utgångspunkter bedöms angelägna av hänsyn till miljö, säkerhet, utbildning och andra liknande intressen.87
Frågan om vad som kan anses utgöra en begränsning av näringsfriheten och grundlagsenligheten hos begränsningen har aktualiserats i några lagstiftningsärenden, t.ex. med anledning av ett lagförslag om inskränkning i landstingens rätt att överlämna driften av akutsjukhus till annan. Lagrådet efterlyste i sitt yttrande över lagförslaget i lagrådsremissen en analys av hur förslaget förhöll sig till regeringsformens skydd av näringsfriheten, när effekten av lagförslaget var att möjligheterna att driva näring i praktiken begränsades för vissa som bedrev näring genom att ge hälso- och sjukvård.88
Bestämmelsen om skydd för närings- och yrkesfrihet anger inte i vilken form begränsningar i närings- och yrkesfriheten ska beslutas. Enligt huvudregeln i 8 kap 2 § regeringsformen ska
Ds 2013:22 Rättsliga utgångspunkter
87
sådana föreskrifter beslutas genom lag men med möjlighet enligt 8 kap. 3 § och 8 kap. 10 §regeringsformen till delegering av normgivningskompetensen till regeringen och dess myndigheter eller kommuner.89
4.4.2 Lagen om offentlig upphandling
Regler om upphandling återfinns i bl.a. lagen (2007:1091) om offentlig upphandling. I lagen genomförs i huvudsak Europaparlamentets och rådets direktiv 2004/18/EG av den 31 mars 2004 om samordning av förfarandena vid offentlig upphandling av byggentreprenader, varor och tjänster (det s.k. klassiska direktivet). Med offentlig upphandling avses de åtgärder som vidtas av en upphandlande myndighet i syfte att tilldela ett kontrakt eller ingå ett ramavtal avseende varor, tjänster eller byggentreprenader (2 kap. 13 §).
För upphandlingar gäller enligt EU-rätten fem grundläggande principer: icke-diskriminering, likabehandling, transparens, proportionalitet och ömsesidigt erkännande, vilket återspeglas i de principer för offentlig upphandling som ställs upp i 1 kap. 9 §.90Principen om likabehandling innebär att alla leverantörer ska behandlas lika och ges lika förutsättningar. Med proportionalitetsprincipen avses att kraven på leverantören och kraven i kravspecifikationen måste ha ett naturligt samband med och stå i rimlig proportion till det som upphandlas. De krav som ställs ska vara både lämpliga och nödvändiga för att uppnå syftet. Krav som t.ex. är grundade på miljöhänsyn är tillåtna om miljökraven uppfyller de grundläggande principerna.91En upphandlande myndighet eller enhet kan också ställa särskilda sociala, miljö-
89 Holmberg m.fl, Grundlagarna, 1 januari 2012, Zeteo, kommentaren till 2 kap. 17 § regeringsformen. 90 Bestämmelsen lyder: ”Upphandlande myndigheter skall behandla leverantörer på ett likvärdigt och icke-diskriminerande sätt samt genomföra upphandlingar på ett öppet sätt. Vid upphandlingar skall vidare principerna om ömsesidigt erkännande och proportionalitet iakttas.” 91 Jfr prop. 2010/11:118 s. 11.
Rättsliga utgångspunkter Ds 2013:22
88
mässiga och andra villkor för hur ett kontrakt ska fullgöras (6 kap. 13 §). Villkoren får dock inte vara direkt eller indirekt diskriminerande och inte utgöra hinder för en väl fungerande inre marknad. Villkoren får avgöras i varje enskilt fall och kan endast gälla den del av leverantörens verksamhet som omfattas av det som upphandlas.
I RÅ 2010 ref. 78 bedömdes en fråga om ett landsting hade möjlighet att i en upphandling ställa krav på att upphandlade produkter skulle vara fria från ett visst antibakteriellt ämne p.g.a. miljöskyddsskäl. Ett bolag vars produkter innehöll det aktuella ämnet begärde överprövning och anförde bl.a. att ämnet inte var miljöfarligt och att deras produkter innebar den bäst tillgängliga tekniken med avseende på patienternas vård. Regeringsrätten anförde bl.a. att en upphandlande myndighet har stor frihet när den närmare bestämmer föremålet för en upphandling, så länge den följer de grundläggande kraven på bl.a. icke-diskriminering som gäller vid en offentlig upphandling. Regeringsrätten ansåg att det krav landstinget ställt upp hade en objektiv utformning och att det inte diskriminerade någon leverantör samt att kravet inte framstod som godtyckligt eller uppenbart osakligt. Vid detta förhållande saknades det anledning för domstolarna att pröva om det medförde någon egentlig vinst för miljön att undvika det antibakteriella ämnet. Av rättsfallet torde kunna utläsas att bestämmelserna om offentlig upphandling inte innebär att någon överprövning av ett uppställt krav kan göras utifrån några mer allmänna lämplighets- eller skälighetsaspekter, så länge kravet inte är godtyckligt eller uppenbart osakligt.
89
5 Överväganden och förslag avseende personuppgiftsbehandlingen vid SKL
5.1 Grundläggande utgångspunkter
Polisdatalagens tillämpning inom SKL
Polisorganisationskommittén har gjort bedömningen att SKL ska vara en avdelning på nationell nivå i den nya polismyndigheten. SKL:s särskilda uppgifter, att ansvara för laboratorieundersökningar som föranleds av misstanke om brott, samt bedriva annan verksamhet som står i samband därmed (forensiska undersökningar), att inom sitt verksamhetsområde bedriva forensisk forskning samt samla, bearbeta och offentliggöra resultat inom verksamhetsområdet, samt svara för att verksamheten bedrivs på en hög vetenskaplig nivå, ska läggas fast i den nya myndighetsinstruktionen.92 Med beaktande av regeringens ställningstagande som redovisats i avsnitt 3.3, bygger vi våra resonemang på att SKL kommer att bli en del av den nya Polismyndigheten. Den författningsreglering som vi kan komma att anse behövas bör träda i kraft när den nya Polismyndigheten förverkligas, i dagsläget per den 1 januari 2015. En effekt av sammanslagningen av Rikspolisstyrelsen, polismyndigheterna och SKL till Polismyndigheten blir att polisdatalagen (2010:361) kommer att gälla för personuppgiftsbehandlingen även inom SKL, dock endast i den
92SOU 2012:13 s. 73 och s. 273 (8–9 §§ i förslaget till förordning med instruktion för Polismyndigheten).
Överväganden och förslag Ds 2013:22
90
mån denna personuppgiftsbehandling anses ske i Polisens brottsbekämpande verksamhet.93
Som tidigare redogjorts för (avsnitt 4.2.8) tycks Polisorganisationskommittén, i likhet med regeringen, ha utgått ifrån att SKL inte bedriver brottsbekämpande verksamhet och att olika registerförfattningars tillämpning därmed begränsas för SKL:s del, även om laboratoriet formellt omfattas som en del av den nya Polismyndigheten. Kommittén betonar också att SKL:s opartiskhet och objektivitet i förhållande till Polismyndigheten i övrigt är väsentlig från rättsäkerhetssynpunkt. Som kommittén noterar är dock SKL:s arbete del av en forensisk process som börjar med brottsplatsundersökningen som normalt utförs av Polisens tekniska rotlar eller lokala brottsplatsundersökare. Kommittén anför också att möjligheten att stärka och utveckla en sammanhållen forensisk process ökar genom att SKL blir en del av Polismyndigheten. Kommittén anser att SKL bör ges ett huvudansvar för den forensiska processen och att förutsättningarna för att få en effektiv sådan process från brottsplats till laboratorium bör tas fram inom ramen för genomförandearbetet.94 En gränsdragning mellan å ena sidan de tekniska rotlarnas verksamhet, som i dag anses falla inom Polisens brottsbekämpande verksamhet, och å andra sidan SKL:s undersökningar kan med ett sådant perspektiv verka mindre berättigad. Till detta kommer ambitionerna hos SKL att leverera de s.k. forensiska uppslagen, där SKL självständigt efterforskar förhållanden som SKL förfogar över och som kan ge spaningsuppslag till Polisen.
En grundläggande utgångspunkt i utredningsarbetet är att, oavsett hur man ser på frågan om huruvida SKL:s verksamhet är brottsbekämpande eller inte, det bör finnas en uttrycklig bestämmelse i polisdatalagen som anger tillämpningsområdet avseende SKL. Frågan om polisdatalagen helt eller delvis ska vara tillämplig på SKL:s personuppgiftsbehandling bör heller inte vara avhängig av om man definierar verksamheten som brottsbekäm-
93 Se polisorganisationskommitténs förslag till ändring i 1 kap. 2 § polisdatalagen, SOU 2012:78, del 2, s. 341. 94SOU 2012:13 s. 31, 33 och 273 – 275.
Ds 2013:22 Överväganden och förslag
91
pande eller inte, utan om bestämmelserna i polisdatalagen är ändamålsenliga för att reglera den personuppgiftsbehandling som sker inom SKL.
Vissa bestämmelser i polisdatalagen förefaller oproblematiska att tillämpa i SKL:s verksamhet. Ett exempel är bestämmelsen om tillgång till personuppgifter, 2 kap. 11 §, enligt vilken varje tjänstemans tillgång till personuppgifter ska begränsas till vad han eller hon behöver för att kunna fullgöra sina arbetsuppgifter. Ett annat exempel är förstås regleringen av DNA-registren, där SKL som personuppgiftsbiträde för Rikspolisstyrelsen redan tillämpar polisdatalagens bestämmelser.
Andra bestämmelser skulle däremot orsaka tillämpningsproblem i SKL:s verksamhet. Det gäller bl.a. bestämmelserna om ’’gemensamt tillgängliga uppgifter’’ som regleras i 3 kap. polisdatalagen. Begreppet gemensamt tillgängliga uppgifter är valt för att skapa en teknikneutral lagstiftning. Gemensamt tillgängliga uppgifter är sådana uppgifter som fler än ett fåtal personer har tillgång till, oavsett vilken teknik som ger dem tillgänglighet till uppgifterna. Själva begreppet gemensamt tillgängliga uppgifter är alltså i och för sig tillämpbart i vilken verksamhet som helst. Även inom SKL förekommer personuppgifter som är gemensamt tillgängliga i den betydelse som begreppet har i polisdatalagen.
Personuppgifter som får göras gemensamt tillgängliga enligt polisdatalagen är t.ex. personuppgifter som kan antas ha samband med misstänkt brottslig verksamhet som innefattar brott av viss svårhetsgrad, eller uppgifter som behövs för övervakning av en person. Inom SKL är sådana faktorer inte avgörande för behovet att ha personuppgifter gemensamt tillgängliga. Det är istället värdet för den forensiska verksamheten som är avgörande för om uppgifter ur ett undersökningsärende behöver vara tillgängliga t.ex. i de forensiska databaserna.
Samma förhållande gäller polisdatalagens bestämmelser om under vilken tid uppgifter får vara gemensamt tillgängliga. Gallringsbestämmelserna i 3 kap. 14 § tar för det första sin utgångspunkt i av vilken anledning uppgifterna gjorts gemensamt till-
Överväganden och förslag Ds 2013:22
92
gängliga, vilket alltså i princip inte är tillämpbart i SKL:s verksamhet. När det gäller uppgifter i t.ex. förundersökningar omfattas dessa inte av gallringsbestämmelserna, men de får inte vara gemensamt tillgängliga mer än under en viss tidsrymd. Många av uppgifterna i SKL:s verksamhet, även i de forensiska databaserna, kan härledas till förundersökningar. Bedömningen av om de får vara gemensamt tillgängliga och hur länge, utgår i polisdatalagen från förhållanden som har med förundersökningens resultat att göra, dvs. om en person blivit dömd eller inte eller om åtalet eller förundersökningen lagts ned. Dessa omständigheter har ingen direkt relevans för vilken betydelse uppgifter i ett undersökningsärende har i SKL:s verksamhet och kan inte anses ändamålsenliga för att avgöra när uppgifter inte längre ska kunna vara gemensamt tillgängliga inom SKL.
Polisdatalagen är alltså i sin helhet inte ändamålsenlig för att reglera personuppgiftsbehandlingen inom SKL. Detta hindrar inte att vissa bestämmelser i lagen skulle kunna fylla en funktion för personuppgiftsbehandlingen inom SKL, vilket vi återkommer till i avsnitt 5.4.
Personuppgiftsansvar inom Polismyndigheten
Om personuppgiftsansvaret för en viss personuppgiftsbehandling inte följer av en särreglering görs en bedömning av vem som bär ansvaret utifrån den definition som finns i personuppgiftslagen (1998:204). Detta medför vanligtvis inte några problem när det gäller en myndighet.
P.g.a. det skadeståndsansvar som kan drabba den personuppgiftsansvarige kan bara fysiska eller juridiska personer eller myndigheter vara personuppgiftsansvariga. Även om en verksamhet bedrivs i filialer eller organisatoriska enheter är det myndigheten eller den juridiska personen som sådan som anses vara personuppgiftsansvarig.95
95 Öman och Lindblom, Personuppgiftslagen, 1 oktober 2012, Zeteo, kommentaren till 3 §.
Ds 2013:22 Överväganden och förslag
93
Oavsett vilken författningsreglering som väljs för personuppgiftsbehandlingen inom SKL kommer det alltså när den nya organisationen genomförts att vara den nya Polismyndigheten som blir personuppgiftsansvarig. Om SKL generellt inte omfattas av polisdatalagen kommer den personuppgiftsansvarige att få hantera att olika regelverk gäller inom myndigheten när det gäller personuppgiftsbehandling. Detta förhållande råder i dag redan p.g.a. polisdatalagens nuvarande tillämpningsområde och bör därför inte vara något problem i sig.
Konstruktionen med SKL som personuppgiftsbiträde för Rikspolisstyrelsen kommer inte att kunna bestå när myndigheterna införlivas i den nya Polismyndigheten. SKL:s hantering av personuppgifter i DNA-registren måste dock också fortsättningsvis följa polisdatalagens bestämmelser. Vi återkommer till denna fråga i avsnitt 5.4.
Pågående och framtida översyn av registerförfattningarna
I oktober 2011 beslutade regeringen att ge en särskild utredare i uppdrag att se över den s.k. registerlagstiftningen och vissa därmed sammanhängande frågor. Utredningen har antagit namnet Informationshanteringsutredningen.96Av kommittédirektiven framgår bl.a. följande om bakgrunden till uppdraget. Flera statliga utredningar har påtalat att registerförfattningarna behöver ses över, bl.a. för att skapa ett mer samordnat och enhetligt regelverk, vilket skulle främja bl.a. skyddet av den personliga integriteten. Vidare har Datainspektionen sedan 2005 i sina årsredovisningar pekat på ett allt starkare behov av en översyn och ett samlat grepp när det gäller registerlagstiftningen inom statsförvaltningen. Även Riksrevisionen anser att registerförfattningarna bör ses över.97
I Informationshanteringsutredningens uppdrag ingår att, efter en översiktlig inventering av gällande registerförfattningar
96 Ju 2011:11. 97 Dir. 2011:86 s. 19 f.
Överväganden och förslag Ds 2013:22
94
och en närmare analys av registerförfattningarna inom tre olika verksamhetsområden, utarbeta en generell modell för hur registerförfattningar bör struktureras, vilka begrepp som bör användas samt hur dessa begrepp bör definieras. Utredarens uppdrag är en del av en översyn av registerlagstiftningen som kommer att ske etappvis med hänsyn till det stora antalet registerförfattningar. Utredningens uppdrag, i den del som avser översynen av registerförfattningarna, ska redovisas senast den 1 december 2014.98
En annan beaktansvärd faktor när det gäller framtiden för registerlagstiftningen i stort är det arbete som pågår inom EU för att skapa ett mer enhetligt skydd för personuppgifter inom unionen och som redogjorts för i avsnitt 4.2.2. Ny gemenskapsrättslig lagstiftning på området kan komma att avsevärt påverka utrymmet för medlemsstaterna att ha kvar olika former av särregleringar som berör skyddet av personuppgifter.
Med beaktande av den pågående Informationshanteringsutredningen och det allmänna behov som finns av enhetlighet, och därmed översyn, av registerlagstiftningen samt det arbete som pågår inom EU, är en grundläggande utgångspunkt i förevarande utredning att det måste finnas särskilt starka skäl att nu införa en registerförfattning för personuppgiftsbehandlingen inom SKL.
5.2 Är SKL:s personuppgiftsbehandling förenlig med personuppgiftslagen ?
Inledning
Ett skäl att införa en särreglering av personuppgiftsbehandlingen vid en myndighet kan vara att den personuppgiftsbehandling som sker där i något avseende strider mot personuppgiftslagen. I så fall måste ett författningsstöd införas för att möjliggöra att denna personuppgiftsbehandling ska kunna fortsätta.
98 A. dir. s. 20 och 24.
Ds 2013:22 Överväganden och förslag
95
Även om en personuppgiftsbehandling sker i enlighet med personuppgiftslagen, kan det i och för sig finnas anledning att införa en särskild författningsreglering, vilket vi återkommer till i avsnitt 5.3. Så länge en personuppgiftsbehandling är i överensstämmelse med personuppgiftslagens krav behöver dock ingen prövning göras av om behandlingen strider mot regeringsformens skydd av den personliga integriteten i 2 kap. 6 § andra stycket, mot EU-rätten eller mot Sveriges övriga internationella förpliktelser. Även om behandlingen i viss mån skulle anses innefatta ett intrång i den personliga integriteten så utgör personuppgiftslagen ett lagstöd för att intrånget ändå får ske, ett lagstöd som står i överensstämmelse med internationella överenskommelser och EU-rätten.
De forensiska undersökningsärendena
Personuppgiftsbehandlingen i de forensiska undersökningsärendena måste till att börja med anses tillåten enligt 10 § e) personuppgiftslagen, dvs. en behandling som är nödvändig för att utföra en arbetsuppgift i samband med myndighetsutövning. Som tidigare redogjorts för (avsnitt 4.2.5 om tillåten behandling av personuppgifter) anses bestämmelsen innebära att personuppgiftsbehandling som sker inom myndigheternas sakverksamhet i princip är tillåten. Skyldigheten att diarieföra inkomna handlingar, och att söka efter, sammanställa och lämna ut personuppgifter i den omfattning som följer av tryckfrihetsförordningen följer, om inte annat, av principen om att grundlag går före lag.
Att SKL behandlar personuppgifter i ett undersökningsärende måste också anses förenligt med finalitetsprincipen eftersom denna behandling sker för samma ändamål som det för vilket uppgifterna samlades in, alltså i de flesta fall för att utreda omständigheter av betydelse i en brottsutredning.
Enligt personuppgiftslagen får personuppgifter inte bevaras under längre tid än vad som är nödvändigt med hänsyn till ändamålen med behandlingen, enligt 9 § i). Denna bestämmelse hind-
Överväganden och förslag Ds 2013:22
96
rar dock inte att personuppgifter i allmänna handlingar arkiveras. Att vissa handlingar som innehåller personuppgifter ska arkiveras hindrar inte en myndighet att avskilja dem från t.ex. ett ärendehanteringssystem som är i dagligt bruk.99
SKL:s ärendehanteringssystem Forum innehåller över 800 000 poster. Förklaringen till detta är bl.a. att det är Forum som innehåller kopplingen mellan en individ och en DNA-profil som registreras i DNA-personregistren. Denna information i Forum måste alltså finnas kvar under så lång tid som registreringen i registren får vara kvar. Genom den arkivlösning som kommer införas vid SKL förutses att undersökningsärendena kan skiljas av från Forum och istället arkiveras (se avsnitt 3.4 om personuppgiftsbehandlingen i undersökningsärendena).
Vi har inte funnit anledning att närmare än vad som redogjorts för, granska personuppgiftsbehandlingen i Forum eller i övrigt inom de forensiska undersökningsärendena. Vi anser dock att behandlingen generellt sett inte kan anses oförenlig med personuppgiftslagens bestämmelser.
I våra överväganden om behovet av gallringsbestämmelser (avsnitt 5.3) återkommer vi till frågan om bevarande av personuppgifter i undersökningsärendena.
Personuppgiftsbehandlingen i de forensiska databaserna
En annan fråga är hur behandlingen av personuppgifter i de forensiska databaserna förhåller sig till personuppgiftslagen. Det gäller dels om denna behandling är förenlig med finalitetsprincipen och dels om bevarandet av uppgifterna i databaserna är förenlig med bestämmelsen i 9 § i) personuppgiftslagen. Som tidigare redogjorts för (avsnitt 4.2.5) har vetenskapliga och statistiska ändamål en särställning i bedömningen av de nämnda bestämmelserna, vilket följer av 9 § andra och tredje styckena.
99 Jfr avsnitt 4.2.5 om de grundläggande kraven på behandling och Datainspektionens där anförda beslut om bevarandet av personuppgifter i ärendehanteringssystem, beslut den 16 januari 2012, dnr 1413-2010.
Ds 2013:22 Överväganden och förslag
97
Personuppgiftsbehandlingen i databaserna avser, som tidigare beskrivits (avsnitt 3.4), dels indirekta personuppgifter i form av i första hand SKL:s ärendenr, dels direkta personuppgifter som hänför sig till SKL:s egen personal och handläggningen av ärendet. Ur ett integritetsskyddsperspektiv är det de förstnämnda uppgifterna som får anses känsliga, eftersom de rör uppgifter ur brottsutredningar.
