SOU 2019:24
Stärkt integritet i idrottens antidopningsarbete
Till statsrådet och chefen för Kulturdepartementet
Regeringen beslutade den 26 april 2018 att tillkalla en särskild utredare med uppdrag att utreda frågor om personuppgiftsbehandling i antidopningsarbetet inom idrotten (dir. 2018:31). Syftet med uppdraget är att säkerställa att EU:s regelverk för behandling av personuppgifter följs.
Till särskild utredare förordnades från den 1 augusti 2018 f.d. lagmannen Sigurd Heuman.
Till sakkunnig att biträda utredningen förordnades från och med den 14 september 2018 ämnesrådet Tomas Johansson, Kulturdepartementet. Till experter utsågs samma dag rättssakkunniga Sara Ahmed, Justitiedepartementet, rättssakkunniga Sara Asp, Socialdepartementet, enhetschefen Tommy Forsgren, Sveriges Riksidrottsförbund, juristen Malin Fredholm, Datainspektionen, förbundsjuristen Beatrice Gustafsson, Sveriges Riksidrottsförbund och enhetschefen Joakim Strandberg, Folkhälsomyndigheten.
Som sekreterare i utredningen förordnades från och med den 29 augusti 2018 hovrättsassessorn Anna-Karin Leo.
Utredningen har antagit namnet Utredningen om antidopning och dataskydd (S 2018:07).
Genom tilläggsdirektiv har tiden för redovisning av uppdraget förlängts från den 28 februari 2019 till den 31 maj 2019 (dir. 2019:2).
Härmed överlämnar utredningen sitt betänkande Stärkt integritet
i idrottens antidopningsarbete (SOU 2019:24). Utredningens uppdrag
är härmed slutfört.
Ängelholm i maj 2019
Sigurd Heuman
/ Anna-Karin Leo
Förkortningar
ADAMS Anti-Doping Administration & Management System, WADA:s databas som används för att samordna antidopningsarbetet Artikel 29-gruppen Artikel 29-arbetsgruppen för skydd av personuppgifter, en oberoende europeisk arbetsgrupp som behandlade frågor om personuppgifter fram till den 25 maj 2018 dataskyddsdirektivet Europaparlamentets och rådets direktiv (EU) 2016/680 av den 27 april 2016 om skydd för fysiska personer med avseende på behöriga myndigheters behandling av personuppgifter för att förebygga, förhindra, utreda, avslöja eller lagföra brott eller verkställa straffrättsliga påföljder, och det fria flödet av sådana uppgifter och om upphävande av rådets rambeslut 2008/977/RIF
dataskyddsförordningen Europaparlamentets och rådets förordning (EU) 2016/679 av den 27 april 2016 om skydd för fysiska personer med avseende på behandling av personuppgifter och om det fria flödet av sådana uppgifter och om upphävande av direktiv 95/46/EG (allmän dataskyddsförordning) dataskyddslagen Lagen (2018:218) med kompletterande bestämmelser till EU:s dataskyddsförordning dir. Direktiv Ds Promemoria i departementsserien EU Europeiska unionen Europadomstolen Europeiska domstolen för de mänskliga rättigheterna Europakonventionen Europeiska konventionen den 4 november 1950 angående skydd för de mänskliga rättigheterna och de grundläggande friheterna FN Förenta nationerna OSL Offentlighets- och sekretesslagen (2009:400) prop. Regeringens proposition RF Sveriges Riksidrottsförbund SOU Statens offentliga utredningar TF Tryckfrihetsförordningen Unesco Förenta nationernas organisation för utbildning, vetenskap och kultur WADA World Anti-Doping Agency, Världsantidopningsbyrån
Sammanfattning
Uppdraget
Vi har haft i uppdrag att utreda frågor om personuppgiftsbehandling i antidopningsarbetet inom idrotten. Syftet med uppdraget har varit att säkerställa att EU:s s.k. dataskyddsförordning följs. I uppdraget har ingått att undersöka vilka konsekvenser dataskyddsförordningen medför i fråga om personuppgiftsbehandlingen vid antidopningsarbetet inom idrotten och att analysera behovet av särskilda bestämmelser för denna behandling. Vi har vidare haft i uppdrag att bedöma om det finns behov av författningsreglerade bestämmelser om sekretess och tystnadsplikt.
En ny lag om dataskydd i idrottens antidopningsarbete
Dataskyddsförordningen är tillämplig sedan den 25 maj 2018. Förordningen utgör numera den generella regleringen för behandling av personuppgifter inom EU och är direkt tillämplig i Sverige. Dataskyddsförordningen både förutsätter och tillåter nationella bestämmelser som kompletterar delar av förordningen genom specificeringar eller undantag.
Behandling av personuppgifter är en förutsättning för att idrottens antidopningsarbete ska kunna utföras. En stor del av de personuppgifter som behandlas i antidopningsarbetet avser känsliga uppgifter om främst idrottsutövares hälsa. För att personuppgifter över huvud taget ska få behandlas i antidopningsarbetet krävs dock att det finns en rättslig grund för behandlingen i dataskyddsförordningen. Vi har funnit att personuppgiftsbehandlingen kan stödjas på den rättsliga grunden att den är nödvändig för att utföra en uppgift av allmänt intresse (artikel 6.1 e i dataskyddsförordningen). För att den rättsliga grunden ska kunna användas behöver det dock införas en
nationell reglering. Vi har också funnit att behandling av känsliga personuppgifter i antidopningsarbetet kan stödjas på undantaget för ett viktigt allmänt intresse i artikel 9.2 g i dataskyddsförordningen. Även för att det undantaget ska kunna användas är det nödvändigt att det införs en nationell reglering som säkerställer den registrerades grundläggande intressen i antidopningsarbetet. Av bl.a. dessa skäl föreslår vi att en författning med bestämmelser om behandling av personuppgifter i idrottens antidopningsarbete ska införas. Vi föreslår att författningen ska ha lagform och heta lagen om dataskydd i idrottens antidopningsarbete.
Lagens syfte ska vara dels att möjliggöra att personuppgifter kan behandlas inom idrottens antidopningsarbete på ett ändamålsenligt sätt, dels att skydda fysiska personer mot att deras personliga integritet kränks vid sådan behandling.
Idrottens antidopningsarbete
Antidopningsarbetet inom idrotten styrs av den världsantidopningskod (World Anti-Doping Code) som har antagits av Världsantidopningsbyrån (WADA). Världsantidopningskoden syftar till att tillförsäkra alla idrottsutövare deras grundläggande rätt att delta i en idrott fri från dopning och på så sätt främja god hälsa och rättvisa för idrottsutövare. Ett ytterligare syfte med världsantidopningskoden är att harmonisera antidopningsarbetet inom idrotten på internationell och nationell nivå. Det är i första hand de organ som har undertecknat världsantidopningskoden, alltså signatärer av koden, som är bundna av koden. Som exempel kan en nationell antidopningsorganisation (NADO), ett internationellt specialidrottsförbund eller en tävlingsarrangör vara signatär av koden. Men även andra än signatärer kan utföra antidopningsarbete på grund av koden.
Världsantidopningskoden innehåller regler som signatärerna av koden är skyldiga att följa. Den reglerar t.ex. vad som utgör en dopningsförseelse. Koden innehåller vidare bestämmelser om bl.a. dopningskontroller, vistelserapporteringar, resultathantering och utredning av dopningsförseelser. Till världsantidopningskoden hör ett antal internationella standarder, för närvarande sex stycken, som är obligatoriska att tillämpa för signatärerna av koden. En internationell standard avser medicinsk dispens från dopningsreglerna, en annan
standard avser dopningskontroller och utredning. Ytterligare en standard avser skyddet av privatlivet och personuppgifter. I den senare standarden anges att den inte är tillämplig för det fall den bryter mot inhemsk lagstiftning.
Sverige har genom att ratificera Europarådets konvention mot dopning med dess tilläggsprotokoll samt Unescos konvention mot dopning inom idrotten påtagit sig ett ansvar för att bekämpa dopning inom idrotten. Sverige har också lämnat sitt godkännande till det antidopningsarbete som utförs enligt världsantidopningskoden. Vidare har Sverige förbundit sig till principerna i koden.
I den föreslagna lagen definieras idrottens antidopningsarbete som sådant antidopningsarbete som utförs på grund av världsantidopningskoden eller de internationella standarder som kompletterar koden.
Lagens tillämpningsområde
Vi föreslår att lagen om dataskydd i idrottens antidopningsarbete ska vara tillämplig för all den personuppgiftsbehandling som sker i Sverige i sådant antidopningsarbete som utförs på grund av världsantidopningskoden och de internationella standarder som tillhör koden. För sådana aktörer i antidopningsarbetet som är etablerade i Sverige ska lagen vara tillämplig oavsett var personuppgiftsbehandlingen utförs.
Antidopningsarbetet inom idrotten utförs i Sverige främst av Sveriges Riksidrottsförbund (RF) som är en ideell förening och samlande organisation för merparten av föreningsidrotten i Sverige. RF har 71 nationella specialidrottsförbund som medlemmar. Basen utgörs av ca 3,1 miljoner medlemmar och ca 20 000 lokala idrottsföreningar, anslutna till respektive specialidrottsförbund. Dessa lokalföreningar är på regional nivå anslutna till specialdistriktsidrottsförbund och distriktsidrottsförbund.
RF är signatär av världsantidopningskoden och svensk idrotts nationella antidopningsorganisation (NADO) i enlighet med koden. Således är RF enligt världsantidopningskoden skyldigt att utföra antidopningsarbete inom idrotten i Sverige. RF erhåller också hela det statliga anslaget för insatser mot dopning.
Antidopningsarbetet inom RF leds och koordineras av den oberoende Dopingkommissionen, som väljs av RF-stämman. Det operativa arbetet utförs dock av Antidopingavdelningen inom RF, under
benämningen Svensk Antidoping. Arbetet vid avdelningen kan delas in i fem olika områden; dispenshandläggning, vistelserapportering, dopningskontroller, resultathantering samt underrättelsearbete. RF:s antidopningsarbete bedrivs dock enligt RF:s stadgar i alla organisationsled inom organisationen. Vi har därför funnit att lagen ska vara tillämplig för all den personuppgiftsbehandling som i antidopningsarbetet utförs på grund av världsantidopningskoden av RF samt de föreningar och förbund som är anknutna till RF.
Det finns därutöver ett mindre antal föreningar och specialidrottsförbund i Sverige som inte är anknutna till RF, men som är anknutna till ett internationellt specialidrottsförbund som är signatär av världsantidopningskoden. Som exempel kan nämnas Svenska Bodybuilding- och Fitnessförbundet och anknutna föreningar. Även dessa föreslås omfattas av lagen i den mån de behandlar personuppgifter i ett antidopningsarbete som utförs i enlighet med världsantidopningskoden.
Antidopningsarbete kan utföras i Sverige även av utländska aktörer. Våra förslag omfattar även den personuppgiftsbehandling som sker när andra signatärer av världsantidopningskoden än RF, såsom internationella specialidrottsförbund och andra länders nationella antidopningsorganisationer, behandlar personuppgifter i Sverige i samband med att de utför dopningskontroller här i enlighet med världsantidopningskoden.
Lagen föreslås vidare vara tillämplig för organ som utför antidopningsarbete på uppdrag av en signatär av världsantidopningskoden. För närvarande finns det ett privat serviceföretag, International Doping Tests & Management AB IDTM, som är etablerat i Sverige och som utför bl.a. dopningstester i enlighet med världsantidopningskodens regler på uppdrag av signatärer av koden. Det finns därutöver ett fåtal företag som internationellt utför antidopningsarbete på uppdrag av en signatär av världsantidopningskoden och som därmed kan omfattas av våra förslag i den mån de behandlar personuppgifter i Sverige.
Lagen ska endast gälla om behandlingen av personuppgifter är helt eller delvis automatiserad eller om personuppgifterna ingår i eller är avsedda att ingå i en strukturerad samling av personuppgifter som är tillgänglig för sökning eller sammanställning enligt särskilda kriterier.
Förhållandet till annan reglering
Den föreslagna lagen kompletterar de direkt tillämpliga bestämmelserna i dataskyddsförordningen. Dessutom gäller den s.k. dataskyddslagen (2018:218), som innehåller generella kompletterande bestämmelser till dataskyddsförordningen, om inte annat följer av den föreslagna lagen.
Lagen har, tillsammans med dataskyddsförordningen och dataskyddslagen, företräde framför idrottsrörelsens interna bestämmelser om personuppgiftsbehandling.
Den föreslagna lagen ska inte gälla då personuppgifter behandlas hos Dopinglaboratoriet vid Karolinska Universitetssjukhuset med stöd av patientdatalagen (2008:355).
Personuppgiftsansvar
Enligt vår bedömning är varje organ som omfattas av lagen personuppgiftsansvarig för den behandling av personuppgifter som organet utför i idrottens antidopningsarbete. Vi föreslår att detta av tydlighetsskäl anges i lagen.
Ändamålsbestämmelser
Personuppgifter får enligt den förslagna lagen endast samlas in och i övrigt behandlas i idrottens antidopningsarbete om det är nödvändigt för vissa i lagen närmare angivna ändamål. Förslagen täcker in de ändamål för vilka personuppgifter behöver samlas in och behandlas för att arbetet enligt världsantidopningskoden och de tillhörande standarderna ska kunna utföras. Ändamålsbestämmelserna är fakultativa i den meningen att de reglerar vad aktörerna i antidopningsarbetet får göra. Syftet med ändamålsbestämmelserna är alltså att ange en yttersta ram för när personuppgifter får samlas in och fortsättningsvis behandlas med stöd av lagen om dataskydd i idrottens antidopningsarbete och dataskyddsförordningen. De angivna ändamålen är vidare uttömmande i den meningen att de olika aktörerna som omfattas av lagen inte själva får besluta om ytterligare ändamål för vilket eller vilka personuppgifter ska samlas in i verksamheten.
I idrottens antidopningsarbete lämnas uppgifter ut till andra aktörer via WADA:s databas ADAMS eller något annat av WADA godkänt system. Utlämnandet sker inom ramen för antidopningsarbetet och följer av världsantidopningskoden. Mottagarna är andra signatärer av världsantidopningskoden eller serviceföretag som utför sitt arbete på uppdrag av en signatär och i enlighet med koden. Utlämnandet sker därmed som en del av samma globala antidopningsarbete och äger normalt rum i varje signatärs verksamhet. Det utlämnande av information som sker inom ramen för idrottens antidopningsarbete omfattas av lagens primära ändamålsbestämmelser.
Det förekommer i mindre omfattning att personuppgifter lämnas ut från aktörerna inom antidopningsarbetet till brottsbekämpande myndigheter. Enligt lagförslaget får personuppgifter även behandlas om det är nödvändigt för att tillhandahålla information som behövs i brottsbekämpande verksamhet hos Polismyndigheten, Åklagarmyndigheten eller Tullverket. Den föreslagna bestämmelsen öppnar en möjlighet för aktörerna i antidopningsarbetet att lämna ut uppgifter om misstänkta dopningsrelaterade brott till de myndigheter som bekämpar den aktuella brottsligheten.
Överföring av personuppgifter till tredjeland kan inom idrottens antidopningsarbete ske med stöd av bestämmelserna i dataskyddsförordningen. Några särskilda bestämmelser härom behöver därför inte tas in i den förslagna lagen.
Känsliga personuppgifter och uppgifter om lagöverträdelser
Dataskyddsförordningen innehåller i artikel 9.1 ett principiellt förbud mot att behandla vissa särskilda kategorier av personuppgifter, s.k. känsliga personuppgifter. Från förbudet finns dock ett antal undantag. Om den registrerade uttryckligen har lämnat sitt samtycke till behandling av sådana personuppgifter för ett eller flera specifika ändamål så får uppgifterna behandlas (9.2 a). Vidare får känsliga personuppgifter behandlas bl.a. om behandlingen är nödvändig av hänsyn till ett viktigt allmänt intresse som har sin grund i unionslagstiftningen eller i en medlemsstats nationella lagstiftning (9.2 g). Enligt våra förslag får i idrottens antidopningsarbete endast sådana
känsliga personuppgifter som rör hälsa, genetiska uppgifter eller biometriska uppgifter för att entydigt identifiera en fysisk person behandlas med stöd av artikel 9.2 g i dataskyddsförordningen.
I artikel 10 i dataskyddsförordningen finns särskilda bestämmelser om behandling av personuppgifter som rör fällande domar i brottmål och lagöverträdelser som innefattar brott. Uppgifter om att en idrottsutövare har gjort sig skyldig till en dopningsförseelse enligt idrottens interna regler rör inte en fällande dom i brottmål. Enligt vår bedömning rör de inte heller en lagöverträdelse som innefattar brott i den mening som avses i artikel 10 i dataskyddsförordningen. Sådana personuppgifter kan dock ändå komma att behandlas inom antidopningsarbetet. Enligt våra förslag får personuppgifter som rör lagöverträdelser behandlas för att handlägga dopningsärenden. De får också behandlas i det underrättelsearbete som bedrivs av RF enligt världsantidopningskoden.
Publicering av uppgifter om dopningsförseelser
Världsantidopningskoden föreskriver att uppgifter om dopningsavstängda idrottsutövare ska offentliggöras. För RF:s del sker offentliggörandet genom publicering på internet. Vi har funnit att denna publicering är problematisk ur ett integritetsperspektiv. Eftersom publiceringen sker med stöd av ett utgivningsbevis och därmed under skydd av yttrandefrihetsgrundlagen är dock möjligheterna att ingripa mot den med stöd av dataskyddsförordningen mycket begränsade. Enligt vår mening bör RF överväga en ny ordning genom vilken aktuella uppgifter kan göras tillgängliga för dem som har ett berättigat intresse av dem.
Enskildas rättigheter
Vi har inte funnit att det är en nödvändig eller proportionell åtgärd att i den föreslagna lagen begränsa enskildas rätt att invända mot behandlingen av personuppgifter. Inte heller i övrigt har vi funnit skäl att göra några undantag från den registrerades rättigheter enligt dataskyddsförordningen.
Längsta tid för behandling
Hur länge personuppgifter som längst får behandlas i idrottens antidopningsarbete för olika ändamål framgår av en till världsantidopningskoden tillhörande internationell standard. Enligt vår bedömning bör lagen inte innehålla någon detaljreglering som inskränker de tider för längsta bevarande som WADA har beslutat om och som följs av andra länder. Vi föreslår dock att det i lagen förs in en generell bestämmelse som anger att personuppgifter inte får behandlas under längre tid än vad som är nödvändigt med hänsyn till ändamålet med behandlingen. Den föreslagna bestämmelsen har till syfte att motverka ett slentrianmässigt bevarande.
Den internationells standarden innehåller inga bestämmelser om hur länge personuppgifter får behandlas i ett underrättelsearbete. Behandlingen av personuppgifter i detta arbete är dock särskilt känslig ur integritetshänseende. Vi föreslår därför en bestämmelse som anger att personuppgifter inte får behandlas i ett underrättelsearbete längre än tre år efter utgången av det kalenderår då uppgifterna behandlades första gången. Om en ny uppgift beträffande samma persons anknytning till dopningsverksamhet behandlas före utgången av tidsfristen, får de personuppgifter som redan finns om personen fortsätta att behandlas så länge någon av uppgifterna får behandlas.
Ytterligare skyddsåtgärder
Vi har analyserat huruvida lagen bör innehålla ytterligare bestämmelser som syftar till att säkerställa enskildas grundläggande rättigheter och intressen i idrottens antidopningsarbete. I avsnitt 11 diskuteras sådana möjliga skyddsåtgärder. Vi föreslår här en bestämmelse som anger att tillgången till personuppgifter ska begränsas till vad var och en behöver för att kunna fullgöra sina arbetsuppgifter. Vidare föreslår vi att RF och andra organ som är etablerade i Sverige och som utför antidopningsarbete på uppdrag av en signatär av världsantidopningskoden ska utse dataskyddsombud för sin behandling av personuppgifter i antidopningsarbetet.
Sekretess
Enligt vår mening föreligger det inte något behov av en förändrad sekretessreglering. Vi har dock funnit att det finns anledning för RF att se över 13 kap. 8 § i RF:s stadgar.
Konsekvenser
Våra förslag innebär ett stärkt skydd för enskildas personliga integritet i idrottens antidopningsarbete. Förslagen kan vidare få positiva konsekvenser för bekämpningen av dopningsrelaterad brottslighet. Enligt vår bedömning kommer förslagen att innebära visst behov av utbildning och information. De bedöms dock inte leda till några kostnadsökningar för det allmänna.
Ikraftträdande
Den nya lagen föreslås träda i kraft den 1 juli 2020.
Summary
Remit
Our remit has been to investigate questions concerning the processing of personal data in anti-doping work in sport. The purpose of our remit has been to ensure that the rules in the EU’s ‘Data Protection Regulation’ are followed. Our remit has included examining the consequences of the Data Protection Regulation for questions concerning the processing of personal data in anti-doping work in sport and analysing the need for special regulations for this processing. We have also had the remit of assessing the need for statutory provisions on secrecy and the obligation to observe confidentiality.
A new act on data protection in anti-doping work in sport
The Data Protection Regulation has been applicable since 25 May 2018. The Regulation is now the general legislation for the processing of personal data in the EU and is directly applicable in Sweden. The Data Protection Regulation both presumes and permits national provisions that supplement parts of the Regulation through specifications or exemptions and derogations.
The processing of personal data is a necessary part of anti-doping work in sport. A large part of the personal data processed in antidoping work relates to sensitive data mainly about the health of athletes. However, for it to be at all possible to process personal data in anti-doping work, there must be a legal basis for this processing in the Data Protection Regulation. We have concluded that this processing of personal data can rely on the legal basis that it is necessary for the performance of a task carried out in the public interest (Article 6(1)(e) of the Data Protection Regulation). However, for it to be possible to use that legal basis, national legislation needs to be
introduced. We have also concluded that the processing of sensitive personal data in anti-doping work can rely on the exemption for a substantial public interest in Article 9(2)(g) of the Data Protection Regulation. This exemption can only be used if national legislation safeguarding the fundamental rights and the interests of the data subject in anti-doping work is introduced. For these and other reasons we propose the introduction of a statute containing provisions on the processing of personal data in anti-doping work in sport. We propose that the statute should be an act and be called the act on data protection in anti-doping work in sport.
The purpose of the act should be to make possible the processing of personal data in anti-doping work in sport in an appropriate way and to protect natural persons from interference with their personal privacy in this processing.
Anti-doping work in sport
Anti-doping work in sport is governed by the World Anti-Doping Code adopted by the World Anti-Doping Agency (WADA). The World Anti-Doping Code is intended to guarantee the athletes their fundamental right to participate in doping-free sport and thus promote health, fairness and equality for athletes. It is also intended to harmonise anti-doping work in sport at the international and national level. In the first place, it is the bodies that have signed the World Anti-Doping Code, i.e. the code signatories, that are bound by the Code. As an example, a national anti-doping organisation (NADO), an international sports federation or an event organisation can be a code signatory. But bodies other than signatories can also perform anti-doping work on account of the Code.
The World Anti-Doping Code contains rules that code signatories are obliged to follow. For instance, it regulates what are anti-doping rule violations. The Code also includes provisions about anti-doping testings, athlete’s whereabouts information, result management and the investigation of anti-doping rule violations. There are a number of international standards, six at present, that belong to the World Anti-Doping Code; adherence to them is mandatory for the code signatories. One international standard relates to therapeutic use exemptions from the anti-doping rules; another standard relates to testing
and investigation. A further standard relates to the protection of privacy and personal information. That standard states that it is not applicable if it breaches national legislation.
By ratifying the Council of Europe’s Anti-Doping Convention and its Additional Protocol and UNESCO’s International Convention against Doping in Sport, Sweden has assumed a responsibility to combat doping in sport. Sweden has also given its approval to the anti-doping work performed in accordance with the Code. In addition, Sweden has committed to the principles of the Code.
The proposed law defines anti-doping work in sport as anti-doping work performed on account of the World Anti-Doping Code or the international standards that supplement the Code.
Scope of the Act
We propose that the act on data protection in anti-doping work in sport should apply to all processing of personal data that takes place in Sweden in anti-doping work performed on account of the World Anti-Doping Code or the international standards that belong to the Code. Participants in anti-doping work that are established in Sweden should be covered by the act irrespective of where their processing of personal data is performed.
In Sweden anti-doping work in sport is mainly performed by the Swedish Sports Confederation (RF), which is an NGO and the umbrella organisation for most of the Swedish sports movement. The Confederation has 71 national special sports federations as members. Its base consists of around 3.1 million members and around 20 000 local sports associations affiliated to their special sports federations. At regional level, these local associations are affiliated to special sports federations and district sports federations.
The Swedish Sports Confederation is a signatory to the World Anti-Doping Code and is the national anti-doping organisation (NADO) of Swedish sport in accordance with the Code. Under the World Anti-Doping Code, the Confederation is therefore obliged to perform anti-doping work in sport in Sweden. The Confederation also receives the entire central government appropriation for antidoping action.
Anti-doping work in the Confederation is led and coordinated by the independent Doping Commission elected by the Confederation’s General Assembly. However, the operational work is performed by the Anti-Doping Department of the Confederation, under the name of Swedish Anti-Doping. Work in the Department can be divided into five different areas: handling of applications for therapeutic use exemptions, handling of athlete’s whereabouts information, doping controls, result management and intelligence work. However, the Confederation's statutes provide that anti-doping work is conducted in all parts of the organisation. We have therefore concluded that the act should be applicable to all the processing of personal data that is performed in anti-doping work on account of the World Anti-Doping Code by the Swedish Sports Confederation and by the associations and federations affiliated to the Confederation.
There are also a small number of associations and special sports federations that are not affiliated to the Swedish Sports Confederation but that are affiliated to an international sports federation that is a signatory to the World Anti-Doping Code. Examples include the Swedish Bodybuilding and Fitness Federation and affiliated associations. Our proposal is that they should also be covered by the act to the extent that they process personal data in anti-doping work performed in accordance with the World Anti-Doping Code.
Anti-doping work in Sweden can also be performed by foreign entities. Our proposals also cover the processing of personal data that takes place when signatories to the World Anti-Doping Code other than the Swedish Sports Confederation – such as international special sports federations and the national anti-doping organisations of other countries – process personal data in Sweden when performing doping controls here in accordance with the World Anti-Doping Code.
We also propose that the act should be applicable to bodies that perform anti-doping work on behalf of a signatory to the World Anti-Doping Code. At present there is one private service company, International Doping Tests & Management AB IDTM, that is established in Sweden whose activities include the performance of doping tests in accordance with the rules of the World Anti-Doping Code on behalf of signatories to the Code. There are also a few companies that perform anti-doping work on an international basis on behalf of a signatory to the World Anti-Doping Code and that can therefore
be covered by our proposals to the extent that they process personal data in Sweden.
The Act should only apply to the processing of personal data if it is wholly or partly automated or if the personal data forms part of or is intended to form part of a structured set of data which are accessible for searching or compilation according to specific criteria.
Relationship to other legislation
The proposed act supplements the directly applicable provisions of the Data Protection Regulation. The Data Protection Act (2018:218), which contains general supplementary provisions to the Data Protection Regulation, is also applicable, unless otherwise provided by the proposed act.
Along with the Data Protection Regulation and the Data Protection Act, the act will take precedence to the sports movement’s internal regulations on the processing of personal data.
The proposed act will not apply when personal data are processed at the Doping laboratory of Karolinska University Hospital pursuant to the Patient Data Act (2008:355).
Control of personal data
In our assessment, each body covered by the act is the controller for the processing of personal data performed by that body in the antidoping work of sport. We propose stating this in the act for the sake of clarity.
Provisions about purposes
Under the proposed act, personal data may only be collected and processed in other ways in the anti-doping work of sport if this is necessary for certain purposes specified in the act. These proposals cover the purposes for which personal data needs to be collected and processed in order to perform work under the World Anti-Doping Code and the associated standards. The provisions on purposes are optional in the sense that they regulate what the participants in anti-
doping work may do. So the point of the provisions on purposes is to set an outer limit for when personal data may be collected and continue to be processed pursuant to the act on data protection in the anti-doping work of sport and the Data Protection Regulation. Moreover, the purposes stated are exhaustive in the sense that the various participants covered by the act may not make their own decisions about additional purposes for which personal data will be collected in their activities.
In the anti-doping work of sport, data is disclosed to other participants via WADA’s ADAMS database or some other system approved by WADA. The disclosure is made within the framework of anti-doping work and follows from the World Anti-Doping Code. The recipients are other signatories to the World Anti-Doping Code or service companies performing their work on behalf of a signatory and in accordance with the Code. The disclosure is therefore made as part of the same global anti-doping work and normally takes place in the activities of each signatory. The disclosure of information that takes place as part of anti-doping work in sport is covered by the act’s primary provisions on purposes.
There is a small amount of disclosure of personal data from participants in anti-doping work to law enforcement agencies. The proposed act also permits the processing of personal data if this is necessary in order to provide information needed in law enforcement activities in the Swedish Police Authority, the Swedish Prosecution Authority or the Swedish Customs. The proposed provision opens up a possibility for participants in anti-doping work to disclose data about suspected doping-related offences to the relevant law enforcement authorities.
The transfer of personal data to a third country in anti-doping work in sport can take place pursuant to the provisions of the Data Protection Regulation. So no special provisions about this need to be included in the proposed act.
Sensitive personal data and data relating to criminal offences
Article 9(1) of the Data Protection Regulation contains a principled prohibition of the processing of special categories of personal data, also called ‘sensitive personal data’. There are, however, a number of exemptions from the prohibition. If the data subject has given explicit consent to the processing of those personal data for one or more specified purposes, the data may be processed (9(2)(a)). In addition, certain sensitive personal data may be processed if, among other reasons, the processing is necessary for reasons of substantial public interest, on the basis of Union or Member State law (9(2)(g)). According to our proposals, only sensitive personal data concerning health, genetic data or biometric data for the purpose of uniquely identifying a natural person, may be processed in anti-doping work in sport pursuant to Article 9(2)(g) of the Data Protection Regulation.
Article 10 of the Data Protection Regulation contains special provisions about the processing of personal data relating to criminal convictions and offences. Information that an athlete has committed an anti-doping rule violation under the internal rules of sport does not concern a criminal conviction. In our assessment, it does not relate to an offence in the meaning of Article 10 of the Data Protection Regulation either. Personal data like this could, nevertheless, be processed in anti-doping work. According to our proposals, personal data concerning criminal offences may be processed to handle cases concerning anti-doping rule violations. They may also be processed in the intelligence work conducted by the Swedish Sports Confederation under the World Anti-Doping Code.
Public disclosure of data concerning anti-doping rule violations
The World Anti-Doping Code provides that data about athletes suspended for doping must be publicly disclosed. In the case of the Swedish Sports Confederation, the data is published on the internet. We have concluded that this publication is problematic from a privacy perspective. Since the publication takes place pursuant to a certificate of no legal impediment to publication and therefore under the
protection of the Fundamental Law on Freedom of Expression, there are, however, very limited possibilities of intervening pursuant to the Data Protection Regulation. In our view, the Swedish Sports Confederation should, however, consider a new system under which the relevant data can be made available to those who have a legitimate interest in it.
Rights of individuals
We have not concluded that it would be either necessary or proportionate to limit the right of individuals to object to the processing of personal data in the proposed act. Nor have we found reasons to make any other exemptions from the rights of the data subject under the Data Protection Regulation.
Maximum retention period
The maximum period during which personal data may be retained in anti-doping work in sport for various purposes is set out in an international standard belonging to the World Anti-Doping Code. In our assessment, the act should not contain any detailed regulations restricting the maximum retention period decided by WADA and followed in other countries. However, we propose the insertion into the act of a general provision stating that personal data may not be processed for a longer period than is necessary in view of the purpose of the processing. The purpose of the proposed provision is to counter routine retention.
The international standard does not contain any provisions about how long personal data may be processed in intelligence work. However, the processing of personal data in this work is particularly sensitive in terms of privacy. We are therefore proposing a provision stating that personal data may not be processed in intelligence work for a longer period than three years after the end of the calendar year when the data was processed for the first time. If any new data reading the same person’s link to doping activities is processed before the end of that period, the personal data already held about the person may continue to be processed as long as any of the data may be processed.
Additional safeguards
We have analysed whether the act should contain additional provisions intended to secure the fundamental rights and interests of individuals in anti-doping work in sport. Possible safeguards of this kind are discussed in chapter 11. Here we propose a provision stating that access to personal data shall be limited to what each individual person needs to enable them to carry out their duties. We also propose that the Swedish Sports Confederation and other bodies that are established in Sweden and perform anti-doping work on behalf of a signatory to the World Anti-Doping Code shall appoint a data protection officer for their processing of personal data in anti-doping work.
Secrecy
In our view, there is no need to amend the secrecy legislation. We have, however, concluded that there is reason for the Swedish Sports Confederation to review Chapter 13, Section 8 of the Statutes of the Swedish Sports Confederation.
Impacts
Our proposals mean stronger protection for the personal privacy of individuals in anti-doping work in sport. The proposals can also have positive impacts on action to combat doping-related crime. In our assessment, the proposals will mean that some training and information are needed. However, they are not assessed as leading to cost increases for the public institutions.
Entry into force
The new act is proposed to enter into force on 1 July 2020.
Proposed act on data protection in anti-doping work in sport
Purpose of the act
Section 1
The purpose of this act is to make it possible for personal data to be processed in anti-doping work in sport in an appropriate way and to protect natural persons from interference with their personal privacy in this processing.
Anti-doping work in sport
Section 2
In this act anti-doping work in sport means anti-doping work performed on account of the World Anti-Doping Code or the international standards that supplement the Code.
Scope of the Act
Section 3
This act shall be applied when personal data is processed in antidoping work in sport performed by
1. the Swedish Sports Confederation and associations and federations affiliated to the Swedish Sports Confederation,
2. other associations and federations in Sweden affiliated to an international sports federation that is a signatory to the World Anti-Doping Code, and
3. signatories to the World Anti-Doping Code other than the Swedish Sports Confederation, if the personal data are processed in Sweden.
Section 4
Over and above what follows from Section 3, this act shall be applied when personal data are processed in anti-doping work in sport performed on behalf of a signatory to the World Anti-Doping Code by
1. a body that is established in Sweden, and
2. a body that is not established in Sweden, if the personal data are processed in Sweden.
Section 5
This Act only applies to the processing of personal data if it is wholly or partly automated or if the personal data forms part of or is intended to form part of a structured set of data which are accessible for searching or compilation according to specific criteria.
Relationship to other legislation
Section 6
This act supplements Regulation (EU) 2016/679 of the European Parliament and of the Council of 27 April 2016 on the protection of natural persons with regard to the processing of personal data and on the free movement of such data, and repealing Directive 95/46/EC (General Data Protection Regulation), called the EU’s Data Protection Regulation in this act.
Section 7
When personal data are processed under this act, the Act containing provisions supplementing the EU’s Data Protection Regulation (2018:218) and regulations issued in connection with that Act are applicable, unless otherwise indicated in this Act.
Section 8
This Act does not apply when personal data are processed at the Doping laboratory of Karolinska University Hospital pursuant to the Patient Data Act (2008:355).
Control of personal data
Section 9
Each body stated in Sections 3 and 4 is the controller for the processing of personal data performed by that body in anti-doping work in sport.
Purpose
Section 10
Personal data may be processed in anti-doping work in sport when necessary in order to
1. handle applications for therapeutic use exemptions,
2. plan, coordinate and administer whereabouts information,
3. plan, coordinate and handle doping controls,
4. handle cases concerning anti-doping rule violations, and
5. gather, process, analyse and share information regarding possible violations of the World Anti-Doping Code.
Only the Swedish Sports Confederation may process personal data according to the first paragraph, point 5. However, other bodies to which this act is applicable may process personal data when necessary to provide information that the Swedish Sports Confederation needs in its activities under the first paragraph, point 5.
Section 11
Personal data processed under Section 10 may also be processed when necessary to provide information needed in law enforcement activities in the Swedish Police Authority, the Swedish Prosecution Authority or the Swedish Customs.
Sensitive personal data
Section 12
No personal data stated in Article 9(1) of the EU’s Data Protection Regulation (sensitive personal data) other than personal data concerning health, genetic data or biometric data for the purpose of uniquely identifying a natural person may be processed pursuant to Article 9(2)(g) of the Data Protection Regulation.
Data relating to criminal offences
Section 13
Personal data stated in Article 10 of the EU’s Data Protection Regulation may only be processed for the purposes specified in Section 10, first paragraph, points 4 and 5.
Access to personal data
Section 14
Access to personal data shall be limited to what each individual person needs in order to perform their duties.
Data protection officer
Section 15
The Swedish Sports Confederation and other bodies that are established in Sweden and perform anti-doping work on behalf of a signatory to the World Anti-Doping Code shall appoint a data protection officer for their processing of personal data in anti-doping work in sport.
Maximum retention period
Section 16
Personal data may not be processed for a longer period than is necessary in view of the purpose of the processing.
Section 17
Personal data processed for purposes specified in Section 10, first paragraph, point 5 may not be processed for a longer period than three years after the end of the calendar year when the data was processed for the first time. If any new data reading the same person’s link to doping activities is processed before the end of that period, the personal data already held about the person may continue to be processed as long as any of the data may be processed.