Behandlingen i databaserna har flera syften. Lagrådet har ansett att statistik, uppföljning, utvärdering och planering som anknyter till sakverksamheten är en sådan integrerad del av denna att det, även utan att det sägs uttryckligen i en registerförfattning, är självklart att uppgifter som används i verksamheten också får användas för dessa ändamål.100 Detta får anses innebära att sådan behandling är tillåten även om personuppgiftslagen, och inte en registerförfattning, är tillämplig på personuppgiftsbehandlingen inom en myndighet.101
I de forensiska databaserna hålls uppgifter tillgängliga kontinuerligt för att de som utför undersökningar ska ha tillgång till den upparbetade kunskapen inom SKL. Uppgifterna kan, som tidigare anförts, bl.a. användas för att utvärdera resultatet i en undersökning. Uppgifterna kan också användas i en upplärningssituation. Man skulle dock kunna hävda att uppgifterna bevaras trots att det inte vid varje tillfälle finns ett mer specifikt ändamål för bevarandet av en viss, enskild personuppgift i databaserna. En liknande fråga berördes av regeringens i lagstiftningsärendet gällande en registerförfattning för Institutet för arbetsmarknadsoch utbildningspolitisk utvärdering (IFAU).102
IFAU inhämtar avidentifierade personuppgifter från i huvudsak SCB som bevaras i en databas, den s.k. IFAU-databasen. Personuppgifterna i databasen kan kopplas till en person via en ”nyckel”, ett löpnummer som är kopplat till personens namn och/eller personnummer. De direkta personuppgifterna finns hos SCB. IFAU bedriver forskning bl.a. om arbetsmarknadens
100Prop. 2004/05:164 s. 116. 101 Öman, Sören, Särskilda registerförfattningar, Festskrift till Peter Seipel, 2006, s. 700. 102Prop. 2011/12:176.
Överväganden och förslag Ds 2013:22
98
funktionssätt, effekter av arbetsmarknadspolitiska insatser och effekter av utbildningsåtgärder.103 Regeringen anförde att det, trots att personuppgiftslagen innehåller flera särregler för forsknings- och statistikverksamhet, hade uppkommit frågor kring om personuppgiftslagens regler för behandling av personuppgifter var optimalt anpassade för den typ av forskningsverksamhet som IFAU bedriver. Särskilt hade frågan uppkommit om det är förenligt med personuppgiftslagen att bygga upp och förvara samlingar av personuppgifter som inte är knutna till något specifikt och på förhand bestämt forskningsprojekt.104 Det bör noteras att regeringen dock inte uttryckligen tog ställning till att en sådan personuppgiftsbehandling skulle strida mot personuppgiftslagen.
Liknande frågor har också behandlats av Datainspektionen och Vetenskapsrådet. Två beslut av Datainspektionen kan sägas ge uttryck för att insamlandet av personuppgifter som syftar till ”framtida forskning” utan något mer preciserat ändamål, inte kan anses förenligt med personuppgiftslagen, bl.a. därför att ändamålet är så ospecificerat att det inte går att bedöma om personuppgifter som behandlas är adekvata och relevanta i förhållandet till ändamålet med behandlingen.105 Vetenskapsrådet har också anfört att gällande rätt innebär att det finns svårigheter att konstruera en databasinfrastruktur för forskning, som innefattar personuppgifter, för generella forskningsändamål.106
Vetenskapsrådet har däremot sett en skillnad mellan att samla in uppgifter för framtida forskning och att återanvända redan insamlade uppgifter för ett nytt ändamål. Ett sådant återanvändande, om det kan anses överensstämma med finalitetsprincipen, anser Vetenskapsrådet vara förenligt med gällande rätt.107
Användningen av SKL:s databaser i den forensiska verksamheten bör snarare ses som en sådan återanvändning av uppgifter
103 A. prop. s. 8 f. 104 A. prop. s. 19. 105 Beslut den 18 april 2012, dnr 811-2011 och den 16 december 2011, dnr 766-2011. 106 Rättsliga förutsättningar för en databasinfrastruktur för forskning, Vetenskapsrådets rapportserie 11:201, s 52. 107 A. a. s. 53 f.
Ds 2013:22 Överväganden och förslag
99
som redan insamlats för ett visst specifikt ändamål och kan inte jämföras med insamlandet av personuppgifter vid IFAU eller sådan insamling som skett i de ärenden som varit föremål för Datainspektionens prövning. Att återanvända information för forskningsändamål är också en av målsättningarna med arkivlagstiftningen i stort.108
En möjlighet att behandla uppgifter i de forensiska databaserna utan att alls behöva ta hänsyn till personuppgiftslagens bestämmelser är naturligtvis att helt avidentifiera uppgifterna. Primärt är ju ändamålet med uppgifterna i databasen att ha tillgång till en samlad information om material, föremål eller spår. SKL behöver dock kunna gå tillbaka och kontrollera detaljer i det enskilda undersökningsärendet och därför bevaras både indirekta personuppgifter i form av ärende- eller k-nr och de direkta som rör handläggningen vid SKL. Om underlaget för den forensiska analysen inte kan spåras torde också det vetenskapliga värdet av informationen minska, eftersom det då inte går att verifiera olika data som tas upp i databaserna.
En del myndigheter har en författningsreglerad möjlighet att ha praxisdatabaser, t.ex. Centrala studiestödsnämnden och domstolarna. Praxisdatabaserna får innehålla indirekta personuppgifter, t.ex. ärendenummer.109
SKL:s återanvändning av uppgifter från tidigare genomförda forensiska undersökningar bör på grund av det ovan anförda inte anses vara oförenligt med personuppgiftslagens bestämmelser. Med andra ord bör bedömningen göras att behandlingen av personuppgifterna som ingår i de forensiska databaserna sker för vetenskapliga och statistiska ändamål och för att SKL ska kunna utföra arbetsuppgifter i sin myndighetsutövning. Både behandlingen och bevarandet av personuppgifterna anser vi alltså vara väl förenliga med bestämmelserna i 9 § personuppgiftslagen.
108 Jfr prop. 1989/90:72 s. 24 f. 109 4 § andra stycket studiestödsdatalagen (2009:287) och 6 § och bilaga 2 till förordning (2001:639) om registerföring m.m. vid allmänna domstolar med hjälp av automatiserad behandling. I departementspromemorian Domstolsdatalag, 2013:10, föreslås en ny domstolsdatalag. Förslaget till lag innehåller ingen reglering av praxisdatabaser. Frågan om återanvändning av information i domstolarnas verksamhet behandlas på s. 102 f.
Överväganden och förslag Ds 2013:22
100
Forensiska uppslag
Informationen i de forensiska databaserna kan också användas för att ge Polisen ett spaningsuppslag, ett forensiskt uppslag. Om SKL ser en koppling mellan två eller flera undersökningsärenden kan detta leda till att nya misstankar riktas mot någon som är eller varit aktuell i något av ärendena, vilket i sin tur kan leda till att olika åtgärder vidtas mot den personen. Att vidta åtgärder mot den registrerade är inte tillåtet om behandlingens ändamål är vetenskapligt eller statistiskt (9 § fjärde stycket personuppgiftslagen). Eftersom ändamålet med personuppgiftsbehandlingen i de forensiska databaserna i syfte att leverera forensiska uppslag måste anses som ett led i en brottsbekämpande verksamhet och uppgifterna som finns i databasen samlades in för ett brottsutredande ändamål, kan dock behandlingen inte anses strida mot 9 § d) personuppgiftslagen. Regeringen anförde i propositionen med förslag till polisdatalagen att det inte kan anses strida mot finalitetsprincipen att uppgifter som samlats in för att utreda ett visst brott senare används för att utreda ett annat brott eller bekämpa brottslig verksamhet.110
Andra undersökningar än de forensiska
SKL utför också andra undersökningar än de forensiska, nämligen sådana som sker på uppdrag av privatpersoner eller företag. Som exempel kan nämnas skriftprovsanalyser som kan ha betydelse i olika slag av civilrättsliga tvister och undersökningar i samband med utredningar om försäkringsfall som beställs av försäkringsbolag. Skillnaden i förhållande till de forensiska undersökningarna är i sak dock inte så framträdande.
Dessa uppdrag innefattas inte i SKL:s myndighetsutövning, eftersom uppdragsgivaren anlitar SKL frivilligt och SKL inte utövar någon offentligrättslig makt i sammanhanget. Tillåtligheten av personuppgiftsbehandlingen bygger istället på avtalet mellan
Ds 2013:22 Överväganden och förslag
101
SKL och uppdragsgivaren. Särskilda frågeställningar kan därför uppkomma när det gäller personuppgiftsbehandlingen i dessa ärenden. En sådan är om det är tillåtet att behandla personuppgifter rörande någon annan än uppdragsgivaren vid utförandet av uppdragen. Författarna till kommentaren till personuppgiftslagen anser att det inte är sannolikt att ett avtal skulle kunna berättiga behandling av andra personuppgifter än dem som rör avtalsparten. En sådan behandling kan ibland ske på grund av en intresseavvägning enligt 10 § f), men den rådande uppfattningen är att om den registrerade uttryckligen motsätter sig behandling bör intresseavvägningen resultera i att den registrerades intresse att slippa behandling väger tyngre än den personuppgiftsansvariges intresse att utföra behandlingen, utom i vissa undantagsfall.111
När det gäller behandling av personuppgifter som gäller någon annan än avtalsparten själv gäller också bestämmelsen om information om behandlingen i 24 §.
Eftersom behandlingen av personuppgifter inom ramen för de privata uppdragsavtalen varierar, och därmed också tillämpningen av personuppgiftslagens bestämmelser, är det svårare att generellt bedöma om denna behandling är förenlig med personuppgiftslagen. Det har dock inte framkommit något som tyder på att personuppgiftslagens bestämmelser inte skulle följas. Frågan om behovet av att författningsreglera denna behandling återkommer vi till i det följande avsnittet.
Även uppgifter från de privata uppdragen bör kunna behandlas och bevaras för vetenskapliga och statistiska ändamål. Det kan däremot inte anses vara förenligt med finalitetsprincipen att behandla dem för att ge polisen forensiska uppslag.
111 Öman och Lindblom, Personuppgiftslagen, 1 oktober 2012, Zeteo, kommentaren till 10 §.
Överväganden och förslag Ds 2013:22
102
5.3 Behovet av en särskild författningsreglering
Inledning
Även om en personuppgiftsbehandling i sig inte strider mot personuppgiftslagen och därmed är förenlig med intresset av ett grundläggande integritetsskydd kan det ändå finnas integritetsskyddsskäl som talar för att ytterligare precisera eller begränsa personuppgiftsbehandlingen vid en myndighet. Bestämmelser om ändamål för behandlingen, tillgången till personuppgifter, sökbegränsningar, vilka personuppgifter som får behandlas och regler om gallring är exempel på bestämmelser som kan komplettera och precisera personuppgiftslagens mer allmänt hållna bestämmelser.
En allmän utgångspunkt är att behovet av en särreglering p.g.a. integritetsskäl ökar ju större mängd personuppgifter som behandlas och ju känsligare personuppgifterna kan anses vara för den enskilde (med känsliga avses här känsliga i en vidare bemärkelse än begreppets innebörd enligt personuppgiftslagen). En återkommande formulering är att myndighetsregister med ett stort antal registrerade och ett särskilt känsligt innehåll ska regleras särskilt i lag.112E-offentlighetskommittén formulerade det istället så att det av integritetsskäl kan anses nödvändigt att införa en särreglering i fråga om myndigheters registrering och åtkomst till stora och känsliga uppgiftsmängder.113
Som anfördes av E-offentlighetskommittén kan det också finnas ett behov att i vissa fall vara särskilt tydlig gentemot allmänheten, t.ex. i fråga om vilka uppgifter om enskilda som en myndighet registrerar.114
Behovet av tydlighet gentemot allmänheten bör rimligtvis sammanfalla med integritetsskyddsskälen – ju större informationsmängder och ju känsligare innehåll, desto större får behovet anses vara både att precisera eller begränsa personuppgiftsbe-
112Prop. 1997/98:44 s. 41 samt Öman och Lindblom, Personuppgiftslagen, 1 oktober 2012, Zeteo, kommentaren till 2 §, jfr t.ex. prop. 2008/09:96 s. 28. 113SOU 2010:4 s. 133. 114 A. a. s. 133.
Ds 2013:22 Överväganden och förslag
103
handlingen och att genom en särskild författning tydliggöra för allmänheten vilken personuppgiftsbehandling som sker vid myndigheten.
Frågan är då hur dessa allmänna utgångspunkter för behovet av en särskild författningsreglering förhåller sig till SKL:s verksamhet. SKL är i relativa mått en liten myndighet som inte kan sägas behandla ett stort antal personuppgifter. Personuppgiftsbehandlingen kan däremot rent generellt sägas omfatta ett känsligt innehåll, eftersom den rör uppgifter som till övervägande del har att göra med brottsutredningar. Ur ett integritetsskyddsperspektiv bör dock beaktas att SKL i princip inte bedriver något självständigt insamlande av uppgifter, utan att informationen som behövs för att utföra en forensisk undersökning i huvudsak kommer från Polisen. Den behandling av personuppgifter som sker hos Polisen regleras av polisdatalagen. Den brottsutredande processen och insamlandet av information, däribland personuppgifter, styrs också av andra författningar bl.a. rättegångsbalkens regler om förundersökningens bedrivande. Personuppgiftsbehandlingen vid SKL kan alltså sägas redan vara rättsligt reglerad utöver den reglering som personuppgiftslagen utgör, både ur ett integritetsskyddsperspektiv och ur aspekten att personuppgiftsbehandlingen bör tydliggöras för allmänheten. Även andra myndigheter som ger uppdrag till SKL som rör forensiska undersökningar omfattas av registerförfattningar för deras brottsbekämpande verksamhet.115
Nedan görs en närmare analys av om det finns behov att särreglera någon eller några av de aspekter av personuppgiftsbehandling som brukar särregleras i olika registerförfattningar. Analysen tar framför allt sikte på om det finns några integritetsskyddsskäl att införa särregleringar på vissa områden. Det har inte framkommit några förhållanden vid SKL som visar på att det finns ett behov av att införa särregleringar med utgångspunkt i
115 Kustbevakningsdatalag (2012:145), lag (2005:787) om behandling av uppgifter i Tullverkets brottsbekämpande verksamhet, förordning (1999:105) om behandling av personuppgifter vid Skatteverkets medverkan i brottsutredningar, se också förordning (2006:937) om behandling av personuppgifter inom åklagarväsendet.
Överväganden och förslag Ds 2013:22
104
att verksamheten skulle behöva bedrivas på ett annat eller mer effektivt sätt. Den synpunkt som i stort har framkommit från SKL:s sida är endast att möjligheten för SKL att behandla personuppgifter på det sätt som sker i dag inte bör inskränkas, eftersom detta skulle kunna innebära att verksamheten inte kan upprätthålla en hög vetenskaplig kvalitet.
Slutligen kan anmärkas att en utgångspunkt i analysen som följer är att en eventuell särreglering av personuppgiftsbehandlingen ska ske utöver personuppgiftslagen, i enlighet med den metod som vanligtvis förespråkas av regeringen.116
Tillämpningsområde
Det finns tre olika kategorier av personuppgifter som behandlas vid SKL. Dels är det personuppgifter som behandlas i den forensiska verksamheten, undersökningsärendena och därmed sammanhängande forskningsverksamhet, dels personuppgifter som behandlas som en följd av avtal med privaträttsliga subjekt; enskilda eller företag. Därtill kommer personuppgifter som behandlas av administrativa skäl inom myndigheten; t.ex. personuppgifter om de anställda. Den senare kategorin brukar generellt sett hållas utanför en myndighets registerförfattning och det finns ingen anledning att göra någon annan bedömning när det gäller en eventuell registerförfattning eller särreglering för SKL.117
När det gäller de privata uppdragen omfattar de en ytterst liten del av SKL:s verksamhet. Personuppgiftsbehandlingen i avtalsförhållanden är tillåten enligt personuppgiftslagen. Det har inte framkommit något särskilt förhållande som gör att just de avtal som de privata undersökningsuppdragen utgör, skulle behöva särregleras. Tvärtom skulle en särreglering riskera att avvika från personuppgiftslagen på ett sätt som skulle kunna strida mot
116 Se avsnitt 4.2.2 och Öman, Sören, Särskilda registerförfattningar, Festskrift till Peter Seipel, 2006, s. 695, särskilt not 28 – 29. 117 A. a. s. 693.
Ds 2013:22 Överväganden och förslag
105
dataskyddsdirektivet. Under alla förhållanden menar vi därför att denna personuppgiftsbehandling inte bör särregleras.
Den personuppgiftsbehandling där det eventuellt finns behov av en ytterligare författningsreglering skulle alltså vara den personuppgiftsbehandling som sker i samband med den forensiska verksamheten, vilket i princip också är utgångspunkten för vårt uppdrag.
Ändamålen för behandling
Enligt personuppgiftslagen 9 § c) ska den personuppgiftsansvarige se till att personuppgifter samlas in bara för särskilda, uttryckligt angivna och berättigade ändamål. Det finns dock inget generellt krav att ändamålen för insamlingen av personuppgifter ska vara författningsreglerad i en myndighets verksamhet. Ändamålen med en myndighets personuppgiftsbehandling kan däremot indirekt framgå av den uppgift som myndigheten fått genom sin instruktion eller andra författningar och regler som berör myndighetens verksamhet.118
I registerförfattningar anges regelmässigt för vilka ändamål personuppgifter får behandlas inom det i författningen angivna tillämpningsområdet. Lagrådet har uttalat att det allmänt är önskvärt att samtliga ändamål för vilka behandling ska vara tillåten framgår av registerförfattningen.119 Uttömmande ändamålsbestämmelser innebär ett integritetsskydd, eftersom varje annan behandling som kan bli aktuell i myndighetens verksamhet (som omfattas av registerlagens tillämpningsområde) först måste godkännas av lagstiftaren.120Sådana ändamålsbestämmelser ger också en önskvärd tydlighet för allmänheten, som då kan få en mer preciserad information om vilken personuppgiftsbehandling som
118 Jfr prop. 2009/10:85 s. 98 och 108 där förhållandet mellan författningsregleringen av personuppgiftsbehandling och Polisens verksamhet i övrigt berörs av regeringen. 119Prop. 2002/03:135 s. 160 och 56. 120 Jfr Öman, Sören, Särskilda registerförfattningar, Festskrift till Peter Seipel, 2006, s. 694, där han anför ett liknande resonemang dock med utgångspunkt i hur tillämpningsområdet för registerförfattningar bör utformas.
Överväganden och förslag Ds 2013:22
106
sker vid myndigheten. En sådan ordning kan dock innebära nackdelar för verksamheten, som i så fall måste vänta på en lag- eller annan författningsändring innan en viss personuppgiftsbehandling, som kanske är mycket angelägen, kan påbörjas.
En möjlighet när det gäller att författningsreglera ändamålen för SKL:s personuppgiftsbehandling inom det forensiska området är att knyta an till hur den verksamheten definieras i SKL:s myndighetsinstruktion. En sådan ändamålsbestämmelse tillför dock knappast något varken för integritetsskyddet eller tydligheten mot allmänheten.
Skulle man istället försöka att i författningstext konkretisera för vilka ändamål personuppgifter behandlas, skulle inte bara forensiska undersökningar i ett enskilt undersökningsärende finnas med, utan också behandlingen i de forensiska databaserna och verksamheten med forensiska uppslag. En sådan precisering kan i och för sig tyckas oproblematisk eftersom denna behandling enligt vår bedömning är tillåten enligt personuppgiftslagen. Å andra sidan är verksamheten med forensiska uppslag ännu inte helt etablerad vid SKL, utan verksamheten kommer att utprövas och eventuellt utvecklas. Det bör vara en fråga för den blivande Polismyndighetens ledning att ta ställning till hur verksamheten med forensiska uppslag närmare ska utformas och utnyttjas i den brottsbekämpande verksamheten. Att nu formulera en författningsreglering av den personuppgiftsbehandling som sker inom ramen för de forensiska uppslagen riskerar att föregripa den myndighetsinterna prövningen av hur verksamheten bör läggas upp. En författningsreglering riskerar därmed att bli antingen alltför begränsande eller också missvisande.
Sammanfattningsvis anser vi alltså att det vore olämpligt att författningsreglera de ändamål för vilka personuppgiftsbehandling inom SKL får ske.