1. Författningsförslag
1.1. Förslag till lag om dataskydd i idrottens antidopningsarbete
Härigenom föreskrivs följande.
Syftet med lagen
1 § Syftet med denna lag är att möjliggöra att personuppgifter kan behandlas inom idrottens antidopningsarbete på ett ändamålsenligt sätt och att skydda fysiska personer mot att deras personliga integritet kränks vid sådan behandling.
Idrottens antidopningsarbete
2 § Med idrottens antidopningsarbete avses i denna lag sådant antidopningsarbete som utförs på grund av världsantidopningskoden (World Anti-Doping Code) eller de internationella standarder som kompletterar koden.
Lagens tillämpningsområde
3 § Denna lag ska tillämpas då personuppgifter behandlas i idrottens antidopningsarbete som utförs av
1. Sveriges Riksidrottsförbund samt föreningar och förbund som är anknutna till Sveriges Riksidrottsförbund,
2. andra föreningar och förbund i Sverige som är anknutna till ett internationellt specialidrottsförbund som är signatär av världsantidopningskoden, samt
3. annan signatär av världsantidopningskoden än Sveriges Riksidrottsförbund, om personuppgifterna behandlas i Sverige.
4 § Utöver vad som följer av 3 § ska denna lag tillämpas då personuppgifter behandlas i idrottens antidopningsarbete som utförs på uppdrag av en signatär av världsantidopningskoden av
1. organ som är etablerat i Sverige, samt
2. organ som inte är etablerat i Sverige, om personuppgifterna behandlas i Sverige.
5 § Denna lag gäller endast om behandlingen av personuppgifter är helt eller delvis automatiserad eller om personuppgifterna ingår i eller är avsedda att ingå i en strukturerad samling av personuppgifter som är tillgänglig för sökning eller sammanställning enligt särskilda kriterier.
Förhållandet till annan reglering
6 § Denna lag kompletterar Europaparlamentets och rådets förordning (EU) 2016/679 av den 27 april 2016 om skydd för fysiska personer med avseende på behandling av personuppgifter och om det fria flödet av sådana uppgifter och om upphävande av direktiv 95/46/EG (allmän dataskyddsförordning), i lagen benämnd EU:s dataskyddsförordning.
7 § Vid behandling av personuppgifter enligt denna lag gäller lagen (2018:218) med kompletterande bestämmelser till EU:s dataskyddsförordning och föreskrifter som har meddelats i anslutning till den lagen, om inte annat följer av denna lag.
8 § Denna lag gäller inte då personuppgifter behandlas hos Dopinglaboratoriet vid Karolinska Universitetssjukhuset med stöd av patientdatalagen (2008:355).
Personuppgiftsansvar
9 § Varje organ som anges i 3 och 4 §§ är personuppgiftsansvarig för den behandling av personuppgifter som organet utför i idrottens antidopningsarbete.
Ändamål
10 § Personuppgifter får behandlas i idrottens antidopningsarbete om det är nödvändigt för att
1. handlägga ansökningar om medicinsk dispens,
2. planera, koordinera och administrera vistelserapporteringar,
3. planera, koordinera och handlägga dopningskontroller,
4. handlägga ärenden om dopningsförseelser, och
5. inhämta, bearbeta, analysera och delge information som gäller möjliga förseelser mot världsantidopningskoden.
Endast Sveriges Riksidrottsförbund får behandla personuppgifter enligt första stycket 5. Andra organ som denna lag är tillämplig på får dock behandla personuppgifter om det är nödvändigt för att tillhandahålla information som Sveriges Riksidrottsförbund behöver i sin verksamhet enligt första stycket 5.
11 § Personuppgifter som behandlas enligt 10 § får även behandlas om det är nödvändigt för att tillhandahålla information som behövs i brottsbekämpande verksamhet hos Polismyndigheten, Åklagarmyndigheten eller Tullverket.
Känsliga personuppgifter
12 § Inga andra personuppgifter som avses i artikel 9.1 i EU:s dataskyddsförordning (känsliga personuppgifter) än sådana som rör hälsa, genetiska uppgifter eller biometriska uppgifter för att entydigt identifiera en fysisk person får behandlas med stöd av artikel 9.2 g i samma förordning.
Uppgifter om lagöverträdelser
13 § Personuppgifter som avses i artikel 10 i EU:s dataskyddsförordning får behandlas endast för de ändamål som anges i 10 § första stycket 4 och 5.
Tillgång till personuppgifter
14 § Tillgången till personuppgifter ska begränsas till vad var och en behöver för att kunna fullgöra sina arbetsuppgifter.
Dataskyddsombud
15 § Sveriges Riksidrottsförbund samt andra organ som är etablerade
i Sverige och utför antidopningsarbete på uppdrag av en signatär av världsantidopningskoden ska utse dataskyddsombud för sin behandling av personuppgifter i idrottens antidopningsarbete.
Längsta tid som personuppgifter får behandlas
16 § Personuppgifter får inte behandlas under längre tid än vad som är nödvändigt med hänsyn till ändamålet med behandlingen.
17 § Personuppgifter som behandlas för ändamål som anges i 10 § första stycket 5 får inte behandlas längre än tre år efter utgången av det kalenderår då uppgifterna behandlades första gången. Om en ny uppgift beträffande samma persons anknytning till dopningsverksamhet behandlas före utgången av tidsfristen, får de personuppgifter som redan finns om personen fortsätta att behandlas så länge någon av uppgifterna får behandlas.
Denna lag träder i kraft den 1 juli 2020.
2. Vårt uppdrag och arbete
2.1. Vårt uppdrag
Utredningen har haft i uppdrag att utreda frågor om personuppgiftsbehandling i antidopningsarbetet inom idrotten. Syftet med uppdraget har varit att säkerställa att Europaparlamentets och rådets förordning (EU) 2016/679 av den 27 april 2016 om skydd för fysiska personer med avseende på behandling av personuppgifter och om det fria flödet av sådana uppgifter och om upphävande av direktiv 95/46/EG (allmän dataskyddsförordning), nedan kallad dataskyddsförordningen, följs. Vi har bl.a. haft i uppdrag att undersöka vilka konsekvenser dataskyddsförordningen medför i fråga om personuppgiftsbehandlingen vid antidopningsarbetet inom idrotten och att analysera behovet av särskilda bestämmelser för personuppgiftsbehandlingen i detta arbete. I uppdraget har ingått att överväga behovet av en särskild reglering för behandling av känsliga personuppgifter och personuppgifter som rör lagöverträdelser. I uppdraget har också ingått att bedöma om det finns behov av författningsreglerade bestämmelser om sekretess och tystnadsplikt samt att lämna sådana författningsförslag som är behövliga och lämpliga.
Direktiven för utredningen finns i bilaga 1 och 2 till betänkandet.
2.2. Vårt arbete
Vårt arbete påbörjades i augusti 2018. Utredningsarbetet har bedrivits på sedvanligt sätt med regelbundna sammanträden med gruppen av experter och sakkunniga. Vi har sammanträtt vid sammanlagt fem tillfällen.
Under utredningens gång har vi haft omfattande kontakter med Antidopingavdelningen inom Sveriges Riksidrottsförbund (RF). Den 12 november 2018 var utredaren och sekreteraren på besök hos RF
och den 22 november 2018 deltog sekreteraren i RF:s grundkurs i antidopning.
För att bredda utredningens kunskaper om antidopningsarbetet har utredaren och sekreteraren den 10 januari 2019 träffat professor Arne Ljungqvist vid stiftelsen Arne Ljungqvist Anti-Doping Foundation. Vi har vidare inhämtat synpunkter och upplysningar från andra aktörer som utför ett antidopningsarbete, såsom friskvårdsföretag och nätverket PRODIS. Synpunkter och upplysningar har även inhämtats från specialidrottsförbund som inte ingår i RF men som är anknutna till internationella specialidrottsförbund som är signatärer av världsantidopningskoden. Vi har också haft ett antal kontakter med Dopinglaboratoriet vid Karolinska Universitetssjukhuset samt med det i Sverige etablerade serviceföretaget International Doping Tests & Management AB IDTM, som utför antidopningsarbete på uppdrag av signatärer av världsantidopningskoden. Synpunkter från Datainspektionen och berörda aktörer har i övrigt inhämtats genom utredningens experter.
Utredningens arbete har bedrivits i nära samråd mellan den särskilde utredaren och expertgruppen. Den sakkunnige och experterna har i huvudsak ställt sig bakom utredningens överväganden och förslag. Betänkandet har därför skrivits i vi-form.
2.3. Betänkandets disposition
Våra författningsförslag finns i avsnitt 1.
I avsnitt 3 lämnar vi en övergripande beskrivning av det internationella och nationella antidopningsarbetet inom idrotten. Gällande rätt om integritetsskydd och om behandling av personuppgifter redovisar vi i avsnitt 4. I avsnitt 5 beskriver vi kortfattat den behandling av personuppgifter som i dag äger rum i antidopningsarbetet.
Våra överväganden och förslag finns i avsnitt 6–12. I avsnitt 6 redogör vi för vårt inledande ställningstagande om att en lag om dataskydd i idrottens antidopningsarbete bör införas. I avsnitt 7 behandlar vi lagens allmänna bestämmelser. I avsnitt 8 lämnas förslag till bestämmelser om tillåten behandling av personuppgifter. Avsnitt 9 behandlar enskildas rättigheter och avsnitt 10 innehåller föreskrifter om längsta tid för behandling av personuppgifter. I avsnitt 11 lämnas
förslag till ytterligare skyddsåtgärder för att skydda enskildas personliga integritet i antidopningsarbetet. I avsnitt 12 behandlar vi frågor om sekretess.
Konsekvenserna av våra förslag redovisar vi i avsnitt 13. Avsnitt 14 behandlar ikraftträdande. I avsnitt 15 finns författningskommentarer till de författningsförslag vi lämnar.
3. Antidopningsarbete inom idrotten
3.1. Vad är dopning?
Med dopning (även kallat doping)1 avses användning av olika artificiella metoder och medel, särskilt läkemedel och hormoner, för att höja prestationsförmågan hos människor och djur. Dopning är förbjuden enligt idrottens regler såväl nationellt som internationellt eftersom den innebär dels fusk, dels kan vara farlig för den som dopar sig. Därmed anses dopning strida mot två av idrottens grundsatser, nämligen ”fair play” och att idrott ska befrämja fysisk och mental hälsa. Ett annat argument för att dopning är förbjuden inom idrotten är att dopning skadar idrottsrörelsens trovärdighet. Dopning anses därför utgöra ett allvarligt hot mot idrotten som ungdomsorganisation och folkrörelse. Det kan vidare vara olagligt att dopa sig. Att hantera eller inta vissa dopningspreparat kan vara förbjudet enligt exempelvis lagen (1991:1969) om förbud mot vissa dopningsmedel.
Målet med idrottsrörelsens antidopningsarbete är att tillförsäkra alla idrottsutövare deras grundläggande rätt att delta i en idrott fri från dopning och på så sätt främja god hälsa och rättvisa för idrottsutövare.
1 I detta betänkande används det i Svenska Akademiens ordlista rekommenderade begreppet dopning.
3.2. Internationellt arbete mot dopning inom idrotten
3.2.1. Inledning
Arbetet mot dopning inleddes på allvar under 1960-talet. En första lista över vad som skulle anses vara dopning utarbetades under ledning av Internationella Olympiska Kommittén (IOK). Kontroller vid tävlingar började också användas mer systematiskt, bl.a. vid de olympiska spelen i Grenoble och Mexico City.
Eftersom dopning är ett internationellt problem har det under åren framkommit ett behov av internationella lösningar och bred samverkan. Ett tämligen komplext och omfattande samarbete har byggts upp mellan olika intressenter i antidopningsarbetet. Nedan följer en översiktlig beskrivning av de internationella aktörer som verkar mot dopning inom idrotten.
3.2.2. Världsantidopningsbyrån WADA
Världsantidopningsbyrån (World Anti-Doping Agency, WADA) är ett oberoende internationellt organ för bekämpning av dopning inom idrotten. WADA grundades 1999 som en stiftelse med säte i Lausanne, Schweiz. Den har sitt högkvarter i Montreal, Kanada. Styrelsen består av representanter för den olympiska rörelsen och de internationella specialidrottsförbunden samt av regeringsföreträdare. WADA arbetar med att utveckla och harmonisera regelverket för antidopningsarbetet för att utjämna skillnader mellan olika idrotter och länder. WADA ansvarar även för laboratoriernas utveckling och satsar mycket på forskning. Därutöver arbetar WADA med information och utbildning. WADA får hälften av sin finansiering från IOK och hälften från stater i olika världsdelar.
WADA har utarbetat ett regelverk kallat världsantidopningskoden (World Anti-Doping Code, WADC). Regelverket antogs 2003 och har därefter reviderats vid flera tillfällen. En ny version av koden är planerad att antas i november 2019, för att börja gälla den 1 januari 2021. Världsantidopningskoden var det första regelverk som omfattade såväl internationella idrottsförbund som nationella antidopningsorganisationer. Koden har undertecknats av hundratals internationella idrottsorganisationer och nationella antidopningsorganisationer. Sveriges Riksidrottsförbund, Sveriges Olympiska Kommitté samt
Sveriges Paralympiska Kommitté är svenska signatärer av världsantidopningskoden. Koden är i Sverige implementerad i Idrottens antidopingreglemente (se nedan).
Under världsantidopningskoden finns för närvarande sex internationella standarder, varav en är en lista över förbjudna substanser och metoder inom idrotten. Denna s.k. dopningslista uppdateras årligen. En annan internationell standard avser medicinsk dispens från dopningsreglerna. Ytterligare en standard avser skyddet av privatlivet och personuppgifter. Världsantidopningskoden och de tillhörande internationella standarderna är som utgångspunkt obligatoriska att följa för signatärerna av koden. WADA övervakar att alla signatärer följer regelverket.
WADA har en databas kallad ADAMS (Anti-Doping Administration & Management System) som används för att samordna antidopningsarbetet. Databasen finns i Kanada.
3.2.3. Europarådet
Europarådet är den äldsta och största politiska samarbets- och människorättsorganisationen i Europa. Europarådets konvention mot dopning upprättades den 16 november 1989. Konventionen är undertecknad av 52 länder. Sverige ratificerade konventionen 1990 och godkände 2002 ett tilläggsprotokoll till konventionen som uttalar ett stöd för WADA och staternas ambition att låta sina åtaganden utvärderas.
Konventionen mot dopning tillhandahåller gemensamma standarder och förpliktar konventionsländerna till vissa åtgärder i fråga om lagstiftning, finansiering, dopningskontroller och utbildning. Inom ramen för Europarådets konvention har betydande arbete utförts för att stödja stater i Europa i byggandet av antidopningssystem samt genom att bereda europeiska länders gemensamma synpunkter på WADA:s verksamhet och standarder.
3.2.4. Unesco
Förenta nationernas (FN:s) organisation för utbildning, vetenskap och kultur Unesco antog 2005 en internationell konvention mot dopning inom idrotten. Konventionen har utformats med modell efter Europarådets konvention mot dopning. Sverige ratificerade
Unescos konvention som första land 2005. Konventionen, som trädde i kraft 2007, har i dag ratificerats av 188 länder.
Syftet med konventionen är dels att tillse att regeringarna vidtar åtgärder mot dopning inom idrotten som komplement till de åtgärder som vidtas av idrottsrörelsen, dels att stödja det antidopningsarbete som genomförs av WADA. De stater som har godkänt konventionen förbinder sig till principerna i världsantidopningskoden samt till att stödja WADA:s verksamhet. Två av WADA beslutade internationella standarder är integrerade i konventionen. Dessa standarder är listan över förbjudna substanser och metoder samt standarden avseende medicinsk dispens från dopningsreglerna.
3.2.5. Europeiska unionen
Genom fördraget om Europeiska unionens funktionssätt (EUF-fördraget), även kallat Lissabonfördraget, har medlemsstaterna i Europeiska unionen gett EU:s institutioner ansvar för att arbeta med idrottsfrågor. EU samarbetar i antidopningsfrågor med Europarådet och WADA.
Europeiska kommissionen intar en aktiv roll i arbetet med antidopningsfrågor inom idrotten främst genom att bevaka att antidopningsreglerna inte står i konflikt med EU-rätten. En särskild fråga i detta sammanhang rör dataskydd och skyddet för den enskilde vid inhämtande och lagring av information om enskilda idrottsutövare. Kommissionen publicerade 2017 en utvärdering av antidopningslagarna och antidopningsarbetet i medlemsstaterna i ljuset av dataskyddsförordningen (Anti-Doping & Data Protection, An evaluation of the anti-doping laws and practices in the EU Member States in light om the General Data Protection Regulation).
3.2.6. Nordiskt samarbete
Riksidrottsförbunden och numera även de nationella antidopningsorganisationerna i de nordiska länderna har samarbetat aktivt kring antidopningsfrågor i tre årtionden. I samarbetet ingår ömsesidiga dopningskontroller samt gemensamma konferenser och undersökningar. Det nordiska samarbetet har varit särskilt betydande vid uppbyggnaden av kvalitetssystem för kontrollverksamheten. I det nordiska
samarbetet ingår även ett avtal som berättigar dopningstest av idrottare från avtalsländerna när och var som helst. Det första nordiska avtalet ingicks 1986.
3.2.7 iNADO
Institute for National Anti-Doping Organisations (iNADO) är ett samarbetsorgan för nationella antidopningsorganisationer och organisationernas personal. Dess målsättning är att påverka utvecklingen av likvärdigheten inom antidopningsarbetet genom att arrangera utbildning och seminarier samt genom informationsutbyte om verksamheten inom området. iNADO grundades 2012. Dess huvudkvarter ligger i Bonn, Tyskland.
3.2.8. Internationella specialidrottsförbund
De internationella specialidrottsförbunden ansvarar för verksamheten, utvecklingen och reglerna inom sin egen idrottsgren. De utför ett viktigt antidopningsarbete genom att förmedla information om antidopning till idrottare och idrottarnas närmaste krets. De internationella specialidrottsförbunden har i allmänhet egna antidopningsprogram som bedrivs i samarbete med nationella medlemsförbund, till exempel inom simning och friidrott. Programmen innehåller normalt såväl dopningskontroller som information och utbildning.
3.2.9. Den olympiska rörelsen
Den olympiska rörelsen främjar etisk idrott, rent spel och fred genom idrott. IOK och Internationella paralympiska kommittén (IPK) utför ett synligt internationellt antidopningsarbete vid sina stora evenemang. Vartannat år arrangerar de olympiska och paralympiska spel och ansvarar för antidopningsverksamheten för de idrottare som deltar i spelen. IOK och IPK har förbundit sig vid världsantidopningskoden.