Ds 2013:22 Överväganden och förslag
107
Informationsutbyte mellan myndigheter
I registerförfattningar är det vanligt att ange för vilka sekundära ändamål personuppgiftsbehandling får ske. Detta är viktigt i en ändamålsreglering som är uttömmande, för att myndigheten ska kunna behandla personuppgifter för andra myndigheters, eller enskildas, behov. Det kan följa av lag eller förordning att en myndighet har en skyldighet att lämna ut uppgifter till en annan myndighet. Sådana bestämmelser bryter också den sekretess som kan gälla mellan myndigheterna. I en registerförfattning kan det införas sekretessbrytande bestämmelser som är nödvändiga för att en myndighet ska kunna samverka med andra myndigheter på ett ändamålsenligt sätt.121
När det gäller SKL:s behandling av personuppgifter i de forensiska undersökningsärendena härrör de till största delen från den information som Polisen (eller andra uppdragsgivare) anser är nödvändig att vidarebefordra för att laboratoriet ska kunna utföra den forensiska undersökning som begärs. Resultatet av de forensiska undersökningarna redovisas tillbaka till Polisen och kommer då att behandlas i den brottsbekämpande verksamheten där. SKL har inte någon självständig roll i något annat informationsutbyte mellan myndigheter. I den mån uppgifter i en forensisk undersökning ingår i ett internationellt uppgiftsutbyte sker det inom det polisiära eller rättsliga internationella samarbetet i övrigt och styrs av polisdatalagen m.fl. författningar (t.ex. lagen [2000:343] om internationellt polisiärt samarbete).
SKL står alltså inte självständigt för något sådant informationsutbyte med andra myndigheter som behöver författningsregleras, vare sig för att SKL ska ha möjlighet att behandla personuppgifter för att fullgöra ett informationsutbyte, eller för att laboratoriet ska ha möjlighet att lämna ut sekretessbelagd information till andra myndigheter. När det gäller informationsut-
121 Jfr 2 kap. 8 § och 16 – 18 §§polisdatalagen.
Överväganden och förslag Ds 2013:22
108
bytet mellan SKL och Polisen kommer detta att bli en myndighetsintern fråga när SKL blir en del av Polismyndigheten.122
Eftersom det inte finns något informationsutbyte som behöver särregleras, finns det heller inget behov att reglera möjligheten till direktåtkomst till uppgifter inom SKL.
I registerförfattningar finns ibland också en skyldighet för en myndighet att lämna ut uppgifter elektroniskt (bl.a. i 2 kap. 20 § polisdatalagen). Av det s.k. utskriftsundantaget i tryckfrihetsförordningen följer att en myndighet inte är skyldig att i större utsträckning än vad som följer av lag lämna ut en upptagning för automatiserad behandling i annan form än utskrift (2 kap. 13 § tryckfrihetsförordningen).
Frågan om utlämnande av allmänna handlingar kommer i framtiden avgöras av Polismyndigheten och inte av SKL som en självständig myndighet. Något särskilt behov att författningsreglera frågan om elektroniskt utlämnande av information föreligger inte.
Sökbegränsningar
I polisdatalagspropositionen anförde regeringen att sett från integritetssynpunkt är en av de viktigaste aspekterna med behandling av personuppgifter i vilken utsträckning uppgifter kan sökas och sammanställas. Kombinationen av stora informationsmängder och fria sök- och sammanställningsmöjligheter innebär särskilt stora risker för den personliga integriteten, i synnerhet om uppgifterna kan betraktas som känsliga. Med de möjligheter polisdatalagen ger Polisen att behandla en stor mängd insamlad information skulle ett fritt utnyttjande av informationen, alltså utan sökbegränsningar, kunna ge möjligheter till kvalificerade former av kartläggning av enskildas personliga förhållanden.123
122 Bestämmelser om tillgång för SKL till uppgifter i Polisens brottsbekämpande verksamhet finns i 2 kap.17 – 18 §§ samt 4 kap.10 och 17 §§polisdatalagen. 123Prop. 2009/10:85 s. 94 och 153.
Ds 2013:22 Överväganden och förslag
109
SKL:s del av de personuppgifter som samlas in i Polisens brottsbekämpande verksamhet utgör en liten del av den informationsmängd som polismyndigheterna, i framtiden Polismyndigheten, kan ha om en enskild person. Den informationsstruktur som innehåller sökbara direkta personuppgifter, alltså utifrån personnummer eller namn, är ärendehanteringssystemet Forum.124Genom sökmöjligheterna i Forum kan man visserligen sammanställa de undersökningsärenden en person varit inblandad i och också få kännedom om vissa delar av brottsutredningen, beroende på vilken information som finns i ärendet. Detta kan dock inte betraktas som en sådan ”kvalificerad form av kartläggning” som regeringen syftade på i polisdatalagspropositionen. Det är dessutom en skyldighet för en myndighet att kunna ta fram information till en registrerad om vilken personuppgiftsbehandling som sker om honom eller henne (26 § personuppgiftslagen).
Ett skäl av annat slag för att införa sökbegränsningar är att det kan finnas anledning att begränsa möjligheten att sammanställa listor över personer utifrån förhållanden som anses känsliga ur integritetssynpunkt. Känsliga personuppgifter enligt personuppgiftslagens definition (13 §) kan vara personuppgifter som inte får användas som sökbegrepp (se t.ex. 3 kap. 5 § polisdatalagen). Även andra personuppgifter kan anses som så ömtåliga ur integritetssynpunkt att de inte bör vara sökbara. I studiestödsdatalagen infördes t.ex. sökbegränsningar avseende bl.a. inkomstförhållanden och skäl till studieavbrott.125 Genom att införa sådana sökbegränsningar kan sammanställningar utifrån det förbjudna sökbegreppet inte heller utgöra allmänna handlingar (se avsnitt 4.2.4). Utgångspunkten för att kunna precisera denna typ av sökbegränsningar bör vara att det finns vissa kategorier av uppgifter om enskilda som regelmässigt behandlas i myndighetens verksamhet, så som är fallet t.ex. i studiestödsverksamheten.
124 Vi bortser här från sökmöjligheter som utgår från personalens personuppgifter som kan vara sökbara i de forensiska databaserna. 125Prop. 2008/09:96 s. 53.
Överväganden och förslag Ds 2013:22
110
Några sådana uppgifter går i princip inte att identifiera i SKL:s verksamhet.
Vi återkommer till frågan om sökbegränsningar i avsnittet om känsliga personuppgifter.
Vilka personuppgifter som får behandlas
Det kan finnas ett behov att närmare författningsreglera vilka personuppgifter som får behandlas i en viss verksamhet. En sådan reglering kan vara viktig för integritetsskyddet eftersom vissa personuppgifter, vars behandling kan anses utgöra en särskild integritetsrisk, då kan begränsas mer än andra som bedöms som mindre integritetskänsliga. T.ex. kan direkta personuppgifter i vissa sammanhang anses vara mer integritetskänsliga än indirekta, bl.a. eftersom samlingar av direkta personuppgifter skapar större möjligheter att sammanställa all tillgänglig information rörande en viss individ.
I de forensiska undersökningsärendena får, som tidigare nämnts (avsnitt 3.4), SKL del av både direkta och indirekta personuppgifter genom den information som Polisen, eller en annan uppdragsgivare, tillhandahåller. Dessa personuppgifter får anses nödvändiga för att SKL ska kunna utföra den begärda forensiska undersökningen och redovisa resultatet på ett sätt som möter kraven på kvalitet och rättsäkerhet. Några integritetsskyddsaspekter som gör det nödvändigt att begränsa SKL:s behandling av vissa kategorier av personuppgifter i denna verksamhet finns inte.
Förhållandena är annorlunda när det gäller personuppgiftsbehandlingen i de forensiska databaserna. I dessa kan det anses mindre befogat att behandla direkta personuppgifter om personer som haft koppling till de bakomliggande brottsutredningarna, eftersom de direkta personuppgifterna i de fallen inte är nödvändiga för att uppnå syftet med databaserna (vilket bekräftas av att direkta personuppgifter i princip inte heller registreras i de forensiska databaserna). Som nämnts i föregående
Ds 2013:22 Överväganden och förslag
111
avsnitt finns i vissa registerförfattningar frågan om ”praxisdatabaser” reglerad och då med den begränsningen av behandlingen att direkta personuppgifter inte får förekomma, men däremot indirekta i form av ärendenummer.
Frågan är om det behövs en särskild författningsreglering för att förhindra att direkta personuppgifter behandlas i de forensiska databaserna. Enligt personuppgiftslagen får personnummer eller samordningsnummer bara behandlas om det är klart motiverat med hänsyn till ändamålet med behandlingen, vikten av en säker identifiering eller något annat beaktansvärt skäl. Att de personuppgifter som behandlas ska vara adekvata och relevanta i förhållande till ändamålen med behandlingen framgår också av 9 § e) personuppgiftslagen. Att behandla personnummer eller andra direkta personuppgifter om personer som varit inblandade i en brottsutredning i en databas vars syfte är vetenskaplig kunskapsåtervinning måste i de flesta fall bedömas som inadekvat i förhållande till ändamålet med behandlingen. Personuppgiftslagens reglering anser vi är tillräcklig för att skydda den personliga integriteten när det gäller vilka personuppgifter som får behandlas i de forensiska databaserna.
Särskilt om känsliga personuppgifter
Termen ”känsliga personuppgifter” används i personuppgiftslagen (13 §) för att beteckna personuppgifter som avslöjar ras eller etniskt ursprung, politiska åsikter, religiös eller filosofisk övertygelse, eller medlemskap i fackförening samt uppgifter som rör hälsa eller sexualliv. Det råder ett generellt förbud att behandla sådana uppgifter. Personuppgiftslagen innehåller vissa undantag från förbudet och därtill en möjlighet för regeringen eller den myndighet regeringen bestämmer att meddela föreskrifter med andra undantag från bestämmelsen, om det behövs med hänsyn till ett viktigt allmänt intresse. Sådana undantagsföreskrifter är förenliga med dataskyddsdirektivet (artikel 8.4). 2 kap. 10 § polisdatalagen ger Polisen viss möjlighet att behandla
Överväganden och förslag Ds 2013:22
112
känsliga personuppgifter, under förutsättning att det är absolut nödvändig för syftet med behandlingen.
När det gäller personuppgifter som definieras som känsliga är alltså frågan om sådan behandling ska tillåtas i en myndighets verksamhet eller inte. Ett motiv att införa en särskild registerlagstiftning kan vara just behovet hos en myndighet att behandla känsliga personuppgifter.126
Det kan inte uteslutas att man vid SKL undantagsvis har behov av att i den forensiska verksamheten behandla känsliga personuppgifter. Till exempel skulle möjligheten att analysera en persons biogeografiska ursprung kunna leda till antaganden om en persons etnicitet. SKL bör alltså ges möjlighet att behandla känsliga personuppgifter, vilket kräver en författningsreglering. En författningsreglerad möjlighet att behandla känsliga personuppgifter kan behöva åtföljas av sökbegränsningar avseende sådana uppgifter. Vi återkommer till denna fråga i våra författningsförslag (avsnitt 5.4).
Tillgång till personuppgifter
Frågan om vilken krets personer i en organisation som får ha tillgång till personuppgifter regleras inte uttryckligen i personuppgiftslagen. Enligt 31 § personuppgiftslagen ska tekniska och organisatoriska åtgärder för att skydda personuppgifter vidtas av den personuppgiftsansvarige. Datainspektionen har utfärdat allmänna råd av vilka det framgår att endast de som behöver uppgifterna för sitt arbete bör få tillgång till åtkomstskyddade personuppgifter.127I polisdatalagen finns en generell bestämmelse att varje anställd bara ska ha tillgång till de personuppgifter som han eller hon behöver för att utföra sina arbetsuppgifter (2 kap. 11 §). Liknande bestämmelser finns i andra registerförfatt-
126 Öman, Sören, Särskilda registerförfattningar, Festskrift till Peter Seipel, 2006, s. 689. 127 Datainspektionens allmänna råd, Säkerhet för personuppgifter, reviderade november 2008.
Ds 2013:22 Överväganden och förslag
113
ningar.128 Vid SKL finns redan ett system med olika behörigheter för anställda med utgångspunkt i deras respektive arbetsuppgift. En bestämmelse om tillgång till personuppgifter är alltså kanske inte helt nödvändig i verksamheten. För att tydliggöra att en principiell begränsning ska gälla förordar vi dock att regleringen i polisdatalagen 2 kap. 11 § ska gälla även för SKL.
Gallring
Ju större informationsmängder en myndighet har tillgång till, desto innehållsrikare kan olika sammanställningar av uppgifter som handlar om en person bli. Möjligheten till sammanställningar kan minskas genom att åtkomsten till olika kategorier personuppgifter begränsas på olika sätt. Om uppgifterna också gallras efter viss tid är tillgången till dem slutligen avskuren, vilket kan ha stor betydelse för skyddet av den personliga integriteten.129Samtidigt får uppgifter inte gallras i sådan omfattning att allmänhetens rätt att ta del av allmänna handlingar begränsas eller att de övriga syftena med arkivbildningen inte kan tillgodoses (3 och 10 §§arkivlagen [1990:782]). En lösning på integritetsskyddsproblematiken kan då vara att formulera ett regelverk som inte tillåter personuppgifter att vara tillgängliga i den operativa verksamheten längre än under viss tid. En sådan lösning har valts i polisdatalagen beträffande uppgifter i bl.a. förundersökningar och brottsanmälningar. Sådana handlingar ska arkiveras och omfattas därför inte av gallringsregler, men de får inte vara gemensamt tillgängliga mer än ett visst antal år, beroende på vissa närmare angivna förutsättningar (3 kap.9 – 12 §§polisdatalagen).
Det kan finnas anledning att gallra allmänna handlingar av verksamhetsskäl. För SKL:s del finns redan myndighetsspecifika
128 T.ex. 12 § lagen (2012:741) om behandling av personuppgifter vid Institutet för arbetsmarknads- och utbildningspolitisk utvärdering och 9 § studiestödsdatalagen (2009:287). 129 Jfr prop. 2009/10:85 s. 205.
Överväganden och förslag Ds 2013:22
114
gallringsbeslut från Riksarkivet som tillåter SKL att gallra handlingar i vissa undersökningsärenden.130
Eftersom undersökningsärendena ofta är en del av förundersökningar, som arkiveras, finns ingen anledning att i lag eller förordning införa några generella gallringsbestämmelser i författning avseende dessa ärenden. SKL kan, om det behövs av verksamhetsskäl, utverka gallringsbeslut från Riksarkivet i den ordning som gäller enligt 7 kap. RA-FS 1997:4.
En annan fråga att ställa sig när det gäller gallring är om bevarande av de indirekta personuppgifterna i de forensiska databaserna kräver gallringsbestämmelser i författning. Även i dessa skulle man kunna tänka sig att SKL utverkar gallringsbeslut från Riksarkivet.131Som man får förstå SKL gallras i princip inte databaserna beroende på den funktion databaserna har i den forensiska verksamheten. Den invändning man skulle kunna ha mot denna ordning är möjligen att databaserna också kan användas i brottsbekämpande syfte genom de forensiska uppslagen. Eftersom inga gallringsbestämmelser finns vid SKL, men däremot enligt polisdatalagen, har SKL möjlighet att behandla personuppgifter som är gallrade hos Polisen eller i vart fall inte längre tillgängliga i den brottsbekämpande verksamheten där. De forensiska databaserna kan i detta sammanhang sägas utgöra register över brottsspår (i en vid bemärkelse). En relevant jämförelse kan därmed vara DNA-profilerna i spårregistret, som ju är en särskild sorts spår från brottsplatser. Sådana spår gallras efter 30 eller 70 år beroende på vilken brottstyp spåret kan härledas till (4 kap. 7 § tredje stycket polisdatalagen). I dessa fall har alltså lagstiftaren ansett att det är befogat att ha kvar möjligheten att söka fram mycket gamla brottsutredningar om det plötsligt skulle visa sig att en matchning sker med en nyregistrerad DNAprofil. Som redogjorts för i avsnitt 4.2.8 ger polisdatalagen också
130 RA-MS 2012:31 och 2006:1. 131 Det finns också möjligheter att gallra handlingar av tillfällig eller ringa betydelse enligt RA-FS 1997:6. Enligt 7 § kan handlingar vars innehåll förts över till nya databärare gallras under vissa förutsättningar. Förhållandet stämmer inte helt överens med de forensiska databaserna, eftersom dessa innehåller information från grundhandlingar som inte är avsedda att gallras (om inte myndighetsspecifika beslut finns för dem).
Ds 2013:22 Överväganden och förslag
115
möjligheter för avvikande bestämmelser om bevarande i förordning, vilket har lett till att vissa register med personuppgifter får behandlas i polisens brottsbekämpande verksamhet under längre tid än vad som följer av polisdatalagens bestämmelser.
Integritetsriskerna med att SKL har möjlighet att behandla personuppgifter på ett sätt som kan ge upphov till forensiska uppslag bör också ses mot bakgrund av att de brottsutredande åtgärder detta kan leda till kommer att bero bl.a. på bestämmelser om preskription.
Hur länge uppgifterna i de forensiska databaserna behöver bevaras för vetenskapliga ändamål bedöms bäst av SKL med utgångspunkt i myndighetens expertkunskaper inom respektive undersökningsområde. Personuppgiftslagens bestämmelser att uppgifterna inte får bevaras under längre tid än som är nödvändigt med hänsyn till de ändamål för vilka de behandlas får därför anses vara den bestämmelse som är mest förenlig med databasernas funktion i SKL:s verksamhet.
Sammanfattande slutsatser
Vi har kommit fram till att det inte finns något generellt behov av en särskild författningsreglering för personuppgiftsbehandlingen inom SKL, vare sig av integritetsskyddskäl eller för att personuppgiftsbehandlingen behöver preciseras eller begränsas i övrigt. Polisdatalagens bestämmelser är i stora delar inte anpassade till den forensiska verksamheten inom SKL och att tillämpa den lagen på personuppgiftsbehandlingen inom SKL framstår inte som lämpligt. Det är istället personuppgiftslagen som i stort även fortsättningsvis bör gälla för SKL:s personuppgiftsbehandling. Det behov av särreglering som finns gäller bl.a. känsliga personuppgifter och eventuella sökbegränsningar av sådana uppgifter. Hur denna fråga ska lösas återkommer vi till i nästa avsnitt.
Överväganden och förslag Ds 2013:22
116
5.4 Förslag till författningsreglering
Förslag: En bestämmelse införs i polisdatalagen som anger att
lagen inte är tillämplig på personuppgiftsbehandlingen inom SKL, utom 2 kap. 10 – 11 §§ och 3 kap. 5 § om tillgång till personuppgifter, behandling av känsliga personuppgifter och sökbegränsningar när det gäller sådana personuppgifter. Polisdatalagen ska också vara tillämplig i SKL:s verksamhet när det gäller behandling i de särskilda registren enligt 4 kap. polisdatalagen.
Skälen för förslaget
Som redan anförts är frågan om SKL bedriver brottsbekämpande verksamhet inte helt oproblematisk att besvara. Regeringen anförde i polisdatalagspropositionen att SKL:s verksamhet i vart fall inte är brottsbekämpande i ”vedertagen” mening.132Att den däremot i vissa avseenden skulle kunna uppfattas som brottsbekämpande i någon annan mening anser vi står klart. Det framstår därför inte som lämpligt att det är termen ”brottsbekämpande verksamhet” som ensam ska avgöra om polisdatalagens bestämmelser ska tillämpas på personuppgiftsbehandlingen, när SKL i framtiden ingår i den myndighet som författningen i och för sig kommer att vara tillämplig för. Personuppgiftsbehandlingen inom SKL som sker i de forensiska undersökningsärendena skulle i och för sig kunna inordnas under polisdatalagens ändamålsbestämmelse som anger att personuppgiftsbehandling får ske för att utreda och beivra brott (2 kap. 7 § 2).
Även om SKL:s verksamhet också i vissa hänseenden bör betraktas som brottsbekämpande är det stor skillnad mellan verksamheterna inom SKL och inom det övriga polisväsendet. Polisdatalagen är utformad efter behovet att ge Polisen möjlighet att behandla personuppgifter på ett ändamålsenligt sätt, samtidigt
Ds 2013:22 Överväganden och förslag
117
som den personliga integriteten skyddas, vilket framgår av bestämmelsen om författningens syfte (1 kap. 1 § polisdatalagen). SKL:s primära behov för verksamheten är inte att kunna behandla personuppgifter i sig, utan att utföra de forensiska undersökningarna och det på en hög vetenskaplig nivå. Redan dessa förhållanden pekar på att polisdatalagen inte kan passa särskilt väl för de skilda verksamheter det är fråga om.
I polisdatalagen bör alltså uttryckligen anges att lagen inte är tillämplig för personuppgiftsbehandlingen inom SKL. För övrig personuppgiftsbehandling inom SKL, som rör rent administrativa frågor samt undersökningar efter uppdrag från privata aktörer, står det i och för sig klart redan genom polisdatalagens nuvarande tillämpningsområde, att polisdatalagen inte är tillämplig.
För att lösa behovet för SKL att kunna behandla känsliga personuppgifter som påtalats i föregående avsnitt, bör däremot bestämmelsen som med angivna begränsningar tillåter Polismyndigheten att behandla känsliga personuppgifter tillämpas inom SKL:s forensiska undersökningsverksamhet. När det gäller känsliga personuppgifter får sådana inte användas som sökbegrepp i uppgifter som är gemensamt tillgängliga (3 kap. 5 § polisdatalagen). För att uppnå samma integritetsskydd för känsliga personuppgifter som gäller inom Polisens övriga verksamhet bör inte heller känsliga personuppgifter få användas som sökbegrepp inom SKL. Denna sökbegränsning bör dock gälla oavsett om uppgifter inom SKL ska anses gemensamt tillgängliga eller inte.
Bestämmelsen i polisdatalagen om tillgång till personuppgifter i 2 kap. 11 § med upplysningen att regeringen eller den myndighet regeringen bestämmer meddelar närmare föreskrifter om tillgången till personuppgifter bör också vara tillämplig inom SKL. Som polisorganisationskommittén påpekat blir informationsutbyte som i dag regleras genom bestämmelser om utlämnande i olika registerförfattningar i de nya Polismyndigheten fråga om interna behörighetsbestämmelser.133 Frågan om tillgång till personuppgifter i den brottsbekämpande verksamheten för
133SOU 2012:78, del 1, s. 116.
Överväganden och förslag Ds 2013:22
118
personalen inom SKL bör därför närmare kunna bestämmas genom sådana myndighetsinterna föreskrifter som i dag meddelas av Rikspolisstyrelsen i enlighet med 3 och 4 §§polisdataförordningen.
I dag behandlar SKL personuppgifter i DNA-registren som personuppgiftsbiträde åt Rikspolisstyrelsen, som för registren. De särskilda registren har en uttömmande reglering i 4 kap. polisdatalagen. Det följer av polisdatalagens struktur att även lagens 1 och 2 kap. är tillämpliga på behandling av personuppgifter i de särskilt reglerade registren.134 Denna ordning bör bestå och det bör inte råda någon oklarhet om att även personalen inom SKL måste följa polisdatalagens bestämmelser vid personuppgiftsbehandlingen i registren när det istället för Rikspolisstyrelsen blir Polismyndigheten som för registren.
Ikraftträdande
Behovet av den av oss föreslagna författningsändringen gör sig gällande i princip först när SKL blir en del av den nya Polismyndigheten. Författningsregleringen bör träda i kraft när den nya Polismyndigheten förverkligas, i dagsläget per den 1 januari 2015.
119
6 Överväganden och förslag avseende elimineringsdatabasen
6.1 Grundläggande utgångpunkter
Elimineringsdatabasens kvalitetssäkrande funktion
Som tidigare redogjorts för (avsnitt 3.5) kan kontaminerade DNA-prover leda till felaktiga undersökningsresultat, vilket kan få som konsekvens både att en DNA-profil från en ej misstänkt person läggs in i spårregistret och att en brottsutredning inte kan föras framåt mot en uppklaring av brottet eller en lagföring av en brottsling. Som en konsekvens av detta kan också på sikt tillförlitligheten i DNA-analyser sättas i fråga och förtroendet för den forensiska verksamheten på detta område sjunka, både bland aktörer i rättskedjan och bland allmänheten i stort. Både vid SKL och internationellt anses att en elimineringsdatabas är nödvändig för att säkra kvaliteten i den forensiska DNA-verksamheten. En elimineringsdatabas kan i många fall vara enda sättet att upptäcka en kontaminering.
Ändamålen med att ha en elimineringsdatabas – att stärka tillförlitligheten kring och skärpan hos DNA-verktyget – är vällovliga och inte omstridda. Samtidigt ska man inte blunda för att databasen i praktiken samtidigt kan ha andra egentligen icke avsedda effekter. Effekter som kanske inte applåderas av alla. Dessa effekter hänger samman med hur i första hand spårregistret används mot elimineringsdatabasen i fråga om befintliga, gamla
Överväganden och förslag Ds 2013:22
120
spår, dvs. spår som registrerats i spårregistret innan den berörda personens DNA-profil registrerats i elimineringsdatabasen. Om man i ett sådant fall får träff mellan ett gammalt brottsspår och t.ex. en nyanställd vid Polismyndigheten som inte kan ha haft någon behörig arbetsrelaterad koppling till spåret, så kan det i någon mening i och för sig vara bra, men samtidigt tveksamt från integritetsskyddssynpunkt. Motsvarande intressekonflikter kan uppkomma, om befintliga DNA-personregister jämförs mot elimineringsdatabasen. Databasens funktion som något annat än ett kvalitetssäkringsverktyg skulle i sådana fall bli alltför dominerande. En jämförelse mot hela DNA-registret skulle i praktiken närmast kunna liknas vid en åtkomst bakvägen till belastningsregistret.
Vid utformningen av de rättsliga arrangemangen kring elimineringsdatabasen måste man alltså ta ställning till om den databasen principiellt och uteslutande ska vara ett kvalitetssäkringsverktyg eller om den indirekt också ska kunna tjäna som ett slags ytterligare brottsbekämpande DNA-register vid sidan av de idag lagreglerade. De lagreglerade DNA-personregistren (DNAregistret och utredningsregistret) tar sikte på personer som är brottsbelastade eller brottsmisstänkta, och registren är ämnade att vara ett verktyg för ökad brottsuppklaring. Förutsättningarna i rättegångsbalken och polisdatalagen (2010:361)för provtagning resp. registrering m.m. baseras på dessa förutsättningar.
De förhållanden, såsom vi har erfarit råder idag, är att endast nya spår, som i normalfallet redan är inlagda i spårregistret, jämförs mot elimineringsdatabasens DNA-profiler, dvs. en fokusering på kvalitetssäkring. Att en träff kan förekomma i sådana fall är ju en sak som elimineringsdatabasen är avsedd att kunna uppdaga. Och här är integritetsintressena inte särskilt framträdande, och det även om det skulle röra sig om en icke arbetsrelaterad DNA-förekomst. I sammanhanget ska man också vara medveten om att elimineringsdatabasen i förekommande fall kan avslöja personer som i sällsynta fall kan tänkas att av olika anledningar i sitt arbete inte ta så hårt på säkerhets- och skyddsföreskrifterna och därmed riskerar att ådra sig disciplinära åtgärder i anställ-
Ds 2013:22 Överväganden och förslag
121
ningen eller andra konsekvenser. Ett sådant avslöjande måste emellertid också anses vara ett vällovligt ändamål för elimineringsdatabasen.
I det dilemma rörande det rättsliga förhållningssättet till elimineringsdatabasen som beskrivits här har vår ledstjärna varit att databasens användning primärt ska vara inriktad på att stärka DNA-verktygets kvalitet i brottsutredningssammanhang. En konsekvens av denna grundsats är att elimineringsdatabasen i princip ska nyttjas bara för rutinmässiga jämförelser mot i praktiken nya brottsplatsspår. Endast i alldeles speciella situationer ska nya DNA-profiler i elimineringsdatabasen i ett enskilt fall kunna få matchas mot en befintlig profil i spårregistret något som skulle kunna resultera i vad som ibland kallas "bakträff". Därmed undviker vi i princip att elimineringsdatabasen kommer att fylla funktionen som ett ytterligare brottsbekämpande DNAregister. I konsekvens med det synsätt som vi här gett uttryck för ska en nyinlagd DNA-profil i elimineringsdatabasen inte heller jämföras mot eller samköras med de befintliga DNA-personregistren. Däremot ska databasen kunna användas för den interna kontrollen i fråga om bl.a. förekomsten av s.k. bakgrunds-DNA i labbmiljön vid SKL.
Personer som bör registreras i elimineringsdatabasen
För att elimineringsdatabasen ska fylla en kvalitetssäkrande funktion i den forensiska DNA-verksamheten är det nödvändigt att vissa personkategorier ingår i databasen. I första hand gäller det anställda inom Polisen och SKL. Alla personer som direkt hanterar material som ska undersökas för DNA-analys kan kontaminera materialet, både de som arbetar med spårsäkring på brottsplatser och Biologienhetens personal på SKL. Vid SKL ser man också ett behov av att ha i princip alla anställda registrerade i elimineringsdatabasen, eftersom DNA är tidsbeständigt och på olika sätt kan överföras mellan personer och från personer till föremål. Vid SKL anser man det därför inte som en heltäckande
Överväganden och förslag Ds 2013:22
122
lösning att begränsa tillträdet för vissa anställda till lokaler och andra utrymmen där DNA hanteras. Närmare hur avgränsningen av vilka anställda vid Polisen och SKL ska göras återkommer vi till i avsnitt 6.3.2 och 6.4.
Eftersom offentligt anställda har ett grundlagsskydd mot påtvingade kroppsliga ingrepp, däribland provtagning för DNAanalys, är det inte möjligt att reglera deras deltagande t.ex. genom tillämpning av arbetsrättsliga principer. Att som i dag basera registreringen i databasen på samtycke är inte hållbart redan av den anledningen att anställda då kan avstå från registrering, vilket får till följd att deras DNA fortfarande kan utgöra en källa till kontamineringar som inte upptäcks.
Andra personer som behöver ingå i databasen är, förutom anställda vid SKL, de som har tillträde till SKL:s lokaler av skilda anledningar och personer som kommer i kontakt med den materiel som bl.a. används vid DNA-analys. I dag finns ett antal leverantörer av materiel, hantverkare, lokalvårdare m.fl. personer i elimineringsdatabasen. Deras medverkan baseras på samtycke. Detta förhållande är inte problematiskt på samma sätt som när det gäller de anställda, eftersom SKL har andra möjligheter att reglera utomståendes tillträde till lokalerna eller kontakter med SKL i övrigt. Som vi kommer att utveckla i det följande anser vi att en provtagning och registrering i dessa fall även fortsättningsvis kan regleras genom samtycke.
Det finns slutligen en annan kategori personer som i och för sig kan utgöra en kontamineringsrisk på en brottsplats, nämligen räddningstjänstpersonal eller annan sjukvårdspersonal. Att införa en skyldighet för hela denna arbetstagargrupp att ingå i elimineringsdatabasen, är inte proportionerligt i förhållande till ändamålet att undvika kontamineringar. Här kan istället erinras om den möjlighet som finns att i enskilda fall be personer som kan ha påverkat bevissäkringen på en brottsplats, att frivilligt lämna olika slag av jämförelseprov. Möjligheten utnyttjas redan när det gäller t.ex. fingeravtryck och skospår. För den som inte är, och i princip inte heller kan bli, misstänkt för brottet torde det inte finnas några rättsliga hinder eller andra betänkligheter mot att
Ds 2013:22 Överväganden och förslag
123
efterfråga ett prov för DNA-analys om det i det enskilda fallet framstår som angeläget att försäkra sig om att t.ex. ambulanspersonal inte avsatt DNA-spår på en brottsplats. Som tidigare redogjorts för får i sådana fall den framtagna DNA-profilen bara användas för analys och jämförelse i den enskilda brottsutredningen och inte registreras/jämföras med DNA-profiler i de andra DNA-registren (se avsnitt 4.3.2).
Till sist kan anmärkas att personal inom Polisen som ombesörjer eller hanterar topsningar inte ska behöva ingå i elimineringsdatabasen. Skälen för detta utvecklas i det följande.
Behovet av jämförelser med DNA-registren
Som tidigare beskrivits (avsnitt 3.5) behövs elimineringsdatabasen för att upptäcka kontamineringar i praktiken endast när det gäller DNA-profiler som härrör från spårprov. Prover efter topsningar (personprover eller jämförelseprover) kan i och för sig också kontamineras, men eftersom salivprovtagningen normalt innebär att så mycket biologiskt material från den topsade personen ska analyseras är risken försumbar att DNA från en annan person ”täcker över” DNA:t från den person som provtagning avser. Detta är också skälet till att personal som hanterar topsade prover inom Polisen, utanför SKL, inte ska behöva ingå i elimineringsdatabasen. En eventuell kontaminering i ett topsat prov kommer att visa sig som en blandbild. Det kan i och för sig finnas anledning att använda elimineringsdatabasen i ett kvalitetssäkrande syfte även i sådana situationer, men eftersom det inte finns förutsättningar att lägga in någon profil i utrednings- eller DNA-registret om en blandbild visar sig vid analys, är det inte aktuellt att författningsreglera en möjlighet att jämföra profiler i dessa register med elimineringsdatabasen. En annan sak är att en DNA-profil från ett person- eller jämförelseprov bör kunna jämföras med elimineringsdatabasen innan DNA-profilen läggs in i utrednings- eller DNA-registret.
Överväganden och förslag Ds 2013:22
124
När bör de nya reglerna träda i kraft?
Ombildningen av polismyndigheterna till en enda myndighet ska vara genomförd så att den nya myndigheten kan påbörja sitt arbete den 1 januari 2015. Detta innebär bl.a. att det kommer att vara Polismyndigheten som blir personuppgiftsansvarig för Polisens personuppgiftsbehandling i allmänhet och även för t.ex. behandlingen av personuppgifter i DNA-registren.
Införandet av en författningsreglerad elimineringsdatabas bör dock av lätt insedda skäl inte vänta till den 1 januari 2015. En sådan reglering bör träda i kraft redan den 1 januari 2014. Vi utgår därför i våra författningsförslag i den delen från de förhållanden som råder i dag, dvs. att SKL är en självständig myndighet och att det är Rikspolisstyrelsen som för DNA-registren. Detta innebär i och för sig att författningsregleringen av elimineringsdatabasen måste ändras när ombildningen till en polismyndighet träder i kraft. Ändringarna kommer dock att bli endast redaktionella: Namnet Rikspolisstyrelsen och andra benämningsorganisatoriska förhållanden ska ändras till Polismyndigheten. Våra författningsförslag innehåller förslag på de följdändringar som behöver införas i lag och förordning per den 1 januari 2015. Lagändringarna kommenteras i författningskommentaren, men berörs inte i övrigt i våra överväganden.
Elimineringsdatabasens benämning
Samlingen av DNA-profiler som används för att eliminera kontamineringar har kommit att kallas för elimineringsdatabasen. I polisdatalagen finns istället begreppet register när det gäller behandlingen av DNA-profiler. Begreppen databas och register är i och för sig uttryck som har kritiserats och numera undviks i författningar som avser personuppgiftsbehandling. Anledningen är att begreppen leder tanken till ett visst, i tekniskt avseende avgränsat, informationssystem där informationen har strukturerats
Ds 2013:22 Överväganden och förslag
125
på ett visst sätt.135Denna beskrivning av behandlingen av uppgifter i DNA-registren eller elimineringsdatabasen stämmer i och för sig väl överens med verkligheten, där DNA-profilerna behandlas i ett visst, avgränsat datasystem (CODIS) som inte används för andra ändamål. Det är därför befogat att behålla benämningen elimineringsdatabas i författning. Eftersom databas i sammanhanget är det använda och inarbetade begreppet har vi valt att använda detta uttryck istället för begreppet register.
6.2 Normgivningsnivån
Bedömning: För att alla anställda vars DNA kan komma att
kontaminera undersökningsmaterial och prover ska bli registrerade i elimineringsdatabasen måste en skyldighet att genomgå provtagning för DNA-analys införas i lag. Jämförelser mellan DNA-profiler i spårregistret och elimineringsdatabasen kräver också lagstöd. Elimineringsdatabasens innehåll och användning i övrigt bör likaså regleras i lag.
Skälen för bedömningen
Inledning
Som tidigare nämnts (avsnitt 4.1) rör en eventuell författningsreglering av en elimineringsdatabas två olika frågor, dels frågan om insamling av DNA-profiler till databasen, som måste ske genom provtagning på de individer som ska ingå, dels behandlingen av DNA-profilerna som kommer att ingå i databasen.
Överväganden och förslag Ds 2013:22
126
Grundlagsskyddet för offentligt anställda
Som redogjorts för i avsnitt 4.3.1 omfattas offentligt anställda av regeringsformens skydd mot påtvingade kroppsliga ingrepp i förhållande till sin arbetsgivare. Skyddet mot påtvingade kroppsliga ingrepp kan inskränkas men bara i lag och under de övriga förutsättningar som gäller för rättighetsinskränkande lagstiftning. För att säkerställa att alla berörda anställda registreras i elimineringsdatabasen måste alltså en lagreglering ske av skyldigheten att genomgå provtagning.
Som redogörs för i de följande avsnitten anser vi att en DNAprofil som erhållits efter ett tvångsvis taget prov från en anställd ska få registreras och behandlas i elimineringsdatabasen utan krav på något samtycke från den som varit föremål för provtagningen. Om inte efterföljande registrering av DNA-profilen kunde ske utan samtycke skulle ändamålet med skyldigheten att lämna prov inte fylla någon funktion. En behandling av personuppgifter som inte förutsätter den enskildes godkännande kan vara ett sådant intrång i den personliga integriteten som en medborgare är skyddad mot enligt 2 kap. 6 § andra stycket regeringsformen. Frågan är om behandlingen av personuppgifter i elimineringsdatabasen är ett sådant betydande intrång i den personliga integriteten som innebär en kartläggning eller övervakning av den anställdes personliga förhållanden. I så fall måste denna personuppgiftsbehandling också ha stöd i lag på visst sätt för att vara förenlig med regeringsformen. Något som talar för att det skulle vara så är uttalandet i propositionen En reformerad grundlag att registrering i polisens DNA-register kan anses vara en form av kartläggning.136
DNA-profilerna som behandlas i ett brottsbekämpande syfte kan jämföras mot alla gamla spår. Jämförelsen mellan DNA-registren fortsätter tills en profil gallras i enlighet med 4 kap. 7 § polisdatalagen. Med den utformning av jämförelsemöjligheterna (och gallringsfristerna) som vi föreslår innebär en registrering i
Ds 2013:22 Överväganden och förslag
127
elimineringsdatabasen inte alls samma möjligheter till kartläggning som registreringen i något av de andra DNA-registren.
Vid bedömningen av om ett förfarande faller inom regeringsformens tillämpningsområde ska man enligt regeringen också ta hänsyn till ändamålet med t.ex. en personuppgiftsbehandling. En hantering som syftar till att utreda brott kan normalt anses vara mer känslig än t.ex. en hantering som uteslutande sker för att ge en myndighet underlag för förbättringar av kvaliteten i handläggningen.137Även om elimineringsdatabasen har en potential att i undantagsfall avslöja anställda som begått brott eller tjänsteförseelse, hör elimineringsdatabasen snarare till den senare kategorin. Dessutom innebär ju också elimineringsdatabasen ett skydd mot den integritetskränkning det skulle innebära att få sin DNA-profil felaktigt registrerad i spårregistret.
Registreringen och behandlingen av en anställds DNA-profil kan alltså inte anses kräva lagstöd av den anledningen att behandlingen skulle vara ett sådant betydande intrång i den personliga integriteten att den omfattas av regeringsformens skydd mot sådana intrång. Som vi redogör för i det följande anser vi ändå att saken bör lagregleras.
Författningsreglering av behandlingen
Regeringen framhöll i den tidigare nämnda propositionen att integritetsintresset inte kommer att sakna skydd i de situationer en åtgärd faller utanför tillämpningsområdet för bestämmelsen i 2 kap. 6 § andra stycket regeringsformen. Av bestämmelsen i 8 kap. 2 § första stycket 2 regeringsformen följer nämligen att förhållandet mellan enskilda och det allmänna ska regleras i lag om föreskrifterna gäller skyldigheter för enskilda eller i övrigt avser ingrepp i enskildas personliga eller ekonomiska förhållanden.138Normgivningskompetensen inom detta område (det s.k.
137Prop. 2009/10:80 s. 183. 138 A. prop. s. 177.
Överväganden och förslag Ds 2013:22
128
primära lagområdet) kan delegeras till regeringen i enlighet med 8 kap. 3 § regeringsformen.
Utanför det primära lagområdet faller föreskrifter som avser t.ex. myndigheters inre organisation. Föreskrifter som innefattar skyldigheter för offentligt anställda kan dock omfattas av det primära lagområdet.139
Behandlingen av en anställds DNA-profil i elimineringsdatabasen innefattar inte bara en organisatorisk fråga för myndigheterna inom polisväsendet, utan får anses innefatta ett ingrepp, låt vara ganska milt, i den anställdes personliga förhållanden, eftersom registreringen och behandlingen i undantagsfall, vid jämförelser med DNA-profiler i brottsplatsspår, kommer att kunna leda till en brottsmisstanke. Föreskrifter om behandling av personuppgifter i elimineringsdatabasen som har koppling till analyser av brottsplatsspår tillhör alltså det primära lagområdet och ska meddelas i lag, eller i förordning efter riksdagens delegering av normgivningskompetens. Vi förordar med tanke på sakens dignitet att föreskrifter på området meddelas i lag.
En särskild form av behandling av personuppgifter utgörs av jämförelser mellan DNA-profiler i elimineringsdatabasen och DNA-profiler i spårregistret. I dag görs jämförelsen mellan en DNA-profil, som tagits fram i ett undersökningsärende, och elimineringsdatabasen, i regel först efter det att DNA-profilen lagts in i spårregistret.
Eftersom behandlingen av DNA-profiler i spårregistret (och de andra DNA-registren) är reglerad i lag, kan andra jämförelser göras bara om en sådan behandling har stöd i lag.140 Visserligen skulle man kunna tänka sig en ordning där jämförelser sker helt vid sidan av spårregistret. Den tekniska lösning – med en automatiserad matchning – som valts vid SKL torde dock vara den mest praktiska. Som vi kommer utveckla längre fram finns det också anledning att för vissa speciella situationer ha en möjlighet
139 Holmberg m.fl, Grundlagarna, 1 januari 2012, Zeteo, kommentaren till 8 kap. 2 § regeringsformen. 140 Detta följer av den s.k. formella lagkraftens princip i enlighet med 8 kap. 18 § regeringsformen.