I sammanhanget kan nämnas att det finns en förening för nationella olympiska kommittéer (Association of National Olympic Committees, ANOC) som består av nationella olympiska kommittéer
erkända av IOK. De nationella olympiska kommittéerna i Europa samlas även i en europeisk olympisk kommitté (European Olympic Committees, EOC).
3.2.10. Laboratorier för dopningskontroll
Dopningsprov inom idrotten analyseras i laboratorier som övervakas av och har auktoriserats av WADA. För närvarande finns det 33 sådana laboratorier i världen. Laboratoriernas enhetliga praxis säkerställer att dopningsproverna behandlas på samma sätt överallt i världen.
Ett ackrediterat laboratorium för dopningskontroll ansöker om ackreditering hos WADA varje år. WADA utvärderar laboratoriernas verksamhet och skickar bland annat anonyma testprover till dem för att kontrollera kvaliteten. I Sverige finns ett av WADA ackrediterat laboratorium, Dopinglaboratoriet vid Karolinska Universitetssjukhuset (se nedan).
3.2.11. Idrottens internationella skiljedomstol
Idrottens internationella skiljedomstol (The Court of Arbitration for Sport, CAS) är det högsta internationella organet för överklagande i frågor gällande idrott. Domstolen behandlar även traditionella skiljedomsfall som ska avgöras i en instans. CAS är oberoende av idrottsorganisationerna. Domstolen grundades 1984 och dess huvudkvarter ligger i Lausanne, Schweiz.
3.3. Antidopningsarbete i Sverige
3.3.1. Idrottens centralorganisationer
Inom svensk idrott finns två självständiga centralorganisationer, Sveriges Riksidrottsförbund (RF) och Sveriges Olympiska Kommitté (SOK).
RF är en ideell förening och samlande organisation för merparten av föreningsidrotten i Sverige. Förbundets primära uppgift är att stödja, företräda, utveckla och leda rörelsen i gemensamma frågor såväl nationellt som internationellt. Därtill ansvarar RF för den stra-
tegiska ledningen av idrottsrörelsen i frågor kopplade till bl.a. ekonomi, organisationsform och kommunikation. Idrottens antidopningsarbete bedrivs också inom RF som uppbär statliga bidrag för stor del av sin antidopningsverksamhet.
RF har 71 nationella specialidrottsförbund som medlemmar. Basen utgörs av ca 3,1 miljoner medlemmar, ca 650 000 ideella ledare och ca 20 000 lokala idrottsföreningar, anslutna till respektive specialidrottsförbund. Dessa lokalföreningar är på regional nivå anslutna till specialdistriktsidrottsförbund och distriktsidrottsförbund.
Kraven för medlemskap i RF har, efter det att detta betänkande gått i tryck, prövats vid den s.k. RF-stämman den 24–26 maj 2019. Dessförinnan krävdes för medlemskap i RF att det sökande förbundet
1. bedriver och administrerar idrott,
2. är en ideell förening,
3. bedriver verksamhet som står i samklang med idrottsrörelsens
ideologi,
4. inte bedriver verksamhet som är nära besläktad med redan befint-
ligt förbund i RF samt
5. har minst 25 medlemsföreningar med minst 1 500 individuella med-
lemmar.
Om det fanns särskilda skäl kunde beslut om medlemskap tas med avvikelse från villkoren i punkterna 4 och 5.
Svenska Parasportförbundet och Sveriges Paralympiska Kommitté (Parasport Sverige, tidigare Svenska Handikappidrottsförbundet och Sveriges Paralympiska Kommitté) är ett specialidrottsförbund som organiserar idrott för personer med rörelsehinder, synskada och utvecklingsstörning inom 15 olika idrotter. Förbundet leder också arbetet med Special Olympics, som är bredd- och motionsidrott för personer med utvecklingsstörning. Parasport Sverige ansvarar även för den paralympiska idrotten, som också inkluderar idrott organiserad inom andra specialidrottsförbund. Parasport Sverige är medlem i RF.
RF-stämman är Sveriges Riksidrottsförbunds högsta beslutande organ. Stämman hålls vartannat år och består av drygt 200 ombud från special- och distriktsidrottsförbunden. Vid RF-stämman har medlemsförbunden rösträtt, i princip i förhållande till sin storlek.
RF-stämman fattar beslut om grundläggande policyfrågor och idrottsrörelsens gemensamma verksamhetsinriktning. Vidare beslutar stämman om inträde av nya medlemsförbund samt utser ledamöter till bl.a. Riksidrottsstyrelsen och Dopingkommissionen.
SOK är den högsta instansen för olympiska frågor inom den svenska idrottsrörelsen. Kommittén består av de 41 svenska specialidrottsförbund vars idrotter ingår i det olympiska programmet och ytterligare 15 s.k. erkända specialidrottsförbund vars idrotter inte ingår i de olympiska spelen men som fått officiellt erkännande av IOK. Varje medlem har en röst vardera. SOK:s främsta uppgift är att förbereda och leda det svenska deltagandet i de olympiska spelen. SOK svarar också för uttagning av aktiva, elitidrottsutveckling, internationellt arbete och marknadsföring samt sponsring.
Såväl RF som SOK har undertecknat världsantidopningskoden. Eftersom alla de olympiska idrotterna finns i förbund vars svenska organisation är medlem i RF, omfattas dessa och deras idrottsutövare av RF:s stadgar.
3.3.2. Riksidrottsförbundets organisation för antidopningsverksamheten
RF ansvarar alltså för antidopningsarbetet i Sverige. Arbetet bedrivs genom kontrollverksamhet, juridisk verksamhet, information och utbildning, forskning och utveckling, nationell och internationell samverkan samt kvalitetssäkring. Verksamheten finansieras genom ett riktat statligt bidrag till RF. Arbetet leds och koordineras av Dopingkommissionen. En lång rad aktörer är dock inblandade i antidopningsarbetet, däribland den operativa Antidopingavdelningen, Dopingnämnden och Riksidrottsnämnden.
Lämpligheten i att antidopningsverksamheten i Sverige ligger inom RF har diskuterats under flera år. I betänkandet Antidopning Sverige – En ny väg för arbetet mot dopning (SOU 2011:10) föreslogs att delar av antidopningsverksamheten inom RF skulle flyttas utanför idrotten och att en fristående nationell antidopningsorganisation skulle bildas. Förslagen har ännu inte lett till någon lagstiftning.
Dopingkommissionen
RF:s antidopningsarbete leds och koordineras alltså av Dopingkommissionen. Kommissionen ska vara operativt oberoende andra organ inom RF, vilket är ett krav enligt världsantidopningskoden. Dopingkommissionen består av en ordförande, en vice ordförande och fyra övriga ledamöter, vilka väljs av RF-stämman.
Dopingkommissionen har det övergripande ansvaret för idrottens antidopningsverksamhet och ansvarar för att reglerna mot dopning efterlevs. Kommissionen ansvarar också för att utfärda anvisningar för antidopningsverksamheten och för att leda den operativa antidopningsverksamheten, kallad Svensk Antidoping. Dopingkommissionen får delegera sin beslutanderätt till särskilda organ, en ledamot eller annan enskild person.
Antidopingavdelningen
Det operativa arbetet i antidopningsfrågor utförs av Antidopingavdelningen inom RF:s kansli. Arbetet bedrivs under namnet Svensk Antidoping. Antidopingavdelningen rapporterar till och verkställer i första hand Dopingkommissionens beslut. Arbetet vid avdelningen kan delas in i fem olika delar; dispenshandläggning, vistelserapportering, dopningskontroller, resultathantering samt underrättelsearbete. I avsnitt 5 finns en närmare redogörelse för det arbete som utförs av RF:s antidopingavdelning.
Dopingkommissionens dispenskommitté
Dopingkommissionen har utsett en Dispenskommitté. Den har till uppgift att besluta över ansökningar om ordinär eller retroaktiv dispens från förbudet att inta läkemedel som innehåller dopningsklassade substanser. Dispenskommittén består av tre ledamöter och suppleanter.
Dopingkommissionens medicinska råd
Det medicinska rådet är ett expertorgan bestående av fem medlemmar som bistår Dopingkommissionen och Antidopingavdelningen med faktakunskap i medicinska frågor. Rådet utses av Dopingkommissionen. Det medicinska rådet ska följa den medicinska utvecklingen på dopnings- och antidopningsområdet och vid behov lyfta frågor till Dopingkommissionen för kännedom och eventuella åtgärder. Rådet ska även bidra till att sprida medicinsk sakkunskap inom området till idrottsrörelsen och medicinskt sakkunniga samt till media och andra målgrupper efter behov. Rådet behandlar inte personuppgifter i antidopningsarbetet.
Dopningskontrollfunktionärer
Det finns ca 70 av RF legitimerade dopningskontrollansvariga funktionärer som leder utförandet av dopningskontroller. Därutöver finns ca 70 biträden som assisterar vid dopningskontroller. Endast legitimerade funktionärer får utföra dopningskontroller på uppdrag av RF. Dopningskontrollfunktionärerna har uppdragsavtal med RF och är således inte anställda av förbundet.
Specialidrottsförbunden
Specialidrottsförbunden, som är egna ideella föreningar, upprättar egna antidopningsprogram enligt RF:s stadgar. Programmen, som anpassas till den egna idrotten, ska vägleda specialdistriktsidrottsförbund och föreningar i antidopningsarbetet.
Specialidrottsförbunden väljer vidare ut vilka idrottare som ska ingå i den nationella dopningskontrollpoolen och ser till att RF:s Antidopingavdelning får aktuella uppgifter om prioriterade idrottsutövare och föreningar. Specialidrottsförbunden rapporterar också om gemensamma läger, samlingar och förändringar i det nationella tävlingsprogrammet.
Distriktsidrottsförbunden
Distriktsidrottsförbunden, som är egna ideella föreningar, stödjer specialdistriktsidrottsförbund och föreningar med information och rådgivning. Distriktsidrottsförbunden bedriver även opinionsbildning och samverkar lokalt och regionalt med olika organisationer och myndigheter. Vidare planerar distriktsidrottsförbunden förebyggande dopningskontroller på lägre tävlingsnivå och bland motionärer. De behandlar dock endast i begränsad omfattning personuppgifter i antidopningsarbetet.
Dopingnämnden
Dopingnämnden är ett särskilt bestraffningsorgan för ärenden som gäller dopningsförseelser. Det fungerar som första instans för förseelser mot Idrottens antidopingreglemente. Nämnden består av ordförande, vice ordförande och fyra ledamöter som väljs av RF-stämman.
Riksidrottsnämnden
Riksidrottsnämnden är RF:s högsta juridiska instans. Den består av ordförande, vice ordförande och sex övriga ledamöter som väljs av RF-stämman. Dopingnämndens beslut i ett ärende kan överklagas till Riksidrottsnämnden av den som är föremål för beslutet samt av Dopingkommissionen. Riksidrottsnämndens beslut kan normalt inte överklagas. När det gäller dopningsbestraffningar kan dock idrottsutövare på internationell tävlingsnivå i vissa fall överklaga ytterligare en nivå, till den tidigare nämnda internationella skiljedomstolen CAS.
Riksidrottsstyrelsen
Riksidrottsstyrelsen är, då RF-stämma inte är samlad, RF:s beslutande organ. Styrelsen består av ordförande och tio ledamöter. Riksidrottsstyrelsens primära uppgift är att verka för att idrottsrörelsens verksamhetsidé efterlevs, verkställa RF-stämmans beslut samt handha och ansvara för RF:s medel.
Riksidrottsstyrelsen fastställer formellt föreskrifter som är kopplade till Idrottens antidopingreglemente. Styrelsen har rätt att mellan RF-stämmorna besluta om ändring av reglementet efter av WADA fastställda ändringar i världsantidopningskoden. Sådan ändring ska underställas nästkommande RF-stämma för godkännande.
Dopinglaboratoriet vid Karolinska Universitetssjukhuset
Dopinglaboratoriet i Huddinge är ett av WADA ackrediterat laboratorium. Verksamheten kontrolleras varje år av WADA genom en omfattande testkörning (reackreditering) som ska vara godkänd för fortsatt status som officiellt dopningslaboratorium.
Laboratoriet har varit ackrediterat sedan 1985. RF har ett avtal med laboratoriet om analyser av dopningsprov inom idrotten. Varje år analyserar laboratoriet 3 000 till 4 000 dopningsprover åt svensk idrott. Därutöver analyserar laboratoriet dopningsprover åt internationella specialidrottsförbund och andra länders nationella antidopningsorganisationer.
3.3.3. Regelverk för antidopningsarbetet
Antidopningsverksamheten inom RF regleras av RF:s stadgar, Idrottens antidopingreglemente och Föreskrifter för nationell antidopningsverksamhet.
RF:s stadgar kallas ibland för idrottens grundlag. Stadgarna är
bindande för alla RF:s medlemsorganisationer. Antidopningsverksamheten behandlas främst i 13 kap. I 13 kap. 1 § anges att RF är svensk idrotts nationella antidopningsorganisation (NADO) i enlighet med världsantidopningskoden. Det anges vidare att antidopningsverksamheten bedrivs i alla organisationsled inom RF samt leds och koordineras av Dopingkommissionen. Av 2 § framgår att RF:s regler mot dopning har till syfte att tillvarata idrottsutövarnas grundläggande rätt att delta i en dopningsfri idrott och på så sätt främja god hälsa och rättvisa för idrottsutövare. Kapitlet innehåller vidare bestämmelser om Dopingkommissionen, Dopingnämnden, jäv och sekretess i antidopningsverksamheten. I 14 kap. finns bestämmelser om bestraffningsärenden. För brott mot RF:s regler mot dopning gäller i stället vad som föreskrivs i Idrottens antidopingreglemente.
Närmare bestämmelser om antidopningsarbetet inom RF finns i
Idrottens antidopingreglemente. Detta reglemente har samma dignitet
som RF:s stadgar och har fastställts av RF-stämman. Reglementet innehåller främst en översättning av bestämmelserna i världsantidopningskoden. Varje specialidrottsförbund, medlemsförening och dess medlemmar är genom sitt medlemskap i RF bundet av reglementet. Medlemmar anses genom sitt medlemskap ha godkänt att omfattas av reglementet. Även ackreditering eller deltagande inom berörd idrott kan innebära att man av RF anses ha godkänt att omfattas av reglementet (se artikel 1.3.3). Reglementet ska också implementeras direkt eller genom hänvisning i reglerna hos varje specialidrottsförbund som är medlem i RF (se artikel 16.1). Idrottsutövare som gör sig skyldig till dopning, eller den som hjälper en idrottsutövare att dopa sig, kan enligt reglementet bestraffas med upp till fyra års avstängning. Vid upprepade dopningsförseelser kan livstids avstängning utdömas (se artikel 10).
Riksidrottsstyrelsen inom RF har utfärdat Föreskrifter för natio-
nell antidopningsverksamhet. Föreskrifterna utgör ett komplement
till Idrottens antidopingreglemente och WADA:s internationella standarder.
3.3.4. Antidopningsarbete utanför RF
Verksamhet utanför RF
Alla idrottsorganisationer som är etablerade i Sverige är inte medlemmar i RF. En idrottsverksamhet som inte är ansluten till RF omfattas inte av RF:s antidopningsarbete eller annan statligt understödd antidopningsverksamhet. Så är fallet även om idrotten verkar under ett internationellt specialidrottsförbund som är signatär av världsantidopningskoden och därmed har förbundit sig att arbeta mot dopning bl.a. genom genomförande av dopningskontroller. Exempelvis är Svenska Bodybuilding- och Fitnessförbundet ett nationsförbund under Internationella bodybuilding- och fitnessförbundet. Det internationella förbundet har undertecknat världsantidopningskoden. Det svenska förbundet är dock inte medlem i RF och medlemmarna dopningskontrolleras således inte av RF.
Kriterier, villkor och anslutningsformer för medlemskap i RF ska, efter det att detta betänkande har gått i tryck, prövas vid RF-stämman den 24–26 maj 2019. Eventuella nya krav för medlemskap ska tillämpas från och med stämman. Avsikten är att ansökningar om medlemskap i RF från Friskis och Svettis Riks, Svenska Bodybuilding- och Fitnessförbundet, Svenska Bridgeförbundet, Svenska Cheerleadingförbundet, Svenska E-sportförbundet, Svenska Förbundet för funktionell fitness, Svenska Islandshästförbundet, Svenska Kanotslalomförbundet, Svenska Lacrosseförbundet, Svenska Padelförbundet och Svenska Surfförbundet ska prövas vid stämman.
Gym- och träningsanläggningar
Arbete mot dopning kan även pågå utanför den traditionella idrotten. Ett sådant arbete kan beröra privata, föreningsdrivna eller kommunala gym- och träningsanläggningar och sker främst i förebyggande syfte. Vid misstankar om dopningsbrott kontaktas Polismyndigheten. Egna dopningskontroller vid gym- och träningsanläggningar förekommer inte enligt våra undersökningar.
Kommersiellt antidopningsarbete
Det finns en kommersiell marknad där privata aktörer gör främst dopningskontroller men även policyarbete på uppdrag av idrottsorganisationer och nationella antidopningsorganisationer. Ett exempel på en sådan aktör är International Doping Tests Management AB IDTM som är ett svenskt serviceföretag som bl.a. utför dopningskontroller åt internationella idrottsorganisationer och handlägger dispensansökningar. Serviceföretagen är inte signatärer av världsantidopningskoden men följer koden i sitt arbete.
Folkhälsomyndigheten
Folkhälsomyndigheten har till uppgift att ta fram och sprida vetenskapligt grundad kunskap som främjar hälsa och förebygger sjukdomar och skador. I samverkan med andra aktörer tillhandahåller myndigheten kunskapsunderlag och metodstöd samt följer upp och
utvärderar olika metoder och insatser. I uppdraget från regeringen ingår även att följa hälsoläget i befolkningen och de faktorer som påverkar detta. Myndigheten fäster särskilt stor vikt vid de grupper som löper störst risk att drabbas av ohälsa. Viktiga samarbetspartner är andra statliga myndigheter, regioner, landsting och kommuner. Folkhälsomyndighetens verksamhet ska bl.a. bidra till statens övergripande mål om ett samhälle fritt från dopning. Detta innebär bl.a. att myndigheten ska ansvara för en samlad verksamhetsrapportering på området och för att utveckla och förvalta de uppföljningssystem som behövs. Arbetet ska utgöra ett stöd till strategisk planering och förebyggande arbete på nationell, regional och lokal nivå.
Myndigheten tillhandahåller en förteckning över vad som kan anses vara dopningsmedel enligt lagen om förbud mot vissa dopningsmedel. Förteckningen fastställs av en för ändamålet utsedd expertgrupp och publiceras på myndighetens webbsida.