Ds 2013:22 Överväganden och förslag
129
att göra jämförelser i ett enskilt fall mellan ett gammalt spår och elimineringsdatabasen, t.ex. om en gammal förundersökning rörande ett mycket grovt brott öppnas igen p.g.a. att nya uppslag föreligger och där det kan vara av särskild betydelse att få reda på om en kontaminering kan ha lett till en felaktig registrering i det enskilda fallet. Jämförelser mellan spårregistret och elimineringsdatabasen i sådana fall bör därför i undantagsvis vara tillåtna och måste då ges stöd i lag.
I dag görs jämförelser mellan andra DNA-profiler än sådana som framkommit genom analys av brottsplatsspår och DNAprofilerna i elimineringsdatabasen. Jämförelserna kan avse kontamineringar i personprover, som visar sig som blandbilder, i prover som testar förekomsten av bakgrunds-DNA eller kontrollprover. Sådana jämförelser kan inte leda till en brottsmisstanke även om en överensstämmelse konstateras mellan en DNA-profil i provet och en i elimineringsdatabasen. Förekomsten av den registrerades DNA måste alltså bero på en kontaminering. Sådana jämförelser, även om man skulle kunna uppfatta dem som en viss form av övervakning av hur en arbetstagare följer säkerhetsföreskrifter m.m., kan inte anses vara ett sådant ingrepp i personliga förhållanden att de kräver stöd i lag av den anledningen. Det bör i sammanhanget påpekas att kvalitetsarbetet vid SKL inte heller syftar till att peka ut personer, utan det avser att få veta vilken roll personen haft i hanteringen, vilket i sin tur utvisar vilka rutiner som kan vara relevanta att se över. Samtidigt talar systematiska skäl för att även denna form av behandling regleras på samma normgivningsnivå som övriga jämförelser. På så sätt blir behandlingen av DNA-profilerna i elimineringsdatabasen uttömmande reglerade i lag, vilket innebär ett starkare skydd för den personliga integriteten.
Författningsreglering avseende andra än arbetstagare
Andra personer än arbetstagare, som behöver vara med i elimineringsdatabasen för att den ska fylla avsedd funktion, intar inte
Överväganden och förslag Ds 2013:22
130
samma ställning i förhållande till SKL som arbetstagare gör, utan de kan sägas ha en frivillig relation till laboratoriet. Om de inte vill bli registrerade i elimineringsdatabasen kan detta inte få någon annan konsekvens än att de t.ex. inte kan ingå ett avtal med SKL eller kan nekas tillträde till laboratoriet i stort eller vissa lokaler. För andra personer än anställda bör alltså samtycke vara den rättsliga grunden för provtagning, registrering i databasen och behandling av uppgifterna. Detta kräver i och för sig ingen författningsreglering utöver den som finns i personuppgiftslagen (1998:204). Inte heller behöver en bedömning göras av om regeringsformens skydd mot intrång i den personliga integriteten är tillämpligt på förfarandet, eftersom regeringsformens skydd bara avser förfaranden som sker utan samtycke.
Även för den som samtycker kan behandlingen av personuppgifter i en elimineringsdatabas få till konsekvens bl.a. att brottsmisstankar riktas mot personen eller att han eller hon drabbas av avbräck i näringsutövning. Härtill kommer att behandlingen i form av jämförelser med andra DNA-profiler kommer att fortsätta även en tid efter det att personen tagit tillbaka sitt samtycke (se vidare våra förslag om gallring). De här faktorerna talar med fog för att förutsättningarna för registrering och efterföljande behandling ges stöd i lag. Detta är av värde även av systematiska skäl, eftersom hela omfattningen av elimineringsdatabasen då kommer att framgå av samma författning.
Hantering av prover m.m.
I polisdatalagen finns bestämmelser om användningen av själva det biologiska provmaterialet som tas från personer. I 4 kap. 8 – 9 §§ anges dels att DNA-prover som tagits under utredning av brott inte får användas för något annat ändamål än för vilket det togs, dels att provet ska förstöras inom sex månader. Själva DNA-profilen består, som tidigare redogjorts för (avsnitt 3.5 om DNA och DNA-analyser) av en sifferkombination som endast kan visa på identitet, ett s.k. nonsens-DNA. Att det endast
Ds 2013:22 Överväganden och förslag
131
är sådan information som får registreras har reglerats i lag avseende de nuvarande DNA-registren.141En vidare DNA-analys än den som görs för att få fram DNA-profilen kan innebära att annan, mycket integritetskänslig information om en person fås fram. Att det biologiska material som lämnats av en person inte används för något annat ändamål än det för vilket det togs och att provet också förstörs är alltså viktigt för att värna den personliga integriteten. Sådana bestämmelser har därför meddelats i lag i anslutning till DNA-registren och samma utgångspunkt bör gälla för det provtagningsmaterial som behövs för att få fram DNA-profiler till elimineringsdatabasen.
Att även bestämmelser om gallring regleras i lag när det gäller DNA-registren i polisdatalagen talar för att gallringsbestämmelser avseende elimineringsdatabasen ska meddelas i lag.
6.3 En särskild lag eller en del av polisdatalagen ?
Förslag: Lagregleringen av elimineringsdatabasen införs i
Skälen för förslaget
Elimineringsdatabasen regleras i polisdatalagen
Lagstöd för provtagning till och förande av elimineringsdatabasen skulle kunna regleras i en särskild lag. Eftersom dagens lagstiftning berör de redan existerande DNA-registren, är en annan tänkbar möjlighet att reglera elimineringsdatabasen i polisdatalagen. Skyldigheten att lämna ett prov för DNA-analys är en bestämmelse som inte handlar om personuppgiftsbehandling och passar ur denna aspekt i och för sig kanske inte så bra in i polis-
141 Jfr prop. 1997/98:97 s. 139 med motivering till bestämmelsen som först infördes i 1998 års polisdatalag.
Överväganden och förslag Ds 2013:22
132
datalagen.142Å andra sidan innehåller även polisdatalagen bestämmelser som rör den rent fysiska provtagning för DNAanalys, nämligen bestämmelser om användningen och förstörandet av provet som använts vid provtagning (4 kap.8 – 9 §§polisdatalagen). Att en bestämmelse införs i den lagen som rör den fysiska provtagningen till elimineringsdatabasen bör därför inte utgöra ett hinder i sig.
En annan fråga är om polisdatalagens syfte och tillämpningsområde talar emot att elimineringsdatabasen regleras där. Utifrån den avgränsning av termen brottsbekämpande som regeringen gav uttryck för i polisdatalagspropositionen och som tidigare redogjorts för (se avsnitt 4.2.8) innefattas i princip inte någon verksamhet vid SKL av begreppet brottsbekämpande i vedertagen mening. Som vi tidigare gett uttryck för framstår en sådan avgränsning inte i alla avseenden som helt självklar. Att tillförsäkra den forensiska DNA-verksamheten en högre kvalitet bör kunna anses ha ett, låt vara övergripande, men ändå brottsbekämpande syfte. Om elimineringsdatabasen regleras i polisdatalagen finns det en tydlig och sammanhållen reglering av alla DNA-register som får föras inom Polismyndigheten, vilket måste vara en fördel både för tillämparen och för allmänheten. Om elimineringsdatabasen införs i polisdatalagens 4 kap. kommer den också automatiskt att omfattas av den sekretess som gäller för de andra DNA-registren (35 kap. 1 § första stycket 6 offentlighets- och sekretesslagen [2009:400]). Vi föreslår därför att de bestämmelser som behöver införas i lag för att författningsreglera elimineringsdatabasen tas in i polisdatalagen.
Förhållandet till personuppgiftslagen
Redan vid insamlingen av personuppgifter till elimineringsdatabasen står det klart att ändamålet med insamlingen är att förebygga och ta reda på kontamineringar, men att en personupp-
142 Jfr förhållandet att tvånget att ta prov för den som är misstänkt regleras i rättegångsbalken och den efterföljande behandlingen i DNA-registren regleras av polisdatalagen.
Ds 2013:22 Överväganden och förslag
133
giftsbehandling också i undantagsfall kan komma att ha ett mer direkt brottsutredande syfte, nämligen om den enskildes DNAprofil träffar mot ett spår och detta inte kan förklaras med att personen kontaminerat spårprovet på ett arbetsrelaterat sätt. Behandlingen strider alltså inte mot finalitetsprincipen. Den gallringsbestämmelse som föreslås (se nedan) avviker heller inte från personuppgiftslagens generella bevarandebestämmelse.
I övrigt kommer personuppgiftslagens bestämmelser att vara tillämpliga i den utsträckning de är tillämpliga enligt polisdatalagen.
6.4 Ändamål och innehåll
Förslag: Rikspolisstyrelsen får föra ett register med DNA-
profiler i syfte att stärka kvaliteten i den forensiska DNAverksamheten. Behandling av personuppgifter i databasen ska få ske dels för att spåra och utreda kontamineringar, dels för att utreda brott. I sistnämnda avseende får behandling endast ske i de fall en DNA-profil i elimineringsdatabasen överensstämmer med en DNA-profil som tagits fram under utredning av brott.
Elimineringsdatabasen får innehålla DNA-profiler från personer som är skyldiga, eller har samtyckt till, att lämna prov för registrering i databasen. Profilerna i elimineringsdatabasen ska bara få innehålla information om identitet och inte om några personliga egenskaper. Vidare får databasen innehålla uppgift om vem som DNA-profilen tillhör.
Skälen för förslaget: Lagregleringen avseende de befintliga
DNA-registren tar sin utgångspunkt i en bestämmelse som anger att Rikspolisstyrelsen får föra sådana register (4 kap. 1 § polisdatalagen). Samma ordning bör gälla för bestämmelserna om elimineringsdatabasen. Genom en sådan bestämmelse regleras också personuppgiftsansvaret för behandlingen.
Överväganden och förslag Ds 2013:22
134
Elimineringsdatabasen kommer i första hand att användas i kvalitetssäkringssyfte, men om förekomsten av en registrerads DNA-profil i ett spårprov inte kan bedömas som en kontaminering måste detta förhållande kunna utredas vidare inom ramen för den pågående brottsutredningen. Att det är tillåtet att behandla personuppgifter i elimineringsdatabasen för ett sådant ändamål bör därför uttryckligen anges i bestämmelsen.
Elimineringsdatabasen ska få innehålla DNA-profiler från personer som är skyldiga att lämna prov för registrering eller som samtyckt till sådan provtagning och registrering. De personkategorier som kan komma att registreras i elimineringsdatabasen framkommer alltså i bestämmelsen om provtagning (se följande avsnitt, 6.5).
På samma sätt som för de andra DNA-registren ska profilerna i elimineringsdatabaserna bara få visa på identitet och inte på personliga egenskaper, och databasen får utöver DNA-profiler endast innehålla information om vem profilen tillhör (jfr 4 kap. 3 § polisdatalagen).
6.5 Provtagning
Förslag: Arbetstagare hos en polismyndighet eller SKL ska
under vissa förutsättningar vara skyldiga att lämna prov för DNA-analys om syftet är att registrera arbetstagarens DNAprofil i elimineringsdatabasen. Även en person som samtycker till provtagning och registrering kan lämna prov i syfte att bli registrerad i databasen. Provet som tagits ska förstöras inom sex månader och provet får inte användas för några andra ändamål än det för vilket det togs.
Skälen för förslaget: Skyldigheten för offentligt anställda att
lämna ett prov för en DNA-analys måste följa av lag. En sådan lagreglerad skyldighet måste avgränsas i enlighet med kravet på rättighetsinskränkande lagstiftning som finns i 2 kap. 21 § rege-
Ds 2013:22 Överväganden och förslag
135
ringsformen. En rättighet enligt regeringsformen får enligt bestämmelsen endast inskränkas för att tillgodose ett ändamål som är godtagbart i ett demokratiskt samhälle och får aldrig gå utöver vad som är nödvändigt med hänsyn till det ändamål som har föranlett begränsningen. Elimineringsdatabasens övergripande syfte är att stärka kvaliteten i den forensiska DNA-verksamheten, vilken i sig syftar till att utreda brott. Spår som innehåller DNA kan vara en mycket viktig del av utredningen av ett brott och att den forensiska analysen inte är missvisande har därmed betydelse för rättsäkerheten. Ändamålet att kunna använda en funktionell elimineringsdatabas måste alltså anses vara godtagbart i ett demokratiskt samhälle. Frågan är hur lagregleringen av skyldigheten att lämna prov ska utformas för att inte gå utöver det ändamål som föranlett att en sådan skyldighet införs.
I ett lagstiftningsärende som avsåg skyldighet för arbetstagare som är sysselsatta i arbete med joniserande strålning anmärkte lagrådet att enbart en skyldighet att underkasta sig läkarundersökning för en viss kategori arbetstagare behövde preciseras för att inte gå utöver ändamålet med inskränkningen. Eftersom syftet med skyldigheten var att utreda om den som var eller skulle bli sysselsatt med arbete med strålning löpte särskild risk att skadas av strålningen, behövde denna precisering också framgå av lagen.143
Syftet med att vissa arbetstagares DNA-profiler måste ingå i elimineringsdatabasen är att alla anställda vars DNA praktiskt kan komma att riskera att kontaminera prover eller annat material som ska undersökas för DNA-analys, ska ingå i databasen. Skyldigheten att lämna prov bör därför kopplas till detta syfte. Den närmare begränsningen av vilka som ska vara skyldiga att genomgå en provtagning bör inte knytas till vissa organisatoriska enheter vid respektive myndighet. Organisatoriska förhållanden kan komma att förändras över tid. En bestämmelse baserad på sådana förhållanden kan dessutom gå utöver ändamålet för en
143Prop. 1987/88:88 s. 78 f.
Överväganden och förslag Ds 2013:22
136
lagreglering, om inte alla personer inom en viss anställningskategori kan anses i praktiken utgöra en kontamineringsrisk.
Skyldigheten för de anställda att genomgå provtagning innebär inte att några fysiska tvångsåtgärder kan tillämpas mot den som trots allt inte är beredd att lämna ett prov för att bli registrerad i elimineringsdatabasen. Istället får den som vägrar räkna med att arbetsrättsliga konsekvenser kan följa.144 Provtagningen sker genom salivprov och den som ska genomgå provtagning kan själv ta saliv till provet med en bomullstops.
För den som samtycker till att ingå i elimineringsdatabasen och inte står i ett formellt beroendeförhållande till SKL, t.ex. leverantörer av varor och tjänster eller besökare, behövs i och för sig ingen lagreglering med anledning av regeringsformens bestämmelser om rättighetsinskränkningar. Att bli registrerad i elimineringsdatabasen kan dock ha långtgående konsekvenser även för den som samtycker. Samtycket ensamt bör inte vara avgörande för om registrering ska ske, utan även för samtyckesfallen bör det lagfästas att det endast är personer vars DNA kan komma att kontaminera undersökningsprover eller material som får ingå i databasen.
Behovet som finns att ha besökare och leverantörer m.fl. registrerade i elimineringsdatabasen bör alltså även fortsättningsvis grundas på att registrering i elimineringsdatabasen är en förutsättning för att man t.ex. ska få besöka SKL, när det bedöms som nödvändigt p.g.a. risken för kontaminering.
SKL har hittills inte haft en registrering i elimineringsdatabasen som ett krav vid t.ex. upphandlingar. Om ett sådant krav skulle uppställas, kan det inte anses strida mot bestämmelserna i lagen (2007:1091) om offentlig upphandling. Kravet skulle inte innebära en konkurrensfördel för något visst företag, utan skulle gälla lika för alla som vill leverera eller utföra tjänster åt SKL. Kravet i sig är en fråga om vilken kvalitet SKL efterfrågar i upphandlingen. När det gäller frågan om näringsfrihet kan man till att börja med konstatera att den lagbestämmelse som nu föreslås
144 Jfr prop. 2003/04:3 s. 30 och 37.
Ds 2013:22 Överväganden och förslag
137
inte innebär något åliggande för företag eller personer som driver näring. Samtidigt bör man ta hänsyn till förslagets faktiska konsekvenser för näringsfriheten (se avsnitt 4.4.1). Ett krav på registrering i elimineringsdatabasen kan uppfattas som en ingripande åtgärd och i och för sig något som alla näringsidkare kanske inte vill gå med på. Det kan däremot inte sägas vara en förutsättning som vissa näringsidkare generellt har svårare att uppfylla än andra. Ett krav på registrering kan därför inte anses inskränka näringsfriheten.
6.6 Jämförelser mellan DNA-profiler i spårregistret och elimineringsdatabasen
Förslag: En DNA-profil som tas fram i ett undersöknings-
ärende ska få jämföras med profilerna i elimineringsdatabasen senast i samband med att profilen läggs in i spårregistret för första gången. Jämförelse mellan en DNA-profil i spårregistret och elimineringsdatabasen ska därutöver få ske i ett enskilt fall om det kan antas ha särskild betydelse för utredning i det ärende i vilket DNA-profilen först togs fram och det rör sig om ett mycket grovt brott.
Skälen för förslaget: Elimineringsdatabasens syfte är att vara
ett verktyg för att säkerställa att DNA-analyser som görs i brottsutredande syfte inte blir missvisande p.g.a. kontamineringar av i och för sig behöriga personer. Arbetstagare och andra som ingår i elimineringsdatabasen ska alltså inte på något sätt anses ha anknytning till något brott, vilket bör vara en av utgångspunkterna när man bestämmer vilka jämförelser som får ske mellan spårregistret och elimineringsdatabasen. Samtidigt kan man inte generellt utgå ifrån att alla träffar mellan ett spår-DNA och en profil i elimineringsdatabasen beror på en behörig, arbetsrelaterad kontaminering. Att en berörd anställds DNA återfinns i ett
Överväganden och förslag Ds 2013:22
138
brottsspår kan ha flera naturliga och legitima orsaker, men också i värsta fall ha sin grund i anknytning till själva brottet.
DNA-profilerna i spårregistret körs regelbundet mot profilerna i DNA-registret och utredningsregistret. På detta sätt kan ett spårprov, som först inte kunnat identifieras, bli kopplat till en person, om den personen är t.ex. registertopsad i en annan utredning. På samma sätt skulle man i och för sig kunna tänka sig att kontinuerligt jämföra hela spårregistret mot elimineringsdatabasen. Varje ny profil som läggs in i elimineringsdatabasen skulle då bli jämförd med alla befintliga spår i spårregistret.
Ett skäl som skulle kunna tala för en sådan ordning är att fånga upp kontamineringar som kan ha skett i ärenden innan elimineringsdatabasen i den nu föreslagna omfattningen inrättas. Träffar mellan spårregistret och elimineringsdatabasen kan dock inte bara avskrivas som en arbetsrelaterad kontaminering, utan en utredning av förhållandena i den aktuella brottsutredningen skulle då behöva göras i varje fall. Detta skulle i och för sig någon gång kanske kunna leda till att brott klaras upp, nämligen om det skulle visa sig att det i något fall inte ligger en kontaminering bakom en träff utan att träffen faktiskt beror på att den registrerade haft anknytning till ett brott. Funktionen med registreringen i elimineringsdatabasen, skulle med den angivna ordningen, ha då glidit över från att handla inte bara om kvalitetssäkring till att också bli brottsutredande. Som vi redan inledningsvis i detta övervägandeavsnitt framhållit har vi tagit principiellt avstånd från en sådan ordning. I saken kan vidare anföras följande.
Ett argument för att det inte är godtagbart att använda elimineringsdatabasen i ett brottsutredande syfte är det förhållande att personer som inte är misstänkta för brott, men vars DNAprofil ändå analyseras fram i en enskild brottsutredning, inte får registreras i DNA-registren och alltså inte får användas för att med hjälp av registren utreda om personen kan ha begått brott. Av 28 kap. 12 b § rättegångsbalken framgår nämligen att registrering inte får ske av DNA-profiler som tagits av icke misstänkta i syfte att underlätta identifieringen vid utredning om brott. En
Ds 2013:22 Överväganden och förslag
139
person som i en brottsutredning frivilligt lämnar ett prov för DNA-analys omfattas inte av den bestämmelsen, men DNAprofilen får inte heller i detta fall registreras p.g.a. polisdatalagens uttömmande reglering. Även i dessa fall skulle det ha varit tänkbart att jämföra de profiler man fått från icke misstänkta mot alla spår, bara för att utnyttja den uppkomna möjligheten att kontrollera om dessa personer kan kopplas till andra brott. Ett sådant förfarande skulle i och för sig kanske kunna leda eller bidra till att brott klaras upp. Lagstiftaren har dock inte sett detta som ett tillräckligt skäl, utan har tagit ställning emot att ej misstänktas DNA-profiler används i brottsutredande syfte utanför ett enskilt fall. Samma ställningstagande bör, som vi sagt, göras när det gäller profiler i elimineringsdatabasen.
Sammantaget anser vi alltså att elimineringsdatabasen primärt ska få användas för att jämföra enskilda profiler som tagits fram i en brottsutredning i samband med att de första gången läggs in i spårregistret. En jämförelse bör också kunna ske även om DNAprofilen faktiskt inte lagts in i CODIS, utan jämförelsen sker på ett tidigare stadium.