Folkhälsomyndigheten är sammankallande för den Centrala samverkansgruppen för dopningsfrågor (CSG). CSG är ett informellt forum på nationell nivå som fungerar som en viktig informationskanal för nyckelpersoner på dopningsområdet. Syftet med CSG är att utbyta kunskap, information och erfarenhet med inriktning på dopning i samhället.
Folkhälsomyndigheten behandlar inte personuppgifter i sin kärnverksamhet kopplad till antidopningsarbetet.
PRODIS
Prevention av dopning i Sverige (PRODIS) är ett nationellt nätverk som arbetar mot dopning utanför idrotten. I PRODIS ingår representanter från träningsanläggningar, idrottsförbund samt preventionssamordnare från kommuner och landsting. Finansieringen sker med statliga medel via Folkhälsomyndigheten. PRODIS använder sig av metoden ”100% Ren Hårdträning” som bygger på utbildning, diplomering och samverkan mellan gym, polis, idrott och kommun. Metoden används i dag i över 100 kommuner och på omkring 600 träningsanläggningar. Nätverket behandlar inte personuppgifter i sin kärnverksamhet.
Stiftelsen Arne Ljungqvist Anti-Doping Foundation
Stiftelsen Arne Ljungqvist Anti-Doping Foundation är en icke-vinstdrivande organisation som startades 2011 av professor Arne Ljungqvist. Det främsta syftet med stiftelsen är att höja kunskapen om dopning inom idrotten och samhället i stort. Stiftelsens ändamål är att främja vetenskaplig forskning på antidopningsområdet och att främja utbildning för ren hälsa och ren sport. Stiftelsen driver flera förebyggande informationsprojekt för att höja kunskapsnivån kring dopningsanvändningen inom idrotten och samhället, däribland projektet ”Pure for Sure”. Stiftelsen behandlar inte personuppgifter i sin kärnverksamhet.
4. Bestämmelser om behandling av personuppgifter
4.1. Inledning
För att idrottens antidopningsarbete ska kunna utföras är det nödvändigt att personuppgifter behandlas. All behandling av personuppgifter medför dock en risk för intrång i den enskildes personliga integritet.
Svensk rätt innehåller ingen allmängiltig definition av begreppet personlig integritet, men det har beskrivits som att kränkningar av den personliga integriteten utgör intrång i den fredade sfär som den enskilde bör vara tillförsäkrad och där intrång bör kunna avvisas. Det har vidare angetts att det inte är nödvändigt att formulera en allmängiltig definition av begreppet personlig integritet för att kunna bedöma vilka intressen som har ett sådant skyddsvärde att de bör omfattas av ett särskilt starkt skydd mot omotiverade ingrepp (se t.ex. prop. 2009/10:80 s. 175).
För att skydda den personliga integriteten behövs bestämmelser som begränsar hur och på vilket sätt personuppgifter får behandlas. Nedan följer en kort redogörelse för gällande bestämmelser om integritets- och dataskydd.
4.2. Vissa internationella överenskommelser
4.2.1. FN:s konventioner
FN:s allmänna förklaring om de mänskliga rättigheterna antogs 1948 och innehåller i artikel 12 ett skydd för den personliga integriteten. I artikeln anges att ingen får utsättas för godtyckligt ingripande i fråga om privatliv, familj, hem eller korrespondens och inte heller
på sin heder eller sitt anseende. Var och en har rätt till lagens skydd mot sådana ingripanden och angrepp. Av artikel 29 framgår att en person endast får underkastas sådana inskränkningar som har fastställts i lag och enbart i syfte att trygga tillbörlig hänsyn till och respekt för andras fri- och rättigheter samt för att tillgodose ett demokratiskt samhälles berättigade krav på moral, allmän ordning och allmän välfärd.
Motsvarande skydd för den personliga integriteten finns i FN:s konvention om medborgerliga och politiska rättigheter, som antogs 1966. Riktlinjer om datoriserade register med personuppgifter antogs av FN:s generalförsamling 1990. I riktlinjerna anges bl.a. att personuppgifter inte får samlas in eller behandlas i strid med FN:s stadga.
4.2.2. Europakonventionen
Europeiska konventionen om skydd för de mänskliga rättigheterna och de grundläggande friheterna (Europakonventionen) är inkorporerad i svensk rätt och gäller som svensk lag (se lagen [1994:1219] om den europeiska konventionen angående skydd för de mänskliga rättigheterna och de grundläggande friheterna). Enligt 2 kap. 19 § regeringsformen får lag eller annan föreskrift inte meddelas i strid med Sveriges åtaganden enligt konventionen.
Genom att underteckna Europakonventionen har staten garanterat var och en, som befinner sig under dess jurisdiktion, de fri- och rättigheter som anges i konventionen. Enligt artikel 8 i konventionen har var och en rätt till respekt för sitt privat- och familjeliv, sitt hem och sin korrespondens. Offentlig myndighet får inte inskränka denna rättighet annat än med stöd av lag och om det i ett demokratiskt samhälle är nödvändigt med hänsyn till vissa närmare angivna ändamål. Konventionsbestämmelsen ger enligt Europadomstolens praxis upphov inte bara till en negativ förpliktelse för det allmänna att avhålla sig från omotiverade inskränkningar i denna rättighet utan även en positiv skyldighet för det allmänna att se till att enskilda även i förhållande till andra enskilda tillförsäkras en rätt till skydd för privat- och familjeliv. Ett sådant skydd tillförsäkras bl.a. genom kriminalisering av olika åtgärder som innefattar intrång i den personliga integriteten.
4.2.3. Dataskyddskonventionen
De dataskyddsregler som antagits inom ramen för Europarådet finns i första hand i Europarådets konvention till skydd för enskilda vid automatisk behandling av personuppgifter (den s.k. dataskyddskonventionen). Konventionen trädde i kraft i oktober 1985. Sverige har, liksom övriga EU-medlemsstater, anslutit sig till konventionen.
Dataskyddskonventionen innehåller principer för dataskydd som de konventionsanslutna staterna måste iaktta i sin nationella lagstiftning. Syftet med konventionen är att säkerställa respekten för grundläggande fri- och rättigheter, särskilt den enskildes rätt till personlig integritet i samband med automatiserad behandling av personuppgifter. Konventionen kompletteras av ett antal icke bindande rekommendationer om hur personuppgifter bör behandlas inom olika områden.
I syfte att modernisera konventionen antogs i maj 2018 ett ändringsprotokoll till konventionen. Ändringsprotokollet har ännu inte trätt i kraft.
4.2.4. EU-stadgan om de grundläggande rättigheterna
Europeiska unionens stadga om de grundläggande rättigheterna är rättsligt bindande för EU-institutionerna och medlemsstaterna när dessa tillämpar unionsrätten. I artikel 7 i stadgan slås fast att var och en har rätt till respekt för sitt privatliv och familjeliv, sin bostad och sin korrespondens. I artikel 8 föreskrivs att var och en har rätt till skydd av de personuppgifter som rör honom eller henne. Sådana uppgifter ska behandlas lagenligt för bestämda ändamål och på grundval av den berörda personens samtycke eller någon annan legitim och lagenlig grund. Var och en har rätt att få tillgång till insamlade uppgifter som rör honom eller henne och att få rättelse av dem.
I artikel 52 i stadgan anges i vilken utsträckning inskränkningar får göras i de rättigheter som erkänns i stadgan. Utgångspunkten är att sådana inskränkningar endast får göras i lag och ska vara förenliga med det väsentliga innehållet i rättigheterna. Begränsningar får endast göras om de är nödvändiga och svarar mot ett allmänt samhällsintresse som erkänns av unionen eller behovet av skydd för andra människors rättigheter och friheter.
4.3. Närmare om EU-rätten
4.3.1. Dataskyddsförordningen
Den allmänna regleringen om behandling av personuppgifter inom EU fanns tidigare i Europaparlamentets och rådets direktiv 95/46/EG av den 24 oktober 1995 om skydd för enskilda personer med avseende på behandling av personuppgifter och om det fria flödet av sådana uppgifter. Direktivet genomfördes i Sverige i huvudsak genom personuppgiftslagen (1998:204).
EU har antagit ett nytt regelverk för behandling av personuppgifter. Det huvudsakliga syftet med de nya EU-rättsliga bestämmelserna är att ytterligare harmonisera och effektivisera skyddet för personuppgifter för att förbättra den inre marknadens funktion och öka enskildas kontroll över sina personuppgifter.
Den 27 april 2016 antog Europaparlamentet och rådet förordning (EU) 2016/679 om skydd för fysiska personer med avseende på behandling av personuppgifter och om det fria flödet av sådana uppgifter och om upphävande av direktiv 95/46/EG (allmän dataskyddsförordning), i det följande dataskyddsförordningen. Denna förordning gäller inte för behandlingen av personuppgifter i myndigheters brottsförebyggande eller brottsutredande verksamhet. För den brottsbekämpande sektorn har i stället Europaparlamentet och rådet antagit direktiv (EU) 2016/680 av den 27 april 2016 om skydd för fysiska personer med avseende på behöriga myndigheters behandling av personuppgifter för att förebygga, förhindra, utreda, avslöja eller lagföra brott eller verkställa straffrättsliga påföljder, och det fria flödet av sådana uppgifter och om upphävande av rådets rambeslut 2008/977/RIF (nedan dataskyddsdirektivet).
Dataskyddsförordningen är tillämplig i medlemsstaterna sedan den 25 maj 2018. Den utgör numera den generella regleringen för personuppgiftsbehandling inom EU. Förordningen ska tillämpas av företag, föreningar, organisationer, myndigheter och privatpersoner. Förordningen är direkt tillämplig i medlemsstaterna men både förutsätter och möjliggör kompletterande nationella bestämmelser av olika slag.
Dataskyddsförordningen ska tillämpas på sådan behandling av personuppgifter som helt eller delvis företas på automatisk väg samt på annan behandling än automatisk av personuppgifter som ingår i eller kommer att ingå i ett register (artikel 2). Från förordningens
tillämpningsområde undantas bl.a. behandling av personuppgifter som utgör ett led i en verksamhet som inte omfattas av unionsrätten, liksom personuppgiftsbehandling av rent privat natur. För att dataskyddsförordningen ska vara tillämplig krävs att de personuppgiftsansvariga är etablerade i EU/EES eller att de behandlar personuppgifter i samband med att de erbjuder varor och tjänster till personer i EU/EES eller behandlar personuppgifter i samband med övervakning av människors beteende inom EU/EES (artikel 3). Med personuppgifter avses i förordningen varje upplysning som avser en identifierad eller identifierbar fysisk person (artikel 4).
Dataskyddsförordningen innehåller ett antal principer som gäller och ska tillämpas vid all behandling av personuppgifter. Principerna framgår av artikel 5 i dataskyddsförordningen. För det första ska uppgifterna behandlas på ett lagligt, korrekt och öppet sätt i förhållande till den enskilde (artikel 5.1 a). Uppgifterna ska vidare samlas in för särskilda, uttryckligt angivna och berättigade ändamål och inte senare behandlas på ett sätt som är oförenligt med dessa ändamål (5.1 b). Uppgifterna ska också vara adekvata, relevanta och inte för omfattande i förhållande till de ändamål för vilka de behandlas (5.1 c). Uppgifterna ska dessutom vara riktiga och om nödvändigt uppdaterade. Alla rimliga åtgärder måste vidtas för att säkerställa att personuppgifter som är felaktiga i förhållande till de ändamål för vilka de behandlas raderas eller rättas utan dröjsmål (5.1 d). Personuppgifter får inte förvaras i en form som möjliggör identifiering av den registrerade under en längre tid än vad som är nödvändigt för de ändamål för vilka uppgifterna behandlas (5.1 e). Slutligen ska uppgifterna behandlas på ett sätt som säkerställer lämplig säkerhet för personuppgifterna (5.1 f).
Det anges i förordningen att behandling av personuppgifter endast är laglig om och i den mån som åtminstone ett av ett antal preciserade villkor är uppfyllt. Ett sådant villkor är att den enskilde har lämnat sitt samtycke till att personuppgifterna behandlas (artikel 6.1 a), ett annat att behandlingen är nödvändig för att fullgöra en rättslig förpliktelse (6.1 c), och ytterligare ett att behandlingen är nödvändig för att utföra en uppgift av allmänt intresse (6.1 e).
Behandling av känsliga personuppgifter (i förordningen benämnda särskilda kategorier av personuppgifter, se artikel 9), är förbjuden. Från detta förbud finns i förordningen omfattande undantag, t.ex.
vid den registrerades samtycke eller om behandlingen är nödvändig av hänsyn till ett viktigt allmänt intresse.
Förordningen reglerar i övrigt bl.a. den registrerades rättigheter, personuppgiftsansvar, tillsyn över personuppgiftsbehandling, förutsättningar för överföring av personuppgifter till tredjeland och sanktioner mot ansvariga som inte lever upp till förordningens krav.
Likheterna mellan dataskyddsförordningen och det tidigare gällande dataskyddsdirektivet från 1995 (och därigenom personuppgiftslagen) är många. I dataskyddsförordningen har dock den registrerades rättigheter stärkts för att ge den registrerade ökad kontroll över sina personuppgifter. Exempelvis har kraven på information till den registrerade ökat. Rätten för registrerade att få åtkomst till sina personuppgifter har också stärkts.
4.3.2. Riktlinjer för tolkning av EU-rätten
Artikel 29-arbetsgruppen för skydd av personuppgifter var tidigare en oberoende europeisk arbetsgrupp som behandlade frågor om integritetsskydd och skydd av personuppgifter. Arbetsgruppen utfärdade bl.a. riktlinjer för hur det tidigare dataskyddsdirektivet skulle tolkas. Artikel 29-gruppen ersattes den 25 maj 2018 av Europeiska dataskyddsstyrelsen, som är ett EU-organ som ansvarar för tillämpningen av dataskyddsförordningen. Europeiska dataskyddsstyrelsen har bl.a. till uppgift att se till att dataskyddslagstiftningen tillämpas konsekvent i hela EU. Den utfärdar också riktlinjer och rekommendationer i olika dataskyddsfrågor samt har godkänt riktlinjer som utfärdats av Artikel 29-gruppen.
4.4. Nationell reglering
4.4.1. Regeringsformen
I regeringsformen finns grundläggande bestämmelser till skydd för den personliga integriteten. Redan i målsättningsstadgandet i 1 kap. 2 § regeringsformen slås fast att den offentliga makten ska utövas med respekt bl.a. för den enskilda människans frihet samt att det allmänna ska värna den enskildes privatliv och familjeliv.
Av 2 kap. 6 § andra stycket följer att var och en gentemot det allmänna är skyddad mot betydande intrång i den personliga integriteten, om det sker utan samtycke och innebär övervakning eller kartläggning av den enskildes personliga förhållanden. Regleringen kan inte begränsas annat än genom lag och endast för att tillgodose ändamål som är godtagbara i ett demokratiskt samhälle (se 2 kap. 20 och 21 §§). Regleringen i 2 kap. 6 § gäller i förhållandet mellan det allmänna och medborgarna, inte medborgarna emellan.
4.4.2. Reglering gällande personuppgiftsbehandling
EU:s dataskyddsförordning började alltså tillämpas den 25 maj 2018. Samma dag trädde lagen (2018:218) med kompletterande bestämmelser till EU:s dataskyddsförordning, (nedan kallad dataskyddslagen) i kraft. I lagen finns kompletterande bestämmelser till dataskyddsförordningen. Den innehåller bl.a. bestämmelser om att dataskyddsförordningen med vissa undantag ska gälla utanför sitt egentliga tillämpningsområde, exempelvis i verksamhet som rör nationell säkerhet. Lagen är subsidiär i förhållande till andra lagar och förordningar och ska inte heller tillämpas i den utsträckning det skulle strida mot grundlagsbestämmelserna om tryck- och yttrandefrihet. Genom dataskyddslagen upphävdes den tidigare gällande personuppgiftslagen. Dataskyddslagen kompletteras av förordningen (2018:219) med kompletterande bestämmelser till EU:s dataskyddsförordning.
Den 1 augusti 2018 trädde brottsdatalagen (2018:1177) i kraft. Lagen är en ramlag som i huvudsak genomför EU:s nya dataskyddsdirektiv. Brottsdatalagen är generellt tillämplig inom det område som direktivet reglerar. Lagen är även subsidiär i förhållande till annan lag eller förordning, vilket möjliggör avvikande bestämmelser i andra s.k. registerförfattningar. Brottsdatalagen gäller vid behandling av personuppgifter som utförs av myndigheter som har till uppgift att förebygga, förhindra eller upptäcka brottslig verksamhet, utreda eller lagföra brott eller verkställa straffrättsliga påföljder. Lagen gäller också för behandling av personuppgifter vid upprätthållande av allmän ordning och säkerhet.
Viktiga bestämmelser om integritetsskydd finns dessutom i andra registerförfattningar, vars huvudsakliga syfte är att reglera hanteringen av register eller andra samlingar av personuppgifter vid myndigheter.
Som exempel kan nämnas lagen (1998:543) om hälsodataregister, lagen (2001:454) om behandling av personuppgifter inom socialtjänsten och patientdatalagen (2008:355). Arbete har skett och pågår för att anpassa de svenska registerförfattningarna till EU:s dataskyddsreform.
4.5. Personuppgiftsbehandling enligt idrottens regelverk
4.5.1. WADA:s standard
Världsantidopningsbyrån WADA har i enlighet med världsantidopningskoden utfärdat en internationell standard för skydd av privatlivet och personuppgifter (International Standard for the Protection of Privacy and Personal Information). Den huvudsakliga avsikten med standarden är att säkerställa att organisationer och personer som är engagerade i antidopningsarbete inom idrotten tillämpar tillbörligt, tillräckligt och effektivt skydd för den personliga integriteten vid genomförandet av skyldigheterna enligt världsantidopningskoden. Standarden är tvingande utom i de fall den bryter mot inhemsk lagstiftning.
En reviderad version av standarden trädde i kraft den 1 juni 2018. Syftet med revisionen var att tillse att standarden står i överensstämmelse med EU:s dataskyddsförordning.
4.5.2. Riksidrottsförbundets regelverk
Som tidigare framkommit finns närmare bestämmelser för antidopningsverksamheten inom RF i Idrottens antidopingreglemente. Varje specialidrottsförbund, medlemsförening och dess medlemmar är genom sitt medlemskap i RF bundet av reglementet. Medlemmar anses genom sitt medlemskap ha godkänt att omfattas av reglementet. Även ackreditering eller deltagande inom berörd idrott kan innebära att man anses ha godkänt att omfattas av reglementet (se artikel 1.3.3).
Dataintegritet behandlas i artikel 14.6 i reglementet. Där framgår att Dopingkommissionen får samla in, förvara, behandla och offentliggöra personuppgifter med anknytning till idrottsutövare och andra fysiska personer, föreningar, organisationer eller annan enhet när det
är nödvändigt och lämpligt för att utföra antidopningsaktiviteter enligt världsantidopningskoden, dess standarder och aktuellt reglemente (artikel 14.6.1). Där framgår vidare att idrottsutövare eller idrottsutövares biträde som lämnat information, inklusive personuppgift, till annan i enlighet med aktuellt reglemente, anses ha samtyckt enligt gällande personuppgiftslag till att sådan information får samlas in, behandlas, offentliggöras och användas i syfte att implementera reglementet (artikel 14.6.2).
RF upprättade i februari 2018 en uppförandekod för behandling av personuppgifter inom idrottsrörelsen. Syftet med uppförandekoden är att säkerställa en säker och lagenlig hantering av personuppgifter i enlighet med dataskyddsförordningen. Uppförandekoden gäller för RF samt de föreningar och förbund som är anknutna till RF som ett komplement till dataskyddsförordningen och dataskyddslagen. I uppförandekoden anges att behandling av personuppgifter inom ramen för RF:s och medlemsförbundens antidopningsarbete kan stödjas på uppgift av allmänt intresse samt rättslig förpliktelse som lagliga grunder enligt dataskyddsförordningen. Det framgår vidare att den behandling av känsliga personuppgifter som utförs inom ramen för antidopningsarbetet är en uppgift av sådant viktigt allmänt intresse som utgör ett giltigt undantag från förordningens förbud mot att behandla känsliga personuppgifter.
RF har vidare antagit en integritetspolicy för behandling av personuppgifter. Policyn beskriver hur RF samlar in, använder, lagrar och delar personuppgifter. RF har även en gallringspolicy som gäller för antidopningsarbetet.
4.6. Kort om regleringen i andra länder
I övriga EU-länder bedrivs antidopningsarbetet till största del av organ som är fristående från idrotten, främst i form av en statlig myndighet eller en stiftelse. Det är också vanligen så att dessa organ har författningsstöd för sitt arbete och därmed en rättslig grund enligt artikel 6.1 c eller e i dataskyddsförordningen för sin behandling av personuppgifter i antidopningsarbetet. Detaljeringsgraden i författningsregleringarna skiljer sig dock stort mellan de olika EUländerna, så även när det gäller bestämmelser om behandling av personuppgifter (se EU-kommissionens utvärdering Anti-Doping &
Data Protection, An evaluation of the anti-doping laws and practices in the EU Member States in light of the General Data Protection Regulation, s. 52 ff.).
I Danmark bedrivs antidopningsarbetet av en offentlig självägande institution kallad Antidoping Danmark, som hör hemma under Kulturministeriet. Antidopningsarbetet har stöd i författning. Det finns även bestämmelser om behandlingen av personuppgifter i antidopningsarbetet.
I Finland bedrivs antidopningsarbetet av en registrerad förening som i antidopningssammanhang benämns Finlands Antidopingkommitté (ADK, även kallat FINADA). Föreningen består av fyra medlemmar; de två olympiska kommittéerna, Finlands idrottsläkareförening samt finska staten. Finland har, liksom Sverige, ingen lagstiftning om dopning inom idrotten. I den finska dataskyddslagen (5.12.2018/1050) anges dock i vilka fall den rättsliga grunden allmänt intresse (artikel 6.1 e i dataskyddsförordningen) kan användas vid behandling av personuppgifter. Av lagen framgår också att känsliga personuppgifter om hälsa och genetiska uppgifter får behandlas i antidopningsarbetet.
Antidopningsarbetet i Norge utförs av en fristående stiftelse benämnd Antidoping Norge. Stiftelsen grundades gemensamt av Norges idrottsförbund, de olympiska kommittéerna och staten. Inte heller Norge har någon lagstiftning om antidopningsverksamheten inom idrotten. Det pågår dock för närvarande ett lagstiftningsarbete i syfte att bl.a. införa en rättslig grund för behandlingen av personuppgifter i antidopningsarbetet. Ambitionen är att ett lagförslag ska läggas fram under 2019.
I Nederländerna bildades den 1 januari 2019 en statlig myndighet med ansvar för antidopningsarbetet inom idrotten. Samtidigt infördes en tillhörande lagstiftning som innehåller bestämmelser om behandling av personuppgifter i antidopningsarbetet.
5. Personuppgiftsbehandling vid antidopningsarbete inom idrotten
5.1. Personuppgiftsbehandling inom ramen för RF:s antidopningsarbete
Som tidigare har framgått bedrivs antidopningsarbetet inom idrotten i Sverige främst av RF, som är svensk idrotts nationella antidopningsorganisation enligt världsantidopningskoden. Arbetet leds och koordineras av den oberoende Dopingkommissionen, som väljs av RF-stämman. Det operativa arbetet utförs dock av Antidopingavdelningen inom RF, under benämningen Svensk Antidoping.
Antidopingavdelningen behandlar i sin dagliga verksamhet personuppgifter, vilket är nödvändigt för att ett effektivt antidopningsarbete ska kunna utföras i enlighet med världsantidopningskoden. Arbetet styrs av koden och dess tillhörande standarder.
Arbetet vid Antidopingavdelningen kan delas in i fem olika områden; dispenshandläggning, vistelserapportering, dopningskontroller, resultathantering samt underrättelsearbete. Antidopingavdelningen har i en promemoria daterad den 28 februari 2017 redogjort för avdelningens hantering av personuppgifter inom dessa områden. I avsnitten 5.1.1– 5.1.5 nedan följer en kortfattad beskrivning av personuppgiftsbehandlingen. Beskrivningen grundar sig till stora delar på Antidopingavdelningens promemoria och bedömningar i denna men ska inte ses som en beskrivning av den behandling som vår lag kommer att tillåta (se vidare avsnitt 6).
5.1.1. Dispenshandläggning
Möjligheten till dispens från dopningsreglerna har tillkommit för att idrottsutövare som av medicinska skäl måste ta dopningsklassade läkemedel ska kunna utöva sin idrott. För att få dispens måste en idrottsutövare kunna styrka sitt behov av den förbjudna substansen eller preparatet. Alla idrottsutövare som använder dopningsklassade substanser eller preparat och är på hög tävlingsnivå ska söka dispens så snart en behandling påbörjas eller planeras. En idrottsutövare på lägre nivå kan söka dispens vid behov, när idrottsutövaren lämnat ett positivt dopningsprov. Om idrottsutövaren då kan styrka ett medicinskt grundat behov av den aktuella substansen erhålls en retroaktiv dispens.
Vid dispensansökan ska idrottsutövaren fylla i en blankett med uppgifter om bl.a. namn, kön, personnummer, adress och andra kontaktuppgifter, förening, förbund och namn på läkare. Till blanketten ska fogas ett heltäckande medicinskt underlag, såsom journaler och utlåtande från en legitimerad läkare som intygat behovet av behandlingen. Genom att underteckna dispensansökan anses idrottsutövaren lämna sitt samtycke till att behandling av de aktuella personuppgifterna får företas, dels för att utvärdera dispensansökan och dels för att utreda en misstänkt förseelse mot dopningsreglerna. Till ansökan finns en bilaga med information om behandling av personuppgifterna.
Dispensansökan skickas till Antidopingavdelningens dispenshandläggare. All information registreras i det interna datasystemet PROVA samt i WADA:s databas ADAMS. I nuläget registreras endast uppgifter om födelsedatum, kön, nation, idrott, namn på läkare, substans och medicinering i ADAMS. Enligt världsantidopningskoden krävs dock att all information förs in i det datasystemet. Antidopingavdelningen, WADA samt idrottsutövarens internationella specialidrottsförbund har tillgång till idrottsutövarens uppgifter i ADAMS. På förfrågan kan andra organisationer få tillgång till uppgifterna, för att underlätta för idrottsutövaren.
Beslut om idrottsutövaren ska erhålla dispens eller inte fattas av Dispenskommittén (se avsnitt 3.3.2). Överföring av dispensansökan till Dispenskommittén sker elektroniskt.
Samtliga dispensansökningar sparas såväl digitalt som fysiskt i pärmar. Pärmarna förvaras i låsta skåp på Antidopingavdelningens kontor. Även de ansökningar som fått avslag sparas. Dispensansökningar och beslut sparas i tio år, vilket motsvarar preskriptionstiden för dopningsförseelser. Den medicinska informationen sparas i 18 månader efter det att dispensen inte länge är giltig.
5.1.2. Vistelserapportering
För att dopningskontroller ska kunna utföras utanför tävling är det nödvändigt att veta var idrottsutövarna befinner sig. Vistelserapportering utförs därför av de idrottsutövare som uppnår en så pass hög idrottslig prestationsnivå att de regelbundet bör dopningstestas. I Sverige vistelserapporterar ca 230 idrottsutövare individuellt. Därtill ansvarar 60 föreningar med elitlag inom fem idrotter för att lämna vistelserapporter avseende laget i stort (s.k. kollektiv rapportering). Vid kollektiv rapportering lämnas inte uppgifter om enskilda individer, utan rapporteringen avser var laget ska befinna sig vid olika tidpunkter. Det finns inte heller något individuellt ansvar för den kollektiva vistelserapporteringen. För det fall det finns intresse av att följa en enskild idrottsutövare i en lagidrott åläggs denne att vistelserapportera individuellt.
De idrottsutövare som vistelserapporterar individuellt är uppdelade i två olika pooler; den nationella kontrollpoolen och den internationella kontrollpoolen. Den internationella kontrollpoolen omfattar de idrottsutövare som valts ut av respektive internationellt specialidrottsförbund. I den nationella kontrollpoolen ingår idrottsutövare som uppfyller vissa kriterier som de nationella idrottsförbunden i samråd med Antidopingavdelningen har satt upp. Namn på de idrottsutövare som tillhör någon kontrollpool publiceras på de internationella specialidrottsförbundens respektive RF:s hemsida. Idrottsutövarna anses lämna sitt samtycke till behandling av deras personuppgifter vid inträde i den nationella kontrollpoolen.
Vistelserapportering innebär bl.a. att en idrottsutövare ska ange var han eller hon kommer att befinna under en 60-minutersperiod varje dag. Det finns möjlighet att ändra denna uppgift fram till den uppgivna perioden startar. Många sena ändringar kan dock uppfattas som ett misstänkt beteende och medföra fler dopningskontroller.
Om en idrottsutövare inte befinner sig på angiven plats vid angivet tillfälle (s.k. bomkontroll) innebär det en s.k. delförseelse. Tre bomkontroller, underlåtelser att lämna rapport eller felaktiga eller ofullständigt lämnade uppgifter inom en 12-månadersperiod utgör en dopningsförseelse.
En vistelserapport ska lämnas in kvartalsvis och innehålla uppgifter om identitet, idrottslig anknytning, vistelseuppgifter för en 60-minutersperiod varje dag, kontinuerligt återkommande aktiviteter såsom träning och arbete, var idrottsutövaren sover samt tävlingsaktivitet. Rapporteringen kan utföras av ett ombud. Det yttersta ansvaret för att uppgifterna är korrekta ligger dock på idrottsutövaren vid individuell rapportering. Vistelserapporteringen sker av idrottsutövaren själv direkt i datasystemet ADAMS. De föreningar som lämnar kollektiva vistelserapporter gör det i stället i ett system som utvecklats för internt bruk av Antidopingavdelningen. Endast RF har tillgång till uppgifter som lämnas i det systemet.
Personuppgifterna i ADAMS blir tillgängliga enbart för de personer som är beroende av att ha tillgång till dem för att kunna genomföra sina arbetsuppgifter enligt antidopningsreglementet. Antidopingavdelningen har möjlighet att ge andra aktörer, såsom större tävlingsorganisationer, nationella antidopningsorganisationer samt internationella och nationella specialidrottsförbund, tillgång till uppgifterna om den aktuella informationen är nödvändig för att det mottagande organet ska kunna fullgöra sina skyldigheter enligt världsantidopningskoden.
Uppgifter som avser vistelserapportering sparas normalt i 18 månader.
5.1.3. Dopningskontroller
Alla idrottsutövare som tillhör en förening under RF är skyldiga att ställa upp på dopningskontroll genom såväl urin- som blodprov. En vägran att ställa upp innebär att dopningskontrollen inte kan utföras och idrottsutövaren rapporteras för en misstänkt förseelse mot antidopningsreglerna. Urinprov är den vanligaste formen av dopningskontroll. För ett urinprov krävs att en dopningskontrollfunktionär av samma kön övervakar urineringen. Vad gäller blodprov krävs att en legitimerad sjuksköterska eller läkare tar provet.
En dopningskontroll inleds genom att en dopningskontrollfunktionär kallar idrottsutövaren och förklarar vilka rättigheter och skyldigheter denne har i samband med kontrollen. Idrottsutövaren ombeds att skriva under en kallelse och anses därmed samtycka till att kontrollen genomförs. Vid själva kontrollen fyller dopningskontrollfunktionären i uppgifter om idrottsutövarens personnummer, adress, förening m.m. i ett kontrollformulär. Uppgift om idrottsutövarens bruk av läkemedel och andra preparat kan också anges där. När provtagningen är klar ska idrottsutövaren läsa genom och signera kontrollformuläret. Dopningsproven och en kopia av dopningskontrollformuläret som inte avslöjar idrottsutövarens identitet skickas till Dopinglaboratoriet vid Karolinska Universitetssjukhuset för analys. Övriga kopior av dopningskontrollformuläret skickas via post till Antidopingavdelningen. Den enskilde får också en kopia av formuläret.
Hos Antidopingavdelningen skrivs uppgifterna från dopningskontrollformuläret in i PROVA, alltså Antidopingavdelningens interna datasystem, och en kopia av formuläret sparas i en pärm i låst skåp på Antidopingavdelningens kontor. För idrottsutövare som ingår i en kontrollpool registreras en kopia av dopningskontrollformuläret i ADAMS, alltså WADA:s databas. Denna kopia kan endas ses av WADA men kan öppnas upp till andra aktörer om det anses motiverat.
Dopningskontrollformulären och andra handlingar avseende testningen får sparas i 18 månader om det inte finns någon indikation på en misstänkt dopningsförseelse. Om en sådan indikation föreligger eller om själva urinprovet sparas för eventuell omtestning, får dokumentationen sparas i tio år. Provresultat sparas hos Antidopingavdelningen i tio år, oavsett om resultatet är positivt eller negativt. Uppgifter som sparas i ett biologiskt pass, dvs. en medicinsk profil som innehåller resultaten av en idrottsutövares urin- och blodvärden under en viss period, ska gallras senast efter tio år.
5.1.4. Resultathantering
För det fall en förbjuden substans finns i ett dopningstest inleds ett dopningsärende. Om idrottsutövaren har dispens för den aktuella substansen avskrivs ärendet. I annat fall underrättas idrottsutövaren
om det positiva provsvaret. I underrättelsen framhålls utövarens rättigheter och skyldigheter samt möjlighet att inkomma med ett yttrande inom viss tid. Efter yttrandetiden beslutas om det finns skäl att driva ärendet vidare eller inte. Om ärendet inte avskrivs anmäls det till Dopingnämnden, som är första instans som prövar bestraffningsärenden enligt Idrottens antidopingreglemente. Antidopingavdelningen lämnar också ett förslag till påföljd.
En utredning kan också inledas exempelvis om en idrottsutövares biologiska pass visar något anmärkningsvärt eller vid misstänkta förseelser mot vistelserapporteringen. Om tillräcklig bevisning anses finnas för att gå vidare med ärendet kan ytterligare material inhämtas. Det kan innebära att fler dopningstester behöver utföras på idrottsutövaren eller att intervjuer behöver hållas.
Vid resultathanteringen behandlas de personuppgifter som angivits i dopningskontrollformuläret. Behandlingen sker i Antidopingavdelningens interna databas ”Falldatabasen”. Endast de personer som handlägger bestraffningsärenden har behörighet att logga in i detta datasystem. För det fall idrottsutövaren inkommit med ett yttrande skrivs uppgifter från yttrandet inte in i datasystemet utan sparas i en ärendemapp som har skapats för ärendet. I de ärenden som är av mer komplicerad natur inhämtas synpunkter från ledamöterna i Dopingkommissionen. Kommissionen erhåller materialet elektroniskt.
Den underrättelse som skickas till idrottsutövaren skickas även för kännedom till idrottsutövarens förening eller klubb, nationella specialidrottsförbund samt till den dopningskontrollfunktionär som var ansvarig under dopningskontrollen. Om idrottsutövaren är på högre än nationell nivå ska även en kopia av underrättelsen skickas till det internationella specialidrottsförbundet och till WADA. Denna överföring sker genom e-post. Endast idrottsutövaren och den dopningskontrollansvarige erhåller en kopia av analyssvaret.
Dopingnämnden erhåller vid en anmälan dokumentationen i ärendet. Efter att ett beslut meddelats av Dopingnämnden skickas en kopia av beslutet till det internationella specialidrottsförbundet samt till WADA. Om en idrottsutövare är på hög nivå bifogas även en kort sammanfattning av beslutet. För det fall Dopingnämnden beslutar om avstängning av en idrottsutövare offentliggörs beslutet dessutom på RF:s kungörelsesida. Webbplatsen har ett utgivningsbevis från Myndigheten för press, radio och tv som innebär att den uppfyller kraven för grundlagsskydd. Vid en kungörelse av ett beslut
publiceras namn på den som begått överträdelsen, berörd idrott, typ av förseelse, de konsekvenser som ålagts idrottsutövaren samt en sammanfattning av innehållet i beslutet. En kungörelse sker oavsett vilken nivå idrottsutövaren idrottar på och kan därmed avse även idrottsutövare på motionsnivå. För idrottsutövare som är under nationell nivå har Dopingkommissionen beslutat att varken ange förseelse, förbjuden substans eller att sammanfatta beslutet. Om idrottsutövaren är under 18 år sker ingen publicering.
Information om sanktioner, bestraffningsbeslut och tillhörande dokumentation sparas hos Antidopingavdelningen på obestämd tid.