Det kan emellertid tänkas att det finns enskilda fall där man behöver jämföra ett gammalt spår mot elimineringsdatabasen, t.ex. om en brottsutredning avseende ett mycket grovt brott öppnas igen och där det kan vara av särskild betydelse att få reda på om en kontaminering föreligger som kan ha lett till en felaktig registrering i det enskilda fallet. Sådana jämförelser bör därför också vara möjliga att göra. Avgränsningen av vilka brott som avses bör göras med utgångspunkt i straffskalan för brotten. Efter förebild av 3 kap. 7 § andra stycket polisdatalagen, anser vi att gränsen bör sättas vid brott för vilka är föreskrivna fängelse i fyra år eller mer. Sådana brott innefattar bl.a. grovt narkotikabrott, människohandel, mord och dråp, grov misshandel och våldtäkt.
Behovet att jämföra gamla spår kommer att minska över tid, eftersom nya spår snart kommer att regelmässigt jämföras med elimineringsdatabasen och gamla spår som inte redan jämförts så småningom kommer att gallras. Detta förhållande utgör dock
Överväganden och förslag Ds 2013:22
140
inte tillräckliga skäl att nu helt utesluta möjligheten att jämföra gamla spår med uppgifter i elimineringsdatabasen.
6.7 Andra jämförelser än med spårregistret
Förslag: Elimineringsdatabasen ska få användas för att göra
jämförelser med dels DNA-profiler från prover som tagits för registrering i utredningsregistret enligt 4 kap. 4 §, dels med DNA-profiler som tagits fram för att kvalitetssäkra den forensiska DNA-verksamheten och som inte hänför sig till brottsutredande verksamhet.
Skälen för förslaget: En kontaminering kan, som tidigare be-
skrivits (avsnitt 3.5, allmänt om kontamineringar och utredningen av kontamineringar) visa sig som en blandbild, både i ett brottsplatsspår och i ett prov från en person som topsats i en brottsutredning. I båda fallen kan en jämförelse behöva ske mot profilerna i elimineringsdatabasen. I det första fallet behövs jämförelsemöjligheten med elimineringsdatabasen för att kunna utreda vad blandbilden i spårprovet beror på. En blandbild i ett prov från en brottsplats kan ju också bero på att bakgrunds-DNA från brottsplatsen finns i provet eller att biologiskt material från personer som varit inblandade i brottet sammanblandats, vid brottstillfället eller senare under hanteringen. Att med hjälp av elimineringsdatabasen så långt det är möjligt försöka utreda vad blandbilden beror på kan vara viktigt för brottsutredningen. En blandbild i ett personprov fyller inte samma funktion för en brottsutredning, utan har endast den kvalitetssäkrande funktionen att utreda hur kontamineringen uppkommit för att t.ex. ha ett underlag för att förbättra rutiner i hanteringen. Samma kvalitetssäkrande funktion har jämförelsen med elimineringsdatabasen när det gäller DNA-profiler som förekommer i kontrollprover eller i prover som tagits för att kontrollera bak-
Ds 2013:22 Överväganden och förslag
141
grunds-DNA och som inte hänför sig till någon brottsutredande verksamhet.
Man skulle kunna tänka sig att med elimineringsdatabasen jämföra alla DNA-profiler i personprover, som kan vara kontaminerade. Vikten av att göra jämförelser i dessa fall är dock inte densamma som när det gäller spårprover, eftersom det redan står klart att en blandbild i ett personprov måste vara en kontaminering. Andra prover än från skäligen misstänkta, t.ex. målsäganden eller andra inblandade, som tas med stöd av 28 kap. 12 b § rättegångsbalken, eller frivilligprover, utgör en mindre del av hanteringen av personproverna. Användningen av elimineringsdatabasen, när det gäller prover från kända personer, kan praktiskt sett inte användas för något annat syfte än att utreda rutiner vid SKL. De som hanterar topsningar hos Polisen ska, enligt vår bedömning ovan (avsnitt 6.1), ju inte registreras i elimineringsdatabasen. Endast DNA-profiler i prover tagna från misstänkta bör få jämföras med elimineringsdatabasen, och det innan DNAprofilen läggs in i utredningsregistret. Eftersom provet i förekommande fall kan innehålla främmande DNA, får givetvis även sådana profiler omfattas av jämförelsen med elimineringsdatabasen.
6.8 Gallring
Förslag: Personuppgifterna i elimineringsdatabasen ska gall-
ras när de inte längre behövs för sitt syfte, dock senast ett år från det att en anställning upphörde eller ett samtycke att ingå i elimineringsdatabasen återtogs.
Skälen för förslaget: Liksom för de andra DNA-registren
bör gallringsbestämmelser införas i lag. Utgångspunkten ska vara att profilerna i elimineringsdatabasen gallras när de inte längre behövs för sitt syfte att utreda och utesluta kontamineringar.
Överväganden och förslag Ds 2013:22
142
För att säkerställa gallring bör en maximigräns lagfästas. Vid bestämmandet av hur lång tid som kan vara acceptabel får man beakta att DNA i sig är mycket tidsbeständigt och att SKL undersökningsärenden kan ta olika lång tid beroende på bl.a. ett ärendes komplexitet. Samtidigt bör tiden inte framstå som orimligt lång för den enskilde registrerade. Vid en avvägning mellan dessa olika intressen anser vi att en maximal gallringsfrist på ett år bör införas. Man kan naturligtvis tänka sig att frågan om kontaminering kan uppkomma, t.ex. om en gammal utredning tas upp på nytt, och att personer som hanterat bevismaterial eller deltagit i undersökningsärendet på SKL då har slutat sin anställning för mer än ett år sedan. I sådana undantagsfall finns en möjlighet att ta ett nytt DNA-prov för jämförelse i det enskilda fallet baserat på personens samtycke.
I dag jämförs DNA-profiler från spårprover mot elimineringsdatabasen i regel först efter att de lagts in i spårregistret. Om en träff i sådana fall sker tas profilen bort ur spårregistret, vilket är en form av gallring av profilen. Eftersom DNA-profilen då inte längre tillhör någon som är oidentifierad (eftersom identiteten framkommit ur elimineringsdatabasen) finns det inte längre förutsättningar att ha DNA-profilen i spårregistret och den kan naturligtvis inte heller överföras till något av de andra DNA-registren som förs i brottsbekämpande syfte. Att ta bort profilen ur spårregistret om profilen träffat mot elimineringsdatabasen får alltså anses redan följa av gällande rätt och förfarandet behöver inte författningsregleras.
Ds 2013:22 Överväganden och förslag
143
6.9 Åtkomst till elimineringsdatabasen
Förslag: Direktåtkomst ska inte kunna medges till elimine-
ringsdatabasen för andra brottsbekämpande myndigheter. Direktåtkomst ska inte heller kunna medges för utländska myndigheter och ett förtydligande bör därför införas i lagen (2000:343) om internationellt samarbete som reglerar samarbete enligt Prümrådsbeslutet.
Bedömning: Den sekretessbrytande bestämmelsen i 2 kap.
17 § polisdatalagen blir tillämplig även på elimineringsdatabasen.
Skälen för förslaget och bedömningen: I dag får ett antal
myndigheter, däribland SKL, medges direktåtkomst till DNAregistren i enlighet med 4 kap. 10 § polisdatalagen. Att SKL kan medges direktåtkomst är en förutsättning för att laboratoriet ska kunna hantera DNA-registren som personuppgiftsbiträde för Rikspolisstyrelsen.145Så länge det är Rikspolisstyrelsen som för registren bör SKL alltså medges direktåtkomst även till elimineringsdatabasen. Andra brottsbekämpande myndigheter har inte något behov av åtkomst till elimineringsdatabasen. En begränsning i möjligheten till direktåtkomst bör därför införas i 4 kap. 10 §.
Enligt 16 § lagen om internationellt polisiärt samarbete får också utländska myndigheter medges direktåtkomst till svenska DNA-register. Bestämmelsen infördes som en del av genomförandet av samarbetet enligt Prümrådsbeslutet (se avsnitt 4.2.2). I bestämmelsen bör införas ett tillägg så att det framgår att direktåtkomst inte får medges till elimineringsdatabasen för utländska myndigheter.
Enligt 2 kap. 17 § polisdatalagen har SKL och vissa andra myndigheter som bedriver brottsbekämpande verksamhet rätt att få del av uppgifter ur DNA-registren om myndigheterna behöver uppgifterna i sin verksamhet. Denna bestämmelse är en
Överväganden och förslag Ds 2013:22
144
förutsättning för att dessa myndigheter ska kunna medges direktåtkomst till registren och att de också ska kunna ta del av uppgifter om identiteten på en person i registren (identitetsuppgifter omfattas inte av direktåtkomsten enligt 15 § polisdataförordningen [2010:1155]). Andra brottsbekämpande myndigheter kan ha behov av att få uppgifter om vem en DNA-profil i elimineringsdatabasen tillhör, om DNA-profilen har överensstämt med ett brottsplatsspår och detta inte beror på en kontaminering, utan måste utredas vidare inom ramen för den pågående brottsutredningen. 2 kap. 17 § kommer i sin nuvarande lydelse att omfatta även elimineringsdatabasen, när elimineringsdatabasen blir ett av DNA-registren som regleras i 4 kap. polisdatalagen. Denna bestämmelse behöver alltså inte ändras.
6.10 Ytterligare föreskrifter
Förslag: En bestämmelse tas in i polisdatalagen som upplyser
om att det kommer att finnas bestämmelser på lägre normgivningsnivå.
Skälen för förslaget: Som vi utvecklar närmare i våra förslag
till bestämmelser i förordning (avsnitt 6.11) behöver vissa av lagbestämmelserna om elimineringsdatabasen kompletteras med verkställighetsföreskrifter. Det gäller kretsen av arbetstagare som ska omfattas av skyldigheten att genomgå provtagning och föreskrifter kring samtycke och återtagande av samtycke. Rikspolisstyrelsen bör också kunna meddela ytterligare föreskrifter i dessa frågor. En upplysning om att föreskrifter på lägre normgivningsnivå finns bör tas in i lagtexten. Av upplysningsbestämmelsen bör också framgå att kompletterande föreskrifter finns om utredningen av överensstämmelser mellan en DNA-profil i elimineringsdatabasen och en annan DNA-profil. Sådana bestämmelser kan, som utvecklas i det följande, meddelas med stöd av regeringens restkompetens (8 kap. 7 § 2 regeringsformen).
Ds 2013:22 Överväganden och förslag
145
Frågan om hur man ska utreda träffar i elimineringsdatabasen när en jämförelse med DNA-profilerna i elimineringsdatabasen och en annan DNA-profil gjorts endast i kvalitetssäkrande syfte är en myndighetsintern fråga och behöver inte regleras i lag eller förordning. Utredningen av en träff mellan en DNA-profil i ett spårprov och elimineringsdatabasen kan i undantagsfall komma att koppla en person till en brottsutredning och bör därför författningsregleras. Själva utredningen av omständigheterna kring en träff kan inte anses vara ett sådant ingrepp i den enskildes personliga förhållanden som omfattas av det primära lagområdet, i vart fall inte i det inledande stadiet då utredningen går ut på att klarlägga om förekomsten av personens DNA beror på en kontaminering. Skulle utredningen utmynna i en brottsmisstanke, eller att personen i vart fall blir t.ex. förhörd inom ramen för en brottsutredning finns redan en författningsreglering, dels av det allmänna förfarandet i en brottsutredning, dels i särskilda bestämmelser om utredning av misstankar om brott i vissa fall som involverar anställda inom Polisen (förordningen [2010:1031] om handläggning av ärenden om brott av anställda inom polisen m.m.; se avsnitt 3.5 om utredningen av kontamineringar).
6.11 Förslag till bestämmelser i förordning
Förslag: En förordning om elimineringsdatabasen införs med
bestämmelser som närmare reglerar frågorna om skyldigheten att lämna prov, samtycke och återtagande av samtycke, information om vad registreringen innebär och utredningen av träffar i elimineringsdatabasen. Rikspolisstyrelsen ges också möjlighet att meddela ytterligare föreskrifter på dessa områden.
Överväganden och förslag Ds 2013:22
146
Skälen för förslaget
Elimineringsdatabasen regleras i en särskild förordning
Vissa bestämmelser bör tas in i förordning för att inte tynga lagtexten med alltför detaljerade föreskrifter. Rikspolisstyrelsen bör också få möjlighet att meddela ytterligare föreskrifter om samma frågor. Föreskrifter i förordning i anslutning till polisdatalagen finns i polisdataförordningen. Förordningen är relativt omfattande och innehåller i huvudsak bestämmelser som inte rör registren i 4 kap.146 Vi anser därför att författningsregleringen blir mer tillgänglig och tydlig om en särskild förordning om elimineringsdatabasen införs.
Skyldigheten att lämna DNA-prov
Arbetstagarkategorin hos polismyndigheterna som bör ingår i elimineringsdatabasen är de som regelmässigt hanterar brottsplatsspår eller på något annat sätt kommer i regelmässig kontakt med spår från brottsplatser. Det är framförallt kriminaltekniker och lokala brottsplatsundersökare som ingår i denna kategori. De utgör i dagsläget ca 500 personer.
Inom SKL är det naturligtvis i första hand den personal som arbetar direkt med DNA-hanteringen eller som annars har tillträde till lokaler där hanteringen äger rum, som behöver ingå i elimineringsdatabasen. P.g.a. att DNA kan överföras mellan personer och mellan personer och föremål måste dock kretsen utvidgas även till andra arbetstagare som arbetar i näraliggande lokaler i laboratoriet och som därmed skulle kunna utgöra en kontamineringsrisk.
Slutligen ankommer det på Rikspolisstyrelsen att genom föreskrifter avgränsa den krets arbetstagare som ska vara skyldiga att lämna prov.
146 15 och 16 §§ är bestämmelser om direktåtkomst till register som förs enligt 4 kap.
Ds 2013:22 Överväganden och förslag
147
Samtycke, återtagande av samtycke och information
För att det inte ska råda några tveksamheter kring lämnade och återtagna samtycken att ta prov och registreras i elimineringsdatabasen bör sådana viljeyttringar vara skriftliga.
I praktiken kommer det att bli SKL som kommer att efterfråga ett samtycke från personer som man anser bör ingå i elimineringsdatabasen. Det är naturligtvis viktigt att den som blir aktuell för samtycke också har klart för sig vad det innebär att vara registrerad i elimineringsdatabasen. Därför måste personen få information om jämförelser som kommer att ske, vilka följder det kan få om en DNA-profil träffar mot hans eller hennes DNAprofil när den är inlagd i databasen, m.m. Det närmare innehållet i informationen bör bestämmas av Rikspolisstyrelsen. Rutiner eller föreskrifter om information till dem som ska ingå i elimineringsdatabasen bör kunna tas fram i nära anslutning till de rutiner som redan finns utarbetade vid SKL.
Även en person som är skyldig att lämna prov bör kunna få i princip samma information som den som ska samtycka. En allmän informationsskyldighet för den som är personuppgiftsansvarig för en behandling följer i och för sig av personuppgiftslagen. Denna bestämmelse är också tillämplig vid behandling i de särskilt reglerade registren enligt polisdatalagen. Vi anser ändå att informationsskyldigheten är av en sådan vikt att den bör regleras i förordning. Informationen bör ju också omfatta konsekvenserna av registreringen i en vidare bemärkelse än endast vad själva behandlingen går ut på, t.ex. vad som händer vid en träff mellan den egna profilen i elimineringsdatabasen och en annan profil, hur man ska göra för att återta ett lämnat samtycke, m.m.
Utredningen av träffar
Rutiner finns redan vid SKL för att utreda träffar mellan DNA- profiler i spårprov och profiler i elimineringsdatabasen. Det torde i många fall vara tämligen lätt att konstatera om förekomsten
Överväganden och förslag Ds 2013:22
148
av en anställds, eller annans, DNA i ett spårprov, beror på en kontaminering. Sådana fall bör helt kunna lämnas utanför ett förfarande som avser en brottsmisstanke. Om det sannolikt inte rör sig om en kontaminering kan förekomsten av den anställdes DNA ha olika andra förklaringar som i så fall bör utredas vidare inom ramen för den brottsutredning som pågår. Att en persons DNA finns i ett spårprov innebär ju inte per automatik att personen är en misstänkt gärningsman. Om förekomsten av den anställdes DNA anses som en fråga om att den anställde kan ha begått ett brott får utredningen fortsätta i enlighet med de särskilda regler som nu finns i förordning om handläggning av ärenden om brott av anställda inom polisen m.m.
Ytterligare föreskrifter
Rikspolisstyrelsen kan behöva ge ytterligare föreskrifter, framför allt avseende vilka arbetstagare som ska omfattas av skyldigheten att lämna prov. Inom den nya Polismyndigheten kommer denna fråga dock att regleras genom interna föreskrifter om myndighetens arbetsformer med stöd av 4 § myndighetsförordningen (2007:515). Fr.o.m. 1 januari 2015 behövs alltså inget uttryckligt bemyndigande i förordning.147
6.12 Införandet av elimineringsdatabasen
Förslag: DNA-profiler som ingår i den nuvarande elimine-
ringsdatabasen ska gallras på begäran av den enskilde.
Skälen för förslaget: SKL har redan tillgång till anställdas och
andras DNA-profiler som lämnats frivilligt. Förutsättningarna har inte varit helt i överensstämmelse med vad som kommer att gälla enligt författningsregleringen. Bl.a. har de som samtyckt
147 Jfr SOU 2012:78, del 1, s. 77.
Ds 2013:22 Överväganden och förslag
149
fått information om att deras profil kan gallras på begäran. De DNA-profiler som ingår i den befintliga elimineringsdatabasen bör därför inte förutsättningslöst anses vara sådana profiler som får användas enligt de författningsbestämmelser som vi nu föreslår.
För personer som tidigare samtyckt till provtagning, vare sig de tillhör den krets personer som kommer att bli skyldiga att lämna prov eller de som frivilligt kan göra det, torde det dock vara det mest praktiska att inte behöva göra om provtagningen för att deras DNA-profiler på nytt ska registreras i den ”nya” elimineringsdatabasen.
Vi anser att den författningsreglering vi föreslagit i och för sig inte hindrar att samma DNA-profil används i den nya elimineringsdatabasen. När det gäller personer som kan ingå i databasen p.g.a. samtycke, bör dessa kunna samtycka till att deras DNAprofil används i enlighet med de nya bestämmelserna. Vid ett sådant samtycke kan den redan framtagna DNA-profilen användas i enlighet med bestämmelserna som nu införs om elimineringsdatabasen.
För de som är skyldiga att lämna prov bör skyldigheten för deras del kunna uppfyllas genom att de godkänner att den redan registrerade DNA-profilen används istället för att de lämnar ett nytt prov för DNA-analys. Eftersom provtagning inte kan ske med fysiskt tvång bör det dock finnas en möjlighet för personer som i och för sig är skyldiga att bli registrerade och redan lämnat prov att välja att deras DNA-profil inte ska användas i den nya elimineringsdatabasen. Därmed hamnar de i samma situation som andra arbetstagare som omfattas av skyldigheten att lämna prov och som inte tidigare frivilligt lämnat ett sådant prov.
Ett sätt att uppnå detta resultat är att införa en gallringsbestämmelse för de DNA-profiler som redan tagits fram och registrerats i den befintliga elimineringsdatabasen. Gallringsbestämmelsen bör då utformas så att dessa DNA-profiler ska gallras på begäran av den registrerade. Som Datainspektionen påpekat torde gallring i den nuvarande elimineringsdatabasen inte kunna ske på begäran av den registrerade, eftersom det för närvarande
Överväganden och förslag Ds 2013:22
150
inte finns någon gallringsbestämmelse i lag eller förordning, eller något beslut från Riksarkivet, som tillåter gallring i databasen.148En föreskrift behövs således.
Gallringsbestämmelsen hade kunnat införas i polisdatalagen på samma sätt som den gallringsbestämmelse vi föreslår avseende den nya elimineringsdatabasen. Gallringsbestämmelsen avser dock inte de DNA-profiler som i övrigt regleras i bestämmelserna om elimineringsdatabasen. Den är dessutom av övergångskaraktär, eftersom den gäller förhållanden som med tiden inte längre kommer att behöva regleras. Denna gallringsbestämmelse bör därför inte ingå i lagtexten i polisdatalagen.
6.13
En elimineringsdatabas över fingeravtryck
Under arbetet med utredningsuppdraget rörande regleringen av en elimineringsdatabas på DNA-området har fråga uppkommit om det föreligger en motsvarande problematik med kontaminering av brottsplatsspår av fingeravtryck från de personer som arbetat med att undersöka en brottsplats. Och om denna sak ska författningsregleras. Detta spörsmål är inte omnämnt i uppdragsbeskrivningen. Vi har likväl funnit skäl att något fördjupa oss i ämnet.
För att få ett underlag för en belysning av frågan har vi genomfört en enkät till nio polismyndigheter149 och Rikskriminalpolisen. Frågan har gällt bl.a. om det finns ett behov av en nationell/regional databas med uppgifter om fingeravtryck från vissa anställda inom polisorganisationen.
Dagens reglering återfinns i huvudsak i 28 kap. 14 § rättegångsbalken, 4 kap.11 – 17 §§polisdatalagen, förordningen (1992:824) om fingeravtryck m.m. (fingeravtrycksförordningen) samt Rikspolisstyrelsens föreskrifter och allmänna råd om fin-
148 Beslut den 28 maj 2012, dnr 514-2012, s. 10. 149 Följande polismyndigheter har tillfrågats: Polismyndigheterna i Stockholms län, Uppsala län, Östergötlands län, Blekinge län, Skåne, Västra Götaland, Dalarna, Västernorr-
lands län och Västerbottens län.
Ds 2013:22 Överväganden och förslag
151
geravtryck och annan signalementsupptagning (RPSFS 2005:12; FAP 473-1).
Reglerna i rättegångsbalken innebär att det av den som är anhållen eller häktad får tas bl.a. fingeravtryck. Detta gäller också för annan om det – som det heter – erfordras för vinnande av utredning om brott, varpå fängelse kan följa. Fingeravtrycksförordningen anger härtill att, om det behövs för att utreda brott på vilket fängelse kan följa, fingeravtryck får tas av den som inte är misstänkt för brottet. I Rikspolisstyrelsens föreskrifter och allmänna råd sägs, som ett allmänt råd, att på personer som avsatt fingeravtrycksspår, utan att vara misstänkta för brott, och som har befunnit sig på en brottsplats, bör jämförelseavtryck tas. Så snart den jämförande undersökningen har gjorts, ska fingeravtrycket gallras.
Bestämmelserna om fingeravtrycksregister finns i polisdatalagen. Där sägs att Rikspolisstyrelsen får föra ett fingeravtrycksregister. I registret får behandlas uppgifter om en person som är misstänkt eller dömd för brott och som har varit föremål för åtgärd enligt 28 kap. 14 § rättegångsbalken. Uppgifter om fingeravtryck som inte kan hänföras till en identifierbar person får behandlas, om uppgiften har kommit fram i en utredning om brott.
Redan av den här summariska beskrivningen kan konstateras att det idag inte finns något rättsligt utrymme för en särskild databas med uppgifter om fingeravtryck från personer som inte är misstänkta för brott. Däremot lägger dagens reglering inte hinder i vägen för att i det enskilda utredningsärendet göra jämförelse mellan ett avtryck taget från en icke misstänkt person – däribland brottsplatsundersökare och annan utredningspersonal – och säkrade fingeravtrycksspår. Så sker också idag.
Fingeravtrycksjämförelser görs idag vid Rikskriminalpolisen150, Polismyndigheterna i Stockholms län, Skåne och Västra Götaland samt SKL. Av ett inriktningsbeslut från Rikspolisstyrelsen i april 2012 framgår att SKL avses bli huvudman för den forensiska verksamheten avseende identifiering av fingeravtryck.
150 Nationella fingeravtrycksavdelningen, NFA.
Överväganden och förslag Ds 2013:22
152
SKL har i en rapport den 30 januari 2013 redogjort för hur detta ska genomföras. Tidsplanen skissar på en verksamhetsövergång hösten 2013.
Från den enkät som utredningen har företagit hos angivna myndigheter kan följande antecknas.
Någon helt entydig bild av kontamineringsfrågan vad gäller fingeravtryck har inte framkommit. Klart anses dock att ett elimineringsinstrument i sig skulle kunna stärka kvaliteten i den tekniska bevisningen som fingeravtryck utgör. Det torde också stå klart att förekomsten av ”behöriga” fingeravtryck på en brottsplats komplicerar utredningsarbetet och stjäl mer resurser än vad en DNA-kontaminering gör. Man har vidare pekat på att kontaminering genom fingeravtryck baseras på ett mer aktivt handlande än vad som är fallet vid en DNA-kontaminering. För en kontaminering avseende fingeravtryck krävs ett mer konkret handlande från den som har avsatt avtrycket i form av att man fysiskt tar i ett föremål. Vidare kan noteras att registerhållning, förvaltning och underhållet av en fingeravtrycksdatabas för ändamålet bedöms kräva tillskott av resurser.
Vid några av de tillfrågade polismyndigheterna säger man att man tar jämförelsefingeravtrycksprover i anslutning till brottsutredningarna.
Sammantaget ger enkätsvaren inte något entydigt svar i frågan om behovet av en elimineringsdatabas utöver att saken i vart fall kan behövas utredas närmare.
Vi kan för egen del i och för sig instämma i uppfattningen att frågan förtjänar att utredas mer ingående, innan man kan ta ställning om det behövs en särskild databas, och i så fall hur de rättsliga och praktiska arrangemangen ska utformas.
Att det förekommer vad man kan kalla ovidkommande fingeravtryck på en brottsplats är en sak som uppenbarligen komplicerar brottsutredningsarbetet. Saken är ganska komplext, och den berör inte bara Polisen utan också i viss mån Tullverkets och Kustbevakningens brottsbekämpande verksam. Samtidigt bedömer vi att fingeravtryckskontamineringar inte är lika problemtyngda som DNA-kontamineringar. När kontamineringar
Ds 2013:22 Överväganden och förslag
153
på fingeravtrycksområdet sker, beror det dessutom för det mesta på helt omedvetna misstag och missgrepp. Sådana förebyggs bäst i första hand genom att berörd personal får mer kunskap om problematiken kring kontaminering. Till detta kommer att vi har skäl att tro att den övervägande delen av de behöriga fingeravtryck som säkras på och framkallas från en brottsplats härrör från målsägande och andra enskilda, och således inte från polispersonal. Och den problematiken kommer man inte till rätta med genom en elimineringsdatabas.
Med hänsyn till frågans komplexitet och övriga redovisade faktorer nödgas vi konstatera att det inom ramen för vårt utredningsuppdrag inte har funnits utrymme att ta hand om frågan på ett ändamålsenligt sätt. Frågans lösning är inte heller mer akut än att den kan anstå till dess att en ny organisation för fingeravtrycksidentifieringsverksamheten fullt ut har genomförts.
155
7 Ekonomiska konsekvenser
I en förstudierapport från Rikspolisstyrelsen i april 2012 gjordes bedömningen att införandet av en obligatorisk elimineringsdatabas inte kommer att bli kostnadskrävande eftersom det redan finns ett IT-stöd för förande av databasen. I förstudierapporten gjordes uppskattningen att kostnaden för en elimineringsdatabas troligen inte skulle överstiga några hundratusen kr.151
De kostnader som kommer att uppstå till följd av att en ny rättslig reglering införs av elimineringsdatabasen rör alltså främst de kostnader som kommer att uppstå för provtagning och registrering av personer som inte redan lämnat prov till den nuvarande elimineringsdatabasen och som med våra förslag kommer att omfattas av en skyldighet att lämna prov. Det är framför allt arbetstagare hos polismyndigheterna, i första hand lokala brottsplatsutredare och kriminaltekniker, som kommer att komma i fråga för provtagning och registrering. En liten del av denna personalkategori har redan lämnat prov till elimineringsdatabasen. Enligt uppgifter från Rikspolisstyrelsen finns det sammanlagt ca 300 kriminaltekniker och ca 200 lokala brottsplatsundersökare vid landets polismyndigheter.
Kostnaden för att ta fram en DNA-profil är i dag ca 1000 kr (vilket inkluderar provtagningen i form av salivprov). Även med beaktande av att det kan finnas arbetstagare hos SKL som kommer bli aktuella för provtagning och registrering, i enlighet med de nya förutsättningar som den rättsliga regleringen ger, bör de
151 Förstudierapport dna-elimineringsdatabas, POA 470-2327/11, s. 34.
Ekonomiska konsekvenser Ds 2013:22
156
initiala kostnaderna för att utvidga elimineringsdatabasen inte överstiga 0,5 milj. kr.
Till detta kommer att det kan behövas vissa administrativa åtgärder i form av informationsinsatser, inhämtande av nya samtycken från redan registrerade, m.m. (se avsnitt 6.5). Dessa kostnader och kostnaderna för provtagning m.m. enligt ovan, som i allt väsentligt är av engångskaraktär, ryms inom det befintliga polisanslaget.
Den elimineringsdatabas som finns vid SKL har under de år den funnits inneburit vissa kostnader, t.ex. för information, utskick av blanketter, etc., samt kostnader för provtagning och registrering, registervård och andra förvaltningsåtgärder. Dessa kostnader har täckts av SKL:s medelstilldelning och bör kunna göra det även i framtiden. De löpande kostnaderna är tämligen blygsamma, särskilt sedda i relation till de kostnader en oupptäckt kontaminering i en brottsutredning kan föra med sig.
157
8 Författningskommentar
8.1 Förslaget till lag om ändring i lagen om internationellt polisiärt samarbete
16 § Vid samarbete enligt Prümrådsbeslutet får ett utländskt kontaktställe medges direktåtkomst till referensuppgifter i de svenska registren över DNA-profiler.
Efter överenskommelse mellan Sverige och en annan stat får kontaktstället i den andra staten göra en automatisk jämförelse mellan sina oidentifierade DNA-profiler och referensuppgifter i de svenska registren över DNA-profiler.
Vad som sägs i första och andra styckena gäller inte för elimineringsdatabasen.
I paragrafen regleras åtkomst till de svenska registren över DNA-profiler. Första och andra styckena är oförändrade. Av
tredje stycket, som är nytt, framgår att bestämmelsen inte gäller
för elimineringsdatabasen. Kontaktställen i andra stater kan alltså inte få direktåtkomst till, eller göra automatiska jämförelser, med elimineringsdatabasen. Paragrafen har behandlats i avsnitt 6.9.
Författningskommentar Ds 2013:22
158
8.2 Förslaget till lag om ändring i polisdatalagen med ikraftträdande den 1 januari 2014
4 kap.
1 a § Rikspolisstyrelsen får även föra ett register över DNA-profiler i syfte att stärka kvaliteten i den forensiska DNA-verksamheten (elimineringsdatabasen) i enlighet med 6–9 §§.
Behandling av uppgifter i elimineringsdatabasen får ske för att spåra och utreda kontamineringar. Vid en överensstämmelse mellan en DNA-profil i elimineringsdatabasen och en DNA-profil som har tagits fram under utredning av brott får uppgiften om vem DNAprofilen i elimineringsdatabasen tillhör behandlas även för att utreda brott.
Paragrafen reglerar förandet av och ändamålen med behandlingen av personuppgifter i elimineringsdatabasen. Skälen för förslaget har behandlats i avsnitt 6.2 och 6.4. Det främsta syftet med elimineringsdatabasen är att göra jämförelser med andra DNA-profiler för att upptäcka om undersökningsmaterial eller prover har blivit kontaminerade, dvs. sammanblandade eller förorenade, av DNA från personer som på olika sätt kan ha kommit i direkt eller indirekt kontakt med materialet och då oavsiktligt avsatt DNA som senare visar sig vid en DNA-analys. Det kan vara personer som hanterat materialet eller provet i sin tjänst, som deltagit i tillverkningen av den materiel som används vid analysen eller som vistas i lokaler eller på platser där materialet eller provet hanterats. Syftet med elimineringsdatabasen är alltså i första hand att göra jämförelser för att stärka kvaliteten i den forensiska DNA-verksamheten. Om en DNA-profil, som tagits fram från material eller från ett prov som tagits på en brottsplats, överensstämmer med en DNA-profil i elimineringsdatabasen går det dock inte generellt att utesluta att överensstämmelsen i undantagsfall skulle kunna bero på att personen, vars profil finns i elimineringsdatabasen, också har varit inblandad i brottet. I sådana fall måste uppgifterna om personen ur elimineringsdata-
Ds 2013:22 Författningskommentar
159
basen också få användas i den aktuella brottsutredningen, vilket framgår av bestämmelsen.
Det kan också tänkas att överensstämmelser mellan DNAprofiler i elimineringsdatabasen och andra DNA-profiler i undantagsfall skulle kunna leda till arbetsrättsliga följder för en anställd, om upprepade överensstämmelser t.ex. skulle anses tyda på att personen inte följer säkerhetsföreskrifter som gäller för arbetet. Behandling av uppgifterna i elimineringsdatabasen i sådana fall får anses omfattas av ändamålet att stärka kvaliteten i den forensiska DNA-verksamheten.
6 § DNA-profiler i spårregistret får jämföras med DNA-profiler
1. som inte kan hänföras till en identifierbar person,
2. som finns i DNA-registret, eller
3. som kan hänföras till en person som är skäligen misstänkt för brott.
4. som finns i elimineringsdatabasen och under de förutsättningar som anges i 6 c §.
DNA-profiler i spårregistret får också jämföras i andra fall om det är nödvändigt för att fullgöra en internationell överenskommelse som Sverige efter riksdagens godkännande har tillträtt eller om det följer av en EU-rättsakt.
Paragrafen behandlar de jämförelser som får ske mellan DNAprofiler i spårregistret och andra DNA-profiler. I första stycket har gjorts ett tillägg för att möjliggöra jämförelser med DNAprofilerna i elimineringsdatabasen. Skälen för ändringen har behandlats i avsnitt 6.2 och 6.6. Andra stycket är oförändrat.
Elimineringsdatabasen
6 a § Elimineringsdatabasen får innehålla DNA-profiler från per-
soner som i enlighet med 6 b § är skyldiga att genomgå provtagning eller som samtyckt till sådan provtagning.
Det som anges i 3 § första stycket gäller också vid registrering i elimineringsdatabasen.
Författningskommentar Ds 2013:22
160
Utöver DNA-profiler får elimineringsdatabasen innehålla uppgifter om vem DNA-profilen avser.
Paragrafen, som är ny, har behandlats i avsnitt 6.2 och 6.4. I för-
sta stycket anges vilket innehåll elimineringsdatabasen får ha. Ge-
nom en hänvisning i andra stycket till 3 § första stycket gäller samma förutsättningar för registrering av en DNA-profil i elimineringsdatabasen som i DNA-registret och utredningsregistret (se 4 § andra stycket), nämligen att DNA-profiler som registreras endast får ge information om identitet och inte om personliga egenskaper. I tredje stycket anges att elimineringsdatabasen får innehålla uppgifter om vem profilen avser. Stycket är utformat med tanke på vad som gäller för DNA-registret och utredningsregistret (se 3 och 4 §§). Till skillnad från dessa register kan elimineringsdatabasen givetvis inte innehålla information om i vilket ärende profilen har tagits fram eller brottskod, eftersom profilen inte tagits fram i anledning av någon brottsmisstanke.
6 b § En arbetstagare hos en polismyndighet eller Statens kriminal-
tekniska laboratorium är skyldig att lämna prov för DNA-analys om syftet är att arbetstagarens DNA-profil ska registreras i elimineringsdatabasen. Skyldigheten gäller under förutsättning att det finns risk för att arbetstagarens DNA kan komma att kontaminera material eller prover, som ska bli föremål för DNA-analys.
Andra personer än arbetstagare som anges i första stycket får lämna prov för DNA-analys i syfte att registrera DNA-profilen i elimineringsdatabasen under samma förutsättningar som i första stycket, om de ger sitt samtycke till provtagning och registrering i databasen.
Paragrafen, som är ny, har behandlats i avsnitt 6.2 och 6.5. Av bestämmelsen framgår vilken krets av personer som ingår med sina DNA-profiler i elimineringsdatabasen.
Första stycket innehåller en skyldighet för arbetstagare att
lämna DNA-prov i syfte att deras DNA-profiler ska registreras i elimineringsdatabasen. Eftersom arbetstagare hos polismyndig-
Ds 2013:22 Författningskommentar
161
heterna och Statens kriminaltekniska laboratorium omfattas av grundlagsskyddet i 2 kap. 6 § regeringsformen mot påtvingade kroppsliga ingrepp, krävs lagstöd för att de ska kunna vara skyldiga att lämna ett prov för DNA-analys. För att avgränsa skyldigheten anges i bestämmelsen att det är arbetstagare vars DNA kan komma att riskera att kontaminera material eller prover som ska undersökas för DNA-analys som omfattas.
Arbetstagare hos en polismyndighet kan också omfatta arbetstagare hos Rikspolisstyrelsen. Av 7 § polislagen (1984:387) följer att om regeringen uppdrar åt Rikspolisstyrelsen att isärskilda hänseenden leda polisverksamhet, gäller vad som i lag eller annan författning föreskrivs om polismyndighet i tillämpliga delar även för Rikspolisstyrelsen. I förordning (1989:773) med instruktion för Rikspolisstyrelsen har regeringen gett Rikspolisstyrelsen uppgifter i dessa hänseenden (4 – 6 §§).
Andra stycket innehåller en bestämmelse om att andra perso-
ner än arbetstagare får lämna prov under förutsättning bl.a. att de samtycker till provtagning och efterföljande registrering i elimineringsdatabasen. Andra personer som behöver ingå i elimineringsdatabasen för att den ska fylla en kvalitetssäkrande funktion är personer som har koppling till SKL genom att de t.ex. vistas i lokalerna. Personer som inte är arbetstagare och inte står i ett formellt beroendeförhållande till SKL kan inte anses tvingade att lämna prov för att ingå i elimineringsdatabasen, även om detta ställs upp som en förutsättning från laboratoriets sida för att en person t.ex. ska få tillträde till lokalerna. Utöver lämnat samtycke är det en förutsättning för provtagning, även för andra personer än arbetstagare, att det finns en risk för att personens DNA kan komma att kontaminera undersökningsmaterial eller prover. Denna förutsättning framgår av bestämmelsens andra stycke genom en hänvisning till första stycket.
6 c § En DNA-profil som har tagits fram i den forensiska DNA-
verksamheten och som inte kan hänföras till en identifierbar person får jämföras med profiler i elimineringsdatabasen. Jämförelsen ska göras innan profilen läggs in i spårregistret eller senast i samband
Författningskommentar Ds 2013:22
162
med att så sker för första gången. Jämförelsen måste göras innan jämförelse sker med andra DNA-profiler i spårregistret, DNAregistret eller utredningsregistret.
Enskilda DNA-profiler i spårregistret får jämföras med profiler i elimineringsdatabasen även i andra fall än som anges i första stycket, om det är av särskild betydelse för utredningen i det ärende i vilket DNA-profilen har tagits fram och DNA-profilen i spårregistret hänför sig till en utredning om brott för vilket är föreskrivet fyra års fängelse eller mer.
Paragrafen, som är ny, har behandlats i avsnitt 6.2 och 6.6. I bestämmelsen anges de förutsättningar under vilka jämförelser får ske mellan DNA-profiler i spårregistret och elimineringsdatabasen, men även de jämförelser som får ske mellan DNAprofiler i t.ex. spårprover och elimineringsdatabasen i de fall en DNA-profil behöver jämföras innan den lagts in i spårregistret eller om jämförelse behöver ske med en DNA-profil som inte ska läggas in där. Första meningen i första stycket avser DNAprofiler som tagits fram under utredning av brott, men som inte kan hänföras till en identifierbar person. Prover som tagits från personer under en brottsutredning omfattas alltså inte, utan förutsättningarna för att göra jämförelser med DNA-profiler i personprover från misstänkta personer regleras i 6 d §. Av första stycket följer vidare att jämförelsen med en DNA-profil som avses i paragrafen får ske antingen innan den läggs in i spårregistret eller i samband med att den läggs in. Av tredje meningen följer att jämförelse i sådana fall måste ske innan jämförelse med de andra DNA registren görs. Även en DNA-profil som avses i paragrafen som inte alls kommer att läggas in i spårregistret får jämföras med elimineringsdatabasen. Syftet med paragrafen är att det först ska utredas om en DNA-profil som tagits fram under utredning av brott kan vara ett resultat av en kontaminering. Om DNA-profilen överensstämmer med en DNA-profil i elimineringsdatabasen ska DNA-profilen i sådana fall inte läggas in i spårregistret, eller i förekommande fall, tas bort ur registret. Eftersom DNA-profilen kan hänföras till en identifierad person i
Ds 2013:22 Författningskommentar
163
och med träffen i elimineringsdatabasen finns inte längre förutsättningar för att ha den registrerad i spårregistret. Begränsningarna i jämförelsemöjligheterna har införts för att så långt det är möjligt förhindra att DNA-profilerna i elimineringsdatabasen används i ett allmänt brottsutredande syfte, vilket har utvecklats närmare i avsnitt 6.1 och 6.6.
I andra stycket ges en möjlighet att jämföra en DNA-profil i spårregistret som redan lagts in med DNA-profiler i elimineringsdatabasen. Syftet är att jämförelser i enskilda fall ska kunna ske med gamla spår, om utredningen av det brott där de tagits fram tas upp på nytt. Förutsättningen är att det är av särskild betydelse för utredningen i det ärende där DNA-profilen togs fram och att utredningen avser vissa grövre brott, t.ex. mord, dråp eller grovt narkotikabrott.
6 d § En DNA-profil från ett prov som avses i 4 § och som inte har
lagts in i utredningsregistret får jämföras med DNA-profiler i elimineringsdatabasen.
Med DNA-profiler i elimineringsdatabasen får även jämföras en DNA-profil som har tagits fram för att kvalitetssäkra den forensiska DNA-verksamheten och som inte hänför sig till brottsutredande verksamhet.