5.1.5. Underrättelsearbete
Det finns enligt världsantidopningskoden ett krav på att signatärerna av koden ska se till att de kan införskaffa, bedöma och bearbeta information som gäller möjliga förseelser mot antidopningsreglementet från alla tillgängliga källor. Den inhämtade informationen ska användas för att utveckla effektiva och proportionella dopningskontrollplaner, för att planera särskilda dopningskontroller eller för att utreda möjliga förseelser mot antidopningsreglerna (se artikel 5.8 i världsantidopningskoden). Ett sorts underrättelsearbete ska således utföras i antidopningsarbetet. Antidopingavdelningen utför också ett sådant underrättelsearbete. Arbetet består till stor del av analys och bearbetning av tips som kommer in via mejl eller en tipsfunktion som finns på RF:s hemsida dopingtips.se. Tips lämnas också via muntliga källor. Tipsen kan gälla misstankar om att en lagkamrat eller föreningsmedlem använder sig av dopningsmedel. Information hämtas vidare in från öppna källor på internet, såsom tidningsartiklar och sociala medier, och kan avse var en person befinner sig och i vilket sällskap. Även information från offentliga domar i brottmål rörande dopningsbrott hämtas in och personnummer som anges i domarna jämförs med register över vilka som är aktiva inom idrotten. De personuppgifter som normalt behandlas i detta jämförande arbete rör namn, personnummer och idrottsutövares föreningstillhörighet.
Den information som hämtas in i underrättelsearbetet läggs till grund för beslut om extra dopningskontroller eller kan i sig ligga till grund för utredning av en särskild dopningsförseelse.
Personuppgifter som behandlas i underrättelsearbetet gallras tidigast efter bedömning av inkommen information. Uppgifterna raderas alternativt anonymiseras senast efter tre år eller efter avslutad utredning.
5.2. Personuppgiftsbehandling i antidopningsarbete utanför RF
Antidopningsarbetet inom idrotten i Sverige förekommer även i viss mån utanför RF. Arbetet kan exempelvis utföras av ett specialidrottsförbund och anknutna föreningar som inte ingår i RF, men som tillhör ett internationellt specialidrottsförbund som är signatär av världsantidopningskoden och därför har krav på sig utföra ett antidopningsarbete. Antidopningsarbete kan även utföras av kommersiella aktörer som exempelvis genomför dopningskontroller på uppdrag av en signatär av världsantidopningskoden. Det kan även sägas förekomma antidopningsarbete vid Dopinglaboratoriet vid Karolinska Universitetssjukhuset. Eftersom arbetet mot dopning inom idrotten är en i hög grad internationell angelägenhet kan det även förekomma att antidopningsarbete utförs i Sverige av aktörer som inte är etablerade här. Exempelvis kan dopningskontroller utföras i Sverige av andra länders nationella antidopningsorganisationer, internationella specialidrottsförbund och tävlingsarrangörer. I all denna verksamhet kan det förekomma behandling av personuppgifter. Vi återkommer till dessa frågor i avsnitt 7.2.
6. En lag om behandlingen av personuppgifter
6.1. Rättslig grund för behandling av personuppgifter
Bedömning: Behandlingen av personuppgifter i idrottens anti-
dopningsarbete kan stödjas på den rättsliga grunden att den är nödvändig för att utföra en uppgift av allmänt intresse enligt artikel 6.1 e i dataskyddsförordningen. Det behöver dock införas en nationell reglering för att den rättsliga grunden ska kunna användas.
Regleringen i dataskyddsförordningen
Som tidigare konstaterats är dataskyddsförordningen tillämplig sedan den 25 maj 2018. Förordningen utgör numera den generella regleringen för personuppgiftsbehandling inom EU och är direkt tillämplig i Sverige. Dataskyddsförordningen både förutsätter och tillåter nationella bestämmelser som kompletterar delar av förordningen genom specificeringar eller undantag.
Arbetet mot dopning inom idrotten innebär att personuppgifter behöver behandlas. För att personuppgifter över huvud taget ska kunna behandlas i antidopningsarbetet krävs dock att det finns en rättslig grund för behandlingen i dataskyddsförordningen. De rättsliga grunderna räknas upp i artikel 6.1 a–f i förordningen. Uppräkningen är uttömmande. För det fall inget av villkoren är uppfyllt är behandlingen således inte laglig och får inte utföras. Nedan behandlas endast de rättsliga grunder som möjligen skulle kunna tillämpas vid antidopningsarbete inom idrotten.
Enligt punkten a får behandling ske om den registrerade har lämnat sitt samtycke till behandlingen. Enligt punkten b kan behandling ske om den är nödvändig för att fullgöra ett avtal i vilket den registrerade är part eller för att vidta åtgärder på begäran av den registrerade innan ett sådant avtal ingås. I punkten c anges att behandling får utföras om den är nödvändig för att fullgöra en rättslig för-
pliktelse som åvilar den personuppgiftsansvarige. Enligt punkten e
får behandling ske om den är nödvändig för att utföra en uppgift som är av allmänt intresse. I punkten f anges att uppgifter får behandlas efter en intresseavvägning mellan den registrerades och den personuppgiftsansvariges eller en tredje parts berättigade intressen.
Samtycke som rättslig grund
Det förekommer att personuppgifter behandlas inom idrottens antidopningsarbete med stöd av ett samtycke från den enskilde. Inom RF anses personuppgifter behandlas med stöd av den enskildes samtycke vid vistelserapportering, dispenshantering och dopningskontroller. Samtycke definieras i artikel 4.11 i dataskyddsförordningen som varje slag av frivillig, specifik, informerad och otvetydig viljeyttring, genom vilken den registrerade, antingen genom ett uttalande eller genom en entydig bekräftande handling, godtar behandling av personuppgifter som rör honom eller henne. I artikel 7 finns ytterligare bestämmelser om samtycke, som är nya i förhållande till det tidigare gällande dataskyddsdirektivet och personuppgiftslagen (1998:204). Där anges bl.a. att den personuppgiftsansvarige ska kunna visa att den registrerade har samtyckt till behandling av sina personuppgifter. En begäran om samtycke ska göras i begriplig och lätt tillgänglig form med användande av klart och tydligt språk och kunna särskiljas från andra frågor. De registrerade ska vidare ha rätt att när som helst återkalla sitt samtycke.
Av skäl 32 till dataskyddsförordningen framgår att tystnad, på förhand ikryssade rutor eller inaktivitet inte bör utgöra samtycke. Vidare anges i skäl 42 att samtycke inte bör betraktas som frivilligt om den registrerade inte har någon genuin eller fri valmöjlighet eller inte utan problem kan vägra eller ta tillbaka sitt samtycke. I skäl 43 anges att samtycke inte bör utgöra giltig rättslig grund i ett särskilt
fall där det råder betydande ojämlikhet mellan den registrerade och den personuppgiftsansvarige.
Artikel 29-gruppen har antagit riktlinjer avseende dataskyddsförordningens krav på att ett samtycke ska ha lämnats frivilligt. Europeiska dataskyddsstyrelsen, som har ersatt Artikel 29-gruppen, har godkänt riktlinjerna. I dessa anges bl.a. att samtycke generellt sett endast kan vara den lämpliga rättsliga grunden om den registrerade får en genuin valmöjlighet att godta eller vägra godta de villkor som ges eller att vägra godta dem utan problem (se WP259 rev. 01, s. 4). Artikel 29-gruppen har tidigare, år 2008 och 2009, lämnat yttranden angående förhållandet mellan antidopningsarbetet enligt världsantidopningskoden och det tidigare gällande dataskyddsdirektivet. I yttrandena påpekas att idrottsutövarnas samtycke till personuppgiftsbehandlingen vanligtvis inte kan anses vara lämnat frivilligt (se yttrande 3/2008 s. 5 och 4/2009 s. 11 f.).
Det är tveksamt huruvida det samtycke till personuppgiftsbehandlingen inom antidopningsarbetet som i dag lämnas av den enskilde uppfyller dataskyddsförordningens krav på en specifik, informerad och otvetydig viljeyttring. Det står inte heller klart att samtycket uppfyller förordningens krav på frivillighet. Något alternativ till idrottande i Sverige utanför RF finns inte i många idrotter varför en genuin möjlighet att avstå från att lämna samtycke utan att drabbas av negativa konsekvenser saknas. En vägran att samtycka till en dopningskontroll kan vidare i sig anses innebära en förseelse mot världsantidopningskoden och RF:s regelverk Idrottens antidopingreglemente. Dessutom kommer den enskildes personuppgifter att behandlas inom idrottens antidopningsarbete även om den enskilde skulle ta tillbaka sitt samtycke efter en utförd dopningskontroll. Dessa förhållanden medför enligt vår mening att samtycke inte är en lämplig rättslig grund för den personuppgiftsbehandling som sker inom idrottens antidopningsarbete. Någon annan av de rättsliga grunderna i dataskyddsförordningen bör därför användas.
Annan rättslig grund för behandlingen
Det saknas konsensus mellan EU:s medlemsstater om vilken rättslig grund som föreligger för antidopningsarbetet inom idrotten. I den av EU-kommissionen utgivna utvärderingen av antidopningsarbetet
(Anti-doping and Data Protection, An evaluation of the anti-doping laws and practices in the EU Member States in light of the General Data Protection Regulation, 2017) rekommenderas att någon av grunderna rättslig förpliktelse eller allmänt intresse används. Avtal anses inte vara en lämplig rättslig grund eftersom ett fritt och informerat samtycke krävs även för att ingå ett avtal. Därtill kommer att personuppgifter bör kunna hanteras i antidopningsarbetet även efter det att ett medlemskap har avslutats. Inte heller intresseavvägning anses vara en lämplig rättslig grund, bl.a. eftersom den enskildes intressen och grundläggande friheter väger tungt i sammanhanget (se s. 19 f. och 82 ff.). Vi instämmer i denna bedömning.
Arbetsuppgifterna inom idrottens antidopningsarbete i Sverige framgår av RF:s stadgar och Idrottens antidopingreglemente. Det saknas dock författningsreglering i Sverige som anger att RF eller någon annan ska utföra ett antidopningsarbete inom idrotten. Det finns således inte någon sådan rättslig förpliktelse som avses i dataskyddsförordningen som tillåter att personuppgifter behandlas i detta arbete. Det ingår inte heller i utredningens arbete att införa en sådan verksamhetsreglering. Rättslig förpliktelse är därför inte en möjlig rättslig grund för den personuppgiftsbehandling som sker inom idrottens antidopningsarbete i Sverige. Den rättsliga grund som därmed kan komma att bli tillämplig är allmänt intresse.
Allmänt intresse som rättslig grund
Enligt artikel 6.1 e i dataskyddsförordningen får behandling av personuppgifter ske om den är nödvändig för att utföra en arbetsuppgift av allmänt intresse. Vad som är ett allmänt intresse definieras varken i dataskyddsförordningen eller i det tidigare gällande dataskyddsdirektivet. Innebörden har inte heller utvecklats av EU-domstolen. Rent språkligt kan begreppet uppgift av allmänt intresse antas avse något som är av intresse för eller berör många människor på ett bredare plan, i motsats till ett särintresse (se prop. 2017/18:105 s. 55). Av skäl 45 till dataskyddsförordningen följer att allmänintresset inbegriper hälso- och sjukvårdsändamål och folkhälsa. I skäl 112 anges internationella utbyten av uppgifter för att minska och/eller undanröja dopning inom idrott som exempel på ett viktigt allmänintresse.
Den verksamhet som bedrivs av statliga och kommunala myndigheter, inom ramen för deras befogenheter, är av allmänt intresse i dataskyddsförordningens mening. Till skillnad från vad som gäller för den rättsliga grunden rättslig förpliktelse behöver dock den personuppgiftsansvarige inte vara skyldig att utföra uppgiften för att den rättsliga grunden uppgift av allmänt intresse ska vara tillämplig. Även privaträttsliga organ kan utföra uppgifter av allmänt intresse, ofta som en följd av avmonopolisering och konkurrensutsättning av offentlig verksamhet. Som exempel kan nämnas skola, hälso- och sjukvård, infrastruktur, kommunikation och elförsörjning (se a. prop. s. 56 ff.). Fysiska personer, ideella och ekonomiska föreningar, stiftelser och företag kan också ägna sig åt verksamhet som i princip skulle kunna anses vara av allmänt intresse. Dataskyddsutredningen nämner idrott och kultur som exempel på sådana verksamheter (se SOU 2017:39 s. 126).
Målet med idrottsrörelsens antidopningsarbete är att tillförsäkra alla idrottsutövare deras grundläggande rätt att delta i en idrott fri från dopning och på så sätt främja god hälsa och rättvisa för idrottsutövare. I Sverige omfattas hela den RF-anslutna idrotten av antidopningsarbetet. RF:s jurisdiktion kan i detta hänseende anses omfatta så många som tre miljoner idrottsutövare i Sverige. Även tränare, idrottsledare, funktionärer och läkare omfattas av antidopningsreglerna. Arbetet mot dopning inom idrotten omfattar således en stor del av Sveriges befolkning. Intresset av en dopningsfri idrott och ”fair play” finns dock även utanför idrotten, bland åskådare och andra som ser idrottsutövare som förebilder. Intresset av en dopningsfri idrott kan således knappast anses utgöra ett särintresse.
Målen för idrottens antidopningsarbete kan sägas gå hand i hand med statens intressen. Ett av statens folkhälsopolitiska mål är ett samhälle fritt från narkotika och dopning. Staten har också ett idrottspolitiskt mål att motverka dopning inom idrotten och anslår varje år betydande bidrag till antidopningsarbetet. För budgetåret 2019 uppgår anslaget till RF för insatser mot dopning till 35 miljoner. Vidare har Sverige undertecknat Europarådets konvention mot dopning samt Unescos konvention mot dopning inom idrotten.
Det råder även internationellt en bred konsensus om att motverka dopningen inom idrotten. Så anges exempelvis i Europadomstolens dom den 18 januari 2018 i de förenade målen 48151/11 och 77769/13 mellan Fédération Nationale des Syndicats Sportifs (FNASS) m.fl.
och franska staten. I domen prövade Europadomstolen om den vistelserapportering som krävs av vissa idrottsutövare enligt fransk lag strider mot bl.a. rätten till respekt för privatlivet enligt artikel 8 i Europakonventionen. Domstolen fann att vistelserapporteringen visserligen inskränker idrottsutövarnas rätt till privatliv, men att inskränkningen är nödvändig med hänsyn till det allmänna intresset av en dopningsfri idrott. Inskränkningen ansågs därför vara proportionerlig i förhållande till det eftersträvade målet och ingen kränkning av artikel 8 ansågs föreligga.
Det anförda talar sammantaget för att det antidopningsarbete som utförs inom idrotten är av allmänt intresse. Ytterligare stöd för denna slutsats går, som tidigare angetts, att finna i skäl 112 i dataskyddsförordningen där det framgår att internationella utbyten av uppgifter för att minska och/eller undanröja dopning inom idrott är ett viktigt allmänt intresse. Vi menar således att vi har fog för bedömningen att antidopningsarbetet inom idrotten är av allmänt intresse.
För att antidopningsarbetet inom idrotten ska kunna utföras är det nödvändigt att behandla personuppgifter. Den rättsliga grunden för behandlingen av personuppgifter i antidopningsarbetet bör således vara att den är nödvändig för att utföra en uppgift av allmänt intresse.
Det behövs nationell reglering för att den rättsliga grunden ska kunna användas
För att behandling av personuppgifter ska vara laglig enligt dataskyddsförordningen är det dock inte tillräckligt att behandlingen är nödvändig för att utföra en uppgift av allmänt intresse enligt artikel 6.1.e. Grunden för behandlingen ska enligt artikel 6.3 fastställas i unionsrätten eller en medlemsstats nationella rätt som den personuppgiftsansvarige omfattas av. Av artikel 6.3 sista meningen framgår att unionsrätten eller medlemsstaternas nationella rätt ska uppfylla ett mål av allmänt intresse och vara proportionell mot det legitima mål som eftersträvas. Dessa krav har förtydligats i dataskyddslagen. Där anges i 2 kap. 2 § att personuppgifter får behandlas med stöd av allmänt intresse som laglig grund om behandlingen är nödvändig för att utföra en uppgift av allmänt intresse som följer av lag eller annan författning, av kollektivavtal eller av beslut som har meddelats med stöd av lag eller annan författning.
Det finns inget krav på att själva personuppgiftsbehandlingen behöver regleras i unionsrätten eller nationell rätt. Det som måste ha stöd i rättsordningen är i stället uppgiften av allmänt intresse (se prop. 2017/18:105 s. 49). Dock anges i artikel 6.3 andra stycket att den rättsliga grunden kan innehålla särskilda bestämmelser för att anpassa tillämpningen av bestämmelserna i dataskyddsförordningen. Den kan bl.a. ange de allmänna villkor som ska gälla för den personuppgiftsansvariges behandling, vilken typ av uppgifter som ska behandlas, vilka registrerade som berörs, de enheter till vilka uppgifter får lämnas ut och för vilka ändamål, ändamålsbegränsningar och lagringstid. Vidare framgår av artikel 6.2 att medlemsstaterna får införa mer specifika bestämmelser för att anpassa tillämpningen av bestämmelserna i förordningen med hänsyn till behandling för att utföra bl.a. en uppgift av allmänt intresse. Dessa bestämmelser kan närmare fastställa specifika krav för uppgiftsbehandlingen och andra åtgärder för att säkerställa en laglig och rättvis behandling. Denna typ av mer specifika nationella bestämmelser förekommer ofta i svenska registerförfattningar.
Av skäl 41 till dataskyddsförordningen framgår att den rättsliga grunden bör vara tydlig och precis och dess tillämpning förutsägbar för dem som omfattas av den. Vilken grad av tydlighet och precision som krävs i frågan om den rättsliga grunden för att en viss personuppgiftsbehandling ska anses vara nödvändig måste enligt regeringen bedömas från fall till fall, utifrån behandlingens och verksamhetens karaktär. En behandling av personuppgifter som inte utgör någon egentlig kränkning av den personliga integriteten kan ske med stöd av en rättslig grund som är allmänt hållen. Ett mer kännbart intrång, t.ex. behandling av känsliga personuppgifter inom hälso- och sjukvården, kräver att den rättsliga grunden är mer preciserad och därmed gör intrånget förutsebart. (Se a. prop. s. 51.)
Arbetsuppgifterna inom idrottens antidopningsarbete i Sverige framgår av RF:s stadgar och Idrottens antidopingreglemente. De framgår dock inte av någon författning som har meddelats i enlighet med regeringsformens bestämmelser. De framgår inte heller av unionsrätten. Det saknas alltså någon sådan reglering i Sverige som skulle kunna utgöra en rättslig fastställelse av arbetsuppgiften av allmänt intresse. Grunden för behandlingen behöver därför fastställas i författning för att den rättsliga grunden för behandlingen ska kunna stödjas på det allmänna intresset av en dopningsfri idrott.
6.2. Behandling av känsliga personuppgifter
Bedömning: Behandling av känsliga personuppgifter i idrottens
antidopningsarbete kan stödjas på undantaget för ett viktigt allmänt intresse i artikel 9.2 g i dataskyddsförordningen. För att undantaget ska kunna användas behöver det dock införas en nationell reglering som säkerställer den registrerades grundläggande intressen i antidopningsarbetet.