Paragrafen, som är ny, har behandlats i avsnitt 6.2 och 6.7. Den reglerar de övriga jämförelser som får ske mellan DNA-profiler i elimineringsdatabasen och andra DNA-profiler, utöver de jämförelsemöjligheter som regleras i 6 c §. Tillsammans utgör de två bestämmelserna alltså en uttömmande reglering av användningen av elimineringsdatabasen. I paragrafen regleras dels DNA-profiler som kan finnas i prover från skäligen misstänkta personer, dels DNA-profiler i alla slags prover som inte på något sätt hänför sig till utredningen av ett brott utan bara syftar till kvalitetssäkring av den forensiska DNA-verksamheten: kontrollprover, prover på materiel, prover för att undersöka bakgrunds-DNA, etc. Provet från en misstänkt kan vid kontaminering innehålla en
Författningskommentar Ds 2013:22
164
blandbild. Alla DNA-profiler från provet får givetvis jämföras med elimineringsdatabasen.
7 a § Uppgifter i elimineringsdatabasen ska gallras när de inte
längre behövs för att utreda om en persons DNA kan ha kontaminerat undersökningsmaterial eller prover.
Uppgifter i elimineringsdatabasen som avser arbetstagare vid en polismyndighet och Statens kriminaltekniska laboratorium ska gallras senast ett år efter det att anställningsförhållandet har upphört.
Om någon som lämnat sitt samtycke till provtagning och registrering i elimineringsdatabasen inte längre samtycker till registrering ska uppgifterna gallras senast ett år efter det att detta har meddelats Rikspolisstyrelsen.
Paragrafen, som är ny, har behandlats i avsnitt 6.8. I första stycket anges som huvudregel att uppgifter i elimineringsdatabasen ska gallras när de inte längre behövs för sitt syfte att avslöja kontamineringar. I andra och tredje styckena anges maximifrister för hur länge uppgifterna i elimineringsdatabasen får bevaras för de olika kategorier personer som ingår i den. Maximifristen har bestämts till ett år efter att anställningen upphört eller lämnats samtycke återtagits. Uppgifter i elimineringsdatabasen ska alltså ändå gallras efter kortare tid än ett år, om det står klart att en persons DNA då inte längre utgör en kontamineringsrisk.
8 § Om det i samband med utredning av ett brott har tagits ett prov för DNA-analys, får provet inte användas för något annat ändamål än det som provet togs för.
Detsamma gäller för ett prov som har tagits för DNA-analys i syfte att registrera en DNA-profil i elimineringsdatabasen.
I paragrafen, som begränsar användningen av ett prov som tagits för DNA-analys, har gjorts ett tillägg i andra stycket för att även prov som tagits i syfte att en DNA-profil ska registreras i elimineringsdatabasen, inte ska få användas för några andra ändamål.
Ds 2013:22 Författningskommentar
165
Första stycket är oförändrat. Bestämmelsen har behandlats i av-
snitt 6.2 och 6.5.
9 § Ett prov för DNA-analys som har tagits med stöd av 28 kap. rättegångsbalken, eller på begäran av en annan stat, ska förstöras senast sex månader efter det att provet togs.
Detsamma gäller för ett prov som har tagits för DNA-analys i syfte att registrera en DNA-profil i elimineringsdatabasen.
I paragrafen, som anger när ett prov för DNA-analys senast ska förstöras, har gjorts ett tillägg i andra stycket för att samma frist ska tillämpas även avseende prover som tagits för att registrera en DNA-profil i elimineringsdatabasen. Första stycket är oförändrat. Bestämmelsen har behandlats i avsnitt 6.2 och 6.5.
10 § Polismyndigheter, Ekobrottsmyndigheten, Åklagarmyndigheten, Tullverket, Kustbevakningen och Statens kriminaltekniska laboratorium får medges direktåtkomst till DNA-registret, utredningsregistret och spårregistret. Statens kriminaltekniska laboratorium får även medges direktåtkomst till elimineringsdatabasen.
En myndighet som medgetts direktåtkomst ansvarar för att tillgången till personuppgifter begränsas till vad varje tjänsteman behöver för att kunna fullgöra sina arbetsuppgifter.
Regeringen eller den myndighet som regeringen bestämmer meddelar närmare föreskrifter om omfattningen av direktåtkomsten samt om behörighet och säkerhet.
Paragrafen reglerar möjligheten för brottsbekämpande myndigheter och för SKL att få direktåtkomst till DNA-registren. Paragrafen har behandlats i avsnitt 6.9. I bestämmelsens första stycke har gjorts en ändring så att möjligheten att bevilja direktåtkomst till samtliga myndigheter endast gäller DNA-registret, utredningsregistret och spårregistret. Därmed kan direktåtkomst inte medges till elimineringsdatabasen. För att SKL ska kunna hantera elimineringsdatabasen behöver dock laboratoriet kunna medges direktåtkomst till elimineringsdatabasen, vilket framgår
Författningskommentar Ds 2013:22
166
av tillägget till första stycket. Andra och tredje styckena är oförändrade.
Ytterligare föreskrifter
10 a § Regeringen eller den myndighet regeringen bestämmer med-
delar ytterligare föreskrifter om kretsen arbetstagare som omfattas av skyldigheten i 6 a § första stycket, samtycke och återtagande av samtycke samt utredningen av överensstämmelser mellan en DNAprofil i elimineringsdatabasen och en annan DNA-profil.
Paragrafen, som är ny, har behandlats i avsnitt 6.10. Den innehåller en upplysning att det kan komma att finnas bestämmelser som rör elimineringsdatabasen på lägre normgivningsnivå, dels verkställighetsföreskrifter, dels föreskrifter som beslutas med stöd av regeringens restkompetens.
8.3 Förslaget till lag om ändring i polisdatalagen med ikraftträdande den 1 januari 2015
1 kap.
2 b § Följande bestämmelser i lagen gäller i Statens kriminaltek-
niska laboratoriums verksamhet med att utföra laboratorieundersökningar som föranleds av misstanke om brott och annan verksamhet i samband därmed:
3. 2 kap. 10–11 §§
4. 3 kap. 5 §. 3 kap. 5 § tillämpas oavsett om uppgifterna inom Statens kriminaltekniska laboratorium anses ha gjorts gemensamt tillgängliga.
Vid sådan behandling av personuppgifter som sker i de särskilt reglerade registren enligt 4 kap. tillämpas denna lag för den behandling som sker vid Statens kriminaltekniska laboratorium.
Ds 2013:22 Författningskommentar
167
I övrigt tillämpas personuppgiftslagen (1998:204) vid behandling av personuppgifter som sker vid Statens kriminaltekniska laboratorium i verksamhet som avses i första stycket.
Paragrafen, som är ny, har behandlats i avsnitt 5.4. I första stycket anges vilka bestämmelser i polisdatalagen som är tillämpliga i SKL:s forensiska verksamhet. Genom att bestämmelsen om tillgång till personuppgifter tillämpas kan tillgången till personuppgifter i den forensiska verksamheten begränsas inom Statens kriminaltekniska laboratorium, om det skulle anses nödvändigt. Personal inom laboratoriet kan också ges tillgång till andra uppgifter i Polisens brottsbekämpande verksamhet om det finns ett sådant behov. Laboratoriet har i dag direktåtkomst till uppgifter i DNA-registren, vilket är en förutsättning för att laboratoriet ska kunna hantera registren som personuppgiftsbiträde åt Rikspolisstyrelsen. När laboratoriet blir en del av Polismyndigheten får tillgången till dessa uppgifter, och andra uppgifter som laboratoriet kan behöva i sin verksamhet, tillgodoses genom myndighetsinterna föreskrifter. Vidare får SKL också möjlighet att behandla känsliga personuppgifter under samma förutsättningar som gäller inom den övriga Polisen. Samma sökbegränsningar i fråga om sådana personuppgifter kommer också att gälla för laboratoriet, oavsett om uppgifterna kan anses vara gemensamt tillgängliga eller inte i laboratoriets verksamhet.
Av andra stycket framgår att polisdatalagens bestämmelser ska vara tillämpliga också när SKL behandlar personuppgifter i de särskilt reglerade registren, vilket också inkluderar elimineringsdatabasen.
Av tredje stycket framgår slutligen att personuppgiftslagen i övrigt är den författning som reglerar personuppgiftsbehandlingen i SKL:s forensiska verksamhet.
Författningskommentar Ds 2013:22
168
4 kap.
1 a § Polismyndigheten får även föra ett register över DNAprofiler i syfte att stärka kvaliteten i den forensiska DNAverksamheten (elimineringsdatabasen) i enlighet med 6–9 §§.
Behandling av uppgifter i elimineringsdatabasen får ske för att spåra och utreda kontamineringar. Vid en överensstämmelse mellan en DNA-profil i elimineringsdatabasen och en DNAprofil som har tagits fram under utredning av brott får uppgiften om vem DNA-profilen i elimineringsdatabasen tillhör behandlas även för att utreda brott.
Paragrafen reglerar förandet av och ändamålen med behandlingen av personuppgifter i elimineringsdatabasen. I första stycket har ordet Rikspolisstyrelsen bytts ut mot Polismyndigheten till följd av att Rikspolisstyrelsen per den 1 januari 2015, tillsammans med de 21 polismyndigheterna och SKL, uppgår i den nya Polismyndigheten. Andra stycket är oförändrat.
6 b § En arbetstagare hos Polismyndigheten är skyldig att lämna prov för DNA-analys om syftet är att arbetstagarens DNAprofil ska registreras i elimineringsdatabasen. Skyldigheten gäller under förutsättning att det finns risk för att arbetstagarens DNA kan komma att kontaminera material eller prover, som ska bli föremål för DNA-analys.
Andra personer än arbetstagare som anges i första stycket får lämna prov för DNA-analys i syfte att registrera s DNA-profilen i elimineringsdatabasen under samma förutsättningar som i första stycket, om de ger sitt samtycke till provtagning och registrering i databasen.
I paragrafen regleras vilken krets av personer som ingår med sina DNA-profiler i elimineringsdatabasen. I första stycket har ordet Rikspolisstyrelsen bytts ut mot Polismyndigheten till följd av att Rikspolisstyrelsen per den 1 januari 2015, tillsammans med de 21
Ds 2013:22 Författningskommentar
169
polismyndigheterna och SKL, uppgår i den nya Polismyndigheten. Andra stycket är oförändrat.
7 a § Uppgifter i elimineringsdatabasen ska gallras när de inte längre behövs för att utreda om en persons DNA kan ha kontaminerat undersökningsmaterial eller prover.
Uppgifter i elimineringsdatabasen som avser arbetstagare hos
Polismyndigheten ska gallras senast ett år efter det att anställ-
ningsförhållandet har upphört.
Om någon som lämnat sitt samtycke till provtagning och registrering i elimineringsdatabasen inte längre samtycker till registrering ska uppgifterna gallras senast ett år efter det att detta har meddelats Polismyndigheten.
Paragrafen innehåller gallringsbestämmelser för uppgifterna i elimineringsdatabasen. I första och andra styckena har ordet Rikspolisstyrelsen bytts ut mot Polismyndigheten till följd av att Rikspolisstyrelsen per den 1 januari 2015, tillsammans med de 21 polismyndigheterna och SKL, uppgår i den nya Polismyndigheten. Första stycket är oförändrat.
10 § Ekobrottsmyndigheten, Åklagarmyndigheten, Tullverket och Kustbevakningen får medges direktåtkomst till DNA-registret, utredningsregistret och spårregistret.
En myndighet som medgetts direktåtkomst ansvarar för att tillgången till personuppgifter begränsas till vad varje tjänsteman behöver för att kunna fullgöra sina arbetsuppgifter.
Regeringen eller den myndighet som regeringen bestämmer meddelar närmare föreskrifter om omfattningen av direktåtkomsten samt om behörighet och säkerhet.
Paragrafen reglerar möjligheten att medge direktåtkomst till DNA-registren för andra brottsbekämpande myndigheter och SKL. När SKL blir en del av den nya Polismyndigheten behövs inte längre någon lagreglering av laboratoriets tillgång till registren. Att SKL kan medges direktåtkomst till DNA-registren
Författningskommentar Ds 2013:22
170
har därför utgått i bestämmelsens första stycke. Andra och tredje
styckena är oförändrade.
171
Uppdraget
Justitiedepartementet
Uppdrag angående behandling av personuppgifter vid Statens kriminaltekniska laboratorium
Bakgrund
Statens kriminaltekniska laboratorium
Statens kriminaltekniska laboratorium (SKL) är en del av polisväsendet. Myndighetens verksamhet regleras i förordningen (1978:677) med instruktion för Statens kriminaltekniska laboratorium. Laboratoriets huvudsakliga uppdrag är att utföra kriminaltekniska undersökningar som föranleds av misstanke om brott. Myndigheten ansvarar även för forskning, utveckling, information, utbildning samt stöd och service till hela det kriminaltekniska området. Vid SKL arbetar knappt 300 personer. Dessa är inte poliser utan huvudsakligen experter inom sina respektive verksamhetsområden som fungerar som sakkunniga biträden eller expertorgan åt polismyndigheterna.
Den personuppgiftsbehandling som förekommer vid SKL är dels behandling där SKL är personuppgiftsbiträde åt Rikspolisstyrelsen och då behandlar uppgifter med stöd av polisdatalagen
Promemoria § 359
2012-08-22
Ju2012/5620/P
Bilaga 1 Ds 2013:22
172
(2010:361), dels personuppgiftsbehandling med stöd av personuppgiftslagen (1998:204).
Elimineringsdatabasen
I syfte att stärka tillförlitligheten i den forensiska DNA-verksamheten har SKL inrättat en s.k. elimineringsdatabas vid SKL. Enligt SKL förs databasen med stöd av personuppgiftslagen. De huvudsakliga ändamålen med elimineringsdatabasen är att förhindra att DNA-profiler från laboratoriepersonal, brottsutredare m.fl. felaktigt hamnar i DNA-register på grund av kontamination av DNA-prover, att förhindra att resultat som härrör från kontaminationer redovisas till en uppdragsgivare och därmed missleder brottsutredningar samt att få erfarenhetsunderlag som kan utgöra underlag för att minska risken för kontaminationer.
I elimineringsdatabasen finns DNA-profiler i form av en sifferkombination som framkommit vid DNA-analys. DNA-profilerna härrör från salivprover som tagits med de berörda personernas skriftliga samtycke. När provet har analyserats sparas endast själva DNA-profilen. Det fysiska provet förstörs. Av DNA-profilen kan utläsas vilket kön personen tillhör, men inga andra personliga eller genetiska egenskaper. För närvarande finns det DNAprofiler från ca 500 personer i databasen. Profilerna härrör i första hand från personer som arbetar vid SKL, men även från andra t.ex. poliser, hantverkare och personal hos vissa leverantörer av produkter som används vid DNA-analyser. Uppgifterna i elimineringsdatabasen gallras på begäran av den person som DNAprofilen tillhör.
DNA-profiler som tagits fram under utredning av brott och som inte kan hänföras till en identifierbar person läggs in i polisens spårregister. De DNA-profiler som läggs in i spårregistret jämförs rutinmässigt mot elimineringsdatabasen. Eventuella överensstämmelser mellan DNA-pro-filer i spårregistret och DNA-
Bilaga 1
173
profiler i elimineringsdatabasen utreds enligt särskilt fastställda rutiner vid SKL. Om det inte kan beläggas att det varit fråga om en oavsiktlig kontamination överlämnas frågan till polis eller åklagare för vidare utredning.
Datainspektionens tillsynsärende
Datainspektionen (DI) inledde den 23 mars 2012 tillsyn mot SKL i syfte att kontrollera om den personuppgiftsbehandling som sker i laboratoriets elimineringsdatabas är förenlig med gällande rätt (dnr 514-2012). Sedan SKL yttrat sig meddelade DI beslut i ärendet den 28 maj 2012. DI fann i sitt beslut att den jämförelse som SKL gör mellan DNA-profiler i elimineringsdatabasen och det spårregister som förs med stöd av 4 kap. 5 § polisdatalagen (2010:361) inte är förenlig med gällande rätt. SKL förelades därför att upphöra med all jämförelse mellan DNAprofiler i elimineringsdatabasen och spårregistret eller att på annat sätt behandla DNA-profiler i elimineringsdatabasen för brottsbekämpande ändamål. I sin bedömning anförde DI inledningsvis att man inte fann anledning att i någon del ifrågasätta syftena för vilka SKL behandlar personuppgifter i elimineringsdatabasen. I bedömningen framhöll DI bl.a. att det i polisdatalagen finns uttömmande bestämmelser om vilka DNA-register som får föras i polisens brottsbekämpande verksamhet och att SKL i sin roll som personuppgiftsbiträde åt Rikspolisstyrelsen är skyldigt att följa reglerna i polisdatalagen när laboratoriet hanterar något av DNA-registren. DI ansåg vidare att all personuppgiftsbehandling som sker med anledning av ett uppdrag till SKL om spårundersökning i en förundersökning eller annat uppdrag som en brottsbekämpande myndighet har gett SKL, och där DNA-registren i 4 kap. polisdatalagen används, sker för brottsbekämpande ändamål och således faller under polisdatalagen. Dessutom ansåg DI att all användning av de tre DNA-registren i polisdatalagen utanför den brottsbekämpande verksamheten är otillåten, med undantag för underlättande av identifiering av
Bilaga 1 Ds 2013:22
174
avlidna. DI ansåg därför – i motsats till SKL – att personuppgiftslagen inte kan utgöra rättslig grund för behandling av personuppgifter som innefattar en jämförelse med DNA-profiler i spårregistret.
När det gäller frågan om elimineringsdatabasen lagligen kan föras och användas för icke brottsbekämpande ändamål anförde DI att det finns omständigheter som talar starkt för att den behandling av DNA-profiler som SKL utför i elimineringsdatabasen för icke brottsbekämpande ändamål ska ha stöd i lag och att det i lag även uttömmande ska anges vilka förutsättningar som ska gälla för databasen. DI berörde i bedömningen även frågan om giltigt samtycke till behandling av personuppgifterna och anförde därvid att, i de fall databasen endast används utanför det brottsbekämpande området, det ankommer på SKL att säkerställa att den frivillighet som ska finnas är reell, alternativt utreda om registrering kan ske utan samtycke.
DI:s beslut har överklagats och har således inte vunnit laga kraft.
Behovet av en utredning
Utlåtanden angående DNA-analyser har fått en allt större roll i brottmålsprocessen och tilltron till DNA som bevis är generellt hög inom såväl rättsväsendet som samhället i stort. Syftet med inrättandet av en elimineringsdatabas har varit att stärka tillförlitligheten kring den forensiska DNA-verksamheten. En fortsatt behandling av DNA-profiler i detta syfte kan fylla en mycket viktig funktion i SKL:s kvalitetssäkring. Med beaktande av detta och mot bakgrund av att DI inte har ifrågasatt syftet med personuppgiftsbehandlingen utan endast huruvida det finns lagligt stöd för den, bör ett arbete inledas med inriktning på att hitta en lösning av sistnämnda fråga. Ett sådant arbete berör även frågan om SKL:s personuppgiftsbehandling i ett större perspektiv.
Bilaga 1
175
Det finns idag ingen särskild registerförfattning som reglerar SKL:s personuppgiftsbehandling. I samband med införandet av den nya polisdatalagen anförde regeringen att det kunde finnas anledning att i ett annat sammanhang överväga behovet av att särskilt författningsreglera personuppgiftsbehandlingen vid laboratoriet (prop. 2009/10:85 s 71 f.). Den nu aktuella frågan och den snabba utvecklingen inom området för kriminalteknik gör att det finns skäl att närmare överväga om den personuppgiftsbehandling som sker vid SKL bör regleras särskilt.
Uppdraget
En utredare ska kartlägga vilken personuppgiftsbehandling som förekommer vid SKL och med utgångspunkt i detta överväga behovet av att särskilt reglera personuppgiftsbehandlingen vid laboratoriet. Utredaren ska lämna förslag till de författningsändringar som bedöms vara nödvändiga och lämpliga.
När det gäller frågan om tillförlitligheten i den forensiska DNAverksamheten ska utredaren se över behovet av och föreslå de författningsändringar som bedöms vara nödvändiga och lämpliga för att begränsa risken för att kontamination påverkar DNAanalyser. I denna del av uppdraget ingår bl.a. att ta ställning till
• vilka personkategorier som bör omfattas av en eventuell reglering,
• om det bör vara obligatoriskt för berörda personer att lämna prover och vad som bör gälla i fråga om prover och provtagning,
• hur regleringen av den personuppgiftsbehandling som bedöms vara nödvändig ska se ut och vilken myndighet som ska vara personuppgiftsansvarig för sådan personuppgiftsbehandling,
• vilka jämförelser med andra DNA-profiler som bör tillåtas,
• hur en eventuell överensstämmelse med en annan DNAprofil ska hanteras på ett rättssäkert och effektivt sätt.
Bilaga 1 Ds 2013:22
176
Vid genomförandet av uppdraget ska utredaren hålla sig underrättad om arbete i näraliggande frågor som bedrivs inom Regeringskansliet, särskilt beredningen av Polisorganisationskommitténs förslag till ny polisorganisation och förhandlingarna av EU:s nya dataskyddspaket. Utredaren ska i lämplig omfattning inhämta upplysningar från och samråda med berörda myndigheter.
Utredaren ska redovisa vilka ekonomiska konsekvenser förslagen kan komma att medföra och föreslå hur eventuella kostnader ska finansieras.
Uppdraget ska redovisas senast den 31 januari 2013.