Känsliga personuppgifter
I antidopningsverksamheten behandlas en del känsliga personuppgifter. Dessa avser i första hand uppgifter om idrottsutövares hälsa. Hälsouppgifter omfattar i dataskyddssammanhang alla aspekter av en persons hälsa, till exempel uppgifter som kommer från tester eller undersökningar samt uppgifter om sjukdomshistoria och funktionshinder. De uppgifter som framkommer vid en dopningskontroll utgör således hälsouppgifter. Vidare behandlas hälsouppgifter t.ex. vid handläggning av en ansökan om dispens från dopningsreglerna.
Behandling av känsliga personuppgifter i antidopningsarbetet är ett viktigt allmänt intresse
Enligt dataskyddsförordningen är det i princip förbjudet att behandla känsliga personuppgifter (i förordningen benämnda särskilda kategorier av personuppgifter). Av artikel 9.2 följer emellertid att det finns en del undantag från huvudregeln. Ett sådant undantag är uttryckligt samtycke från den registrerade (9.2 a). Som framkommit ovan är det dock vår bedömning att antidopningsarbetet inte bör grundas på den enskildes samtycke. Således bör som utgångspunkt inte heller en behandling av känsliga personuppgifter i antidopningsarbetet ske med tillämpning av det undantaget. Ett annat undantag utgörs av behandling i anslutning till hälso- och sjukvård (9.2 h). Enligt bestämmelsen får behandling av känsliga personuppgifter ske om den är nödvändig av skäl som hör samman med bl.a. förebyggande hälso- och sjukvård och yrkesmedicin, bedömningen av en arbetstagares arbetskapacitet, medicinska diagnoser, tillhandahållande av hälso- och sjukvård eller behandling och social omsorg. Motsvarande undantag har
av förtydligande skäl tagits in i 3 kap. 5 § dataskyddslagen. Enligt vår bedömning kan undantaget för behandling i anslutning till hälso- och sjukvård troligen endast användas som grund för behandling av personuppgifter avseende idrottsutövare som är anställda av en idrottsorganisation (jfr EU-kommissionens utvärdering, s. 90). Endast ett litet antal av idrottarna utövar dock sin idrott såsom anställda. Det aktuella undantaget kan således inte användas för antidopningsarbetet generellt.
Ett annat undantag från förbudet mot att behandla känsliga personuppgifter avser behandling som är nödvändig av hänsyn till ett
viktigt allmänt intresse (9.2 g). Att antidopningsverksamheten utgör
en uppgift av allmänt intresse har vi slagit fast när det gäller den rättsliga grunden. I förarbetena till dataskyddslagen anges att det på ett generellt plan är svårt att definiera vad som skiljer ett allmänt intresse från ett viktigt allmänt intresse. Enligt regeringens bedömning utgör myndigheters behandling inom ramen för deras befogenheter ett viktigt allmänt intresse. Också viss verksamhet som bedrivs av privata aktörer kan dock omfattas av begreppet (se a. prop. s. 83). I skäl 112 till förordningen anges, som tidigare framkommit, internationella utbyten av uppgifter för att minska och/eller undanröja dopning inom idrott som exempel på ett viktigt allmänintresse. Det borde därmed även vara ett viktigt allmänt intresse att de uppgifter som framkommer i antidopningsarbetet om enskildas hälsa, exempelvis vid en dopningskontroll, över huvud taget kan behandlas. Vi bedömer således att det är nödvändigt med hänsyn till ett viktigt allmänt intresse att känsliga personuppgifter får behandlas i antidopningsarbetet.
Det behövs nationell reglering för att undantaget för viktiga allmänna intressen ska kunna användas
Det är dock inte tillräckligt att en behandling av personuppgifter är nödvändig med hänsyn till ett viktigt allmänt intresse för att artikel 9.2 g ska kunna användas. Ett ytterligare krav för att undantaget ska vara tillämpligt är att behandlingen sker på grundval av unionsrätten eller den nationella rätten, vilken ska stå i proportion till det eftersträvade syftet. Enligt regeringens bedömning innebär detta att den rättsliga grunden för behandlingen ska vara t.ex. det allmänna intresset enligt artikel 6.1 e och ha stöd i rättsordningen på det sätt
som krävs för att den grunden ska kunna användas (se a. prop. s. 84). Vidare ställs i artikel 9.2 g särskilda krav på det rättsliga stödet. Detta måste enligt bestämmelsen vara förenligt med det väsentliga innehållet i rätten till dataskydd samt innehålla bestämmelser om lämpliga och särskilda åtgärder för att säkerställa den registrerades grundläggande rättigheter och intressen. Det är inte helt klart vilken innebörd dessa krav har. Enligt regeringens bedömning kan det ifrågasättas om kravet på att det rättsliga stödet ska vara förenligt med det väsentliga innehållet i rätten till dataskydd går utöver de krav som gäller enligt artikel 6 och som måste vara uppfyllda vid all behandling av personuppgifter i allmänt intresse. Det som enligt regeringen tillkommer i artikel 9.2 g är ett krav på att gällande rätt ska innehålla bestämmelser om lämpliga och särskilda åtgärder för att säkerställa den registrerades grundläggande intressen. Det innebär dock inte att undantaget i sig måste genomföras i svensk rätt (se a. prop. s. 84).
Av 3 kap. 3 § dataskyddslagen framgår att myndigheter och andra som omfattas av offentlighetsprincipen får behandla känsliga personuppgifter i vissa fall som rör undantaget i artikel 9.2 g i dataskyddsförordningen. Bestämmelsen är dock inte tillämplig på behandling som utförs av RF.
Det som ovan anförts om artikel 9.2 g i dataskyddsförordningen innebär att det vid behandling av känsliga personuppgifter krävs ett annat stöd i rättsordningen än det som dataskyddsförordningen ger och att kraven går utöver de som gäller för den rättsliga grunden enligt artikel 6. Tröskeln för att få behandla känsliga personuppgifter är således högre än den som gäller för andra personuppgifter i samma situation (jfr a. prop. s. 75). Som tidigare konstaterats saknas i Sverige författningsreglering avseende idrottens antidopningsarbete. För att behandling av känsliga personuppgifter ska kunna stödjas på undantaget för ett viktigt allmänt intresse i artikel 9.2 g krävs därmed att sådan reglering införs. En ny nationell reglering behöver vidare innehålla lämpliga och särskilda åtgärder för att säkerställa den registrerades grundläggande rättigheter och intressen.
6.3. En lag om behandling av personuppgifter i idrottens antidopningsarbete
Förslag: En ny lag med bestämmelser om behandling av person-
uppgifter i idrottens antidopningsarbete ska införas. Lagens namn ska vara lagen om dataskydd i idrottens antidopningsarbete.
En särskild författning för idrottens antidopningsarbete
För att behandlingen av personuppgifter inom idrottens antidopningsarbete ska kunna stödjas på den rättsliga grunden att den är nödvändig för att utföra en uppgift av allmänt intresse enligt artikel 6.1 e i dataskyddsförordningen krävs alltså att uppgiften har stöd i rättsordningen. Det saknas i dagsläget författningsreglering gällande idrottens antidopningsarbete. Följaktligen finns det inte heller någon lämplig författning där ett stöd för det allmänna intresset av en dopningsfri idrott skulle kunna föras in. Någon form av ny författning behöver därför införas där det framgår att det ska utföras ett antidopningsarbete inom idrotten. En sådan reglering kan mycket väl, som framgår av artikel 6.2 och 6.3 i dataskyddsförordningen, innehålla särskilda bestämmelser för att anpassa tillämpningen av bestämmelserna i förordningen. Denna typ av mer specifika nationella bestämmelser förekommer ofta i svenska registerförfattningar.
Som tidigare konstaterats behandlas känsliga personuppgifter om främst hälsa inom antidopningsarbetet. För att känsliga personuppgifter alls ska få behandlas med stöd av undantaget för viktigt allmänt intresse enligt artikel 9.2 g i förordningen krävs att rättsordningen innehåller bestämmelser om lämpliga och särskilda åtgärder för att säkerställa den registrerades grundläggande rättigheter och intressen. För att uppgifter om exempelvis hälsa ska kunna behandlas i antidopningsarbetet krävs således att rättsordningen innehåller ett annat stöd i dessa frågor än vad som följer av den allmänna dataskyddsförordningen. Det följer alltså av förordningen ett krav på att det i nationell rätt ska finnas olika former av bestämmelser som skyddar den enskildes integritet vid sådan behandling av känsliga personuppgifter som sker inom antidopningsarbetet. Sådana skyddsåtgärder kan lämpligen föras in i en samlad reglering gällande personuppgiftsbehandlingen i idrottens antidopningsarbete.
Förutom de krav som framgår av dataskyddsförordningen finns det ytterligare skäl som talar för att den personuppgiftsbehandling som sker inom idrottens antidopningsarbete bör författningsregleras. Med en särskild lag blir det tydligt under vilka förutsättningar personuppgifter alls får behandlas i antidopningsarbetet. En sådan tydlighet skulle gagna såväl de som utför antidopningsarbetet som de enskilda vars personuppgifter behandlas inom idrottens antidopningsarbete. En särskild författningsreglering skulle även medföra att gällande rätt blir mer användarvänlig, vilket minskar risken för att personuppgifter behandlas på ett felaktigt sätt. Vidare har en särskild författningsreglering den fördelen att den gör det förutsebart hur idrottsutövares personuppgifter kan komma att behandlas i antidopningsarbetet.
Det är vår bedömning att en särskild författning bör införas som reglerar personuppgiftsbehandlingen inom idrottens antidopningsarbete.
Lämplig normgivningsnivå
Arbetet mot dopning inom idrotten medför att personuppgifter behöver behandlas i en inte ringa omfattning. Behandlingen innefattar hantering av uppgifter med känsligt innehåll, såsom uppgifter om idrottsutövares hälsa. De dopningskontroller som utförs inom antidopningsarbetet innebär att varje idrottsutövare när som helst kan komma att behöva lämna urin- eller blodprov. Dopningskontrollerna kan därmed i sig anses utgöra en övervakning eller kartläggning av idrottsutövarna på ett sätt som innebär ett betydande intrång i den personliga integriteten. Vidare får själva syftet med den vistelserapportering som vissa utvalda idrottsutövare ska utföra anses vara just att en övervakning eller kartläggning görs av enskildas förehavanden. Även dispensprövningen, resultathanteringen och framför allt underrättelsearbetet kan i sig innebära en kartläggning av enskilda idrottsutövare. Därtill kommer att personuppgiftshanteringen inom antidopningsarbetet innebär att en stor mängd uppgifter om enskilda lämnas ut till andra, såsom internationella specialidrottsförbund och tävlingsarrangörer, i en inte obetydlig omfattning. Det anförda talar för att antidopningsarbetet i sig kan innebära ett betydande intrång i den personliga integriteten.
Enligt 2 kap. 6 § andra stycket regeringsformen är enskilda gentemot det allmänna skyddade mot betydande intrång i den personliga integriteten, om det sker utan samtycke och innebär övervakning eller kartläggning av personliga förhållanden. Inskränkningar i detta skydd kan enbart göras genom lag och bara för att tillgodose ändamål som är godtagbara i ett demokratiskt samhälle (se 2 kap.20 och 21 §§regeringsformen). Bestämmelsen i 2 kap. 6 § andra stycket gäller visserligen endast i förhållande till det allmänna. RF, som utför den större delen av antidopningsarbetet i Sverige, är en ideell förening och således ett privaträttsligt subjekt. Förbundet kan därmed endast anses utgöra det allmänna för det fall offentliga förvaltningsuppgifter har överlämnats åt förbundet med stöd av 12 kap. 4 § andra stycket regeringsformen (se prop. 1975/76:209 s. 140). Eftersom inte RF, eller något annat organ, har ålagts några förvaltningsuppgifter när det gäller idrottens antidopningsarbete i Sverige är grundlagsskyddet enligt 2 kap. 6 § regeringsformen inte direkt tillämpligt för enskilda inom detta arbete. Som tidigare konstaterats får det dock anses vara av allmänt intresse att antidopningsarbetet utförs i Sverige. Genom att tillträda internationella konventioner har Sverige också som stat åtagit sig att utföra ett sådant arbete. Dessa förhållanden talar, sammantaget med att den personuppgiftsbehandling som sker inom idrottens antidopningsarbete kan vara mycket ingripande för den enskilde, för att det ändå kan vara lämpligt att ta i beaktande de krav som anges i bestämmelsen. Vid valet mellan lag och förordning är det därför vår uppfattning att lagform bör väljas med stöd av grunderna för 2 kap. 6 § andra stycket regeringsformen.
Lagens namn
Lagen bör ha ett så enkelt och tydligt namn som möjligt. Ett tänkbart alternativ är lagen om behandling av personuppgifter i idrottens
antidopningsarbete. Härigenom framgår för vilka författningen gäller
och vad den handlar om. Det är dock allmänt eftersträvansvärt med korta namn på författningar (se Ds 2014:1 s. 17). Ett möjligt namn skulle därför kunna vara antidopningsdatalagen. Det namnet saknar dock enligt vår mening tillräcklig tydlighet. Ett lämpligare alternativ är därför lagen om dataskydd i idrottens antidopningsarbete. Enligt vår mening är den benämningen ändamålsenlig då den fångar kärnan i
regleringen samtidigt som den i viss mån lever upp till kravet på korta lagrubriker. Namnen återknyter också till det EU-rättsliga regelverket, eftersom ordet dataskydd återkommer i benämningen dataskyddsförordningen. Mot denna bakgrund menar vi att lagen bör benämnas lagen om dataskydd i idrottens antidopningsarbete.
En grundläggande allmän utgångspunkt
Som tidigare konstaterats innefattar idrottens antidopningsarbete flera moment som är integritetskänsliga och som i sig kan ses som en övervakning eller kartläggning av enskildas förehavanden. Antidopningsarbetet utförs i Sverige främst av privata aktörer, såsom RF och de föreningar och förbund som är anknutna till RF. Arbetet har inte stöd i någon nationell verksamhetsreglerande lag eller förordning utan styrs i stället av idrottens interna regler, främst den världsantidopningskod som har tagits fram av Världsantidopningsbyrån, WADA. En lag om behandling av personuppgifter i idrottens antidopningsarbete kommer därför inte, vilket är brukligt i registerförfattningar, att omfatta myndigheter som har författningsstöd för sin verksamhet, utan kommer att rikta sig till privaträttsliga aktörer som följer privaträttsliga regler. Det är således fråga om en för svenska förhållanden ovanlig lagstiftningsprodukt.
Det är inte vår avsikt att genom den föreslagna lagen försvåra det mycket angelägna antidopningsarbete som utförs inom idrotten och som har stöd i konventioner antagna av Europarådet och FN. Verksamhetens känsliga karaktär, tillsammans med det förhållandet att antidopningsarbetet grundar sig på privaträttsliga regler, innebär dock att lagen måste utformas så att all rimlig hänsyn tas till idrottsutövarnas personliga integritet. Det är vår ambition att den av oss föreslagna lagen ska vara proportionerlig i förhållande till det mål som eftersträvas och att lagen ska säkerställa ett gott skydd för enskildas personliga integritet. Den föreslagna lagen kommer vidare att innehålla olika former av skyddsåtgärder som har till syfte att skydda enskildas rättigheter och intressen i antidopningsarbetet. I några avseenden kommer lagförslaget att innehålla en viss dubbelreglering i förhållande till dataskyddsförordningens regler. Den omständigheten att lagen riktar sig till privaträttsliga aktörer kan dock tala för att en särskild tydlighet bör eftersträvas i regleringen.
7. Allmänna bestämmelser
7.1. Syftet med lagen
Förslag: Lagens syfte ska vara dels att möjliggöra att person-
uppgifter kan behandlas inom idrottens antidopningsarbete på ett ändamålsenligt sätt, dels att skydda fysiska personer mot att deras personliga integritet kränks vid sådan behandling.
Syftet med lagen är tudelat. Den syftar dels till att ge aktörerna inom idrottens antidopningsarbete möjlighet att behandla personuppgifter på ett effektivt, ändamålsenligt och rättssäkert sätt i detta arbete, dels till att tillförsäkra de personer som berörs av behandlingen ett gott skydd för sina personuppgifter.
Det förekommer att registerförfattningar innehåller en inledande bestämmelse som anger författningens syfte. En sådan inledande bestämmelse kan få relevans i rättstillämpningen genom att ge vägledning för tolkningen av de materiella bestämmelserna i lagen. En syftesbestämmelse kan också ha betydelse genom att den anger att lagen endast innehåller sådana bestämmelser som är av dataskyddsrättslig karaktär (jfr SOU 2015:39 s. 220). Vidare kan bestämmelsen tydliggöra att det finns en rättslig grund för personuppgiftsbehandlingen enligt de krav som anges i artikel 6.3 i dataskyddsförordningen. Samtliga dessa skäl talar för att lagen bör innehålla en syftesbestämmelse.
Dataskyddsförordningens syfte återfinns i artikel 1. Där anges att förordningen fastställer bestämmelser om skydd för fysiska personer med avseende på behandling av personuppgifter och om det fria flödet av personuppgifter. Förordningen ska vidare skydda fysiska personers grundläggande rättigheter och friheter, särskilt deras rätt till skydd av personuppgifter. Det anges också att det fria flödet av personuppgifter inom unionen varken får begränsas eller förbjudas
av skäl som rör skyddet för fysiska personer med avseende på behandlingen av personuppgifter.
Enligt vår bedömning är vårt förslag till reglering av syftet med lagen förenligt med vad som följer av dataskyddsförordningen.
7.2. Lagens tillämpningsområde
Förslag: Med idrottens antidopningsarbete avses i lagen sådant
arbete som utförs på grund av världsantidopningskoden eller de till koden hörande internationella standarderna. Lagen ska vara tillämplig när personuppgifter i detta arbete behandlas av
1. Sveriges Riksidrottsförbund (RF) samt föreningar och förbund som är anknutna till RF,
2. andra föreningar och förbund i Sverige som är anknutna till ett
internationellt specialidrottsförbund som är signatär av världsantidopningskoden, samt
3. annan signatär av världsantidopningskoden än RF, om person-
uppgifterna behandlas i Sverige.
Lagen ska vidare vara tillämplig när personuppgifter behandlas i idrottens antidopningsarbete som utförs på uppdrag av en signatär av världsantidopningskoden av
1. organ som är etablerat i Sverige, samt
2. organ som inte är etablerat i Sverige, om personuppgifterna
behandlas i Sverige.
Lagen ska endast gälla om behandlingen är helt eller delvis automatiserad eller om personuppgifterna ingår i eller är avsedda att ingå i en strukturerad samling av personuppgifter som är tillgänglig för sökning eller sammanställning enligt särskilda kriterier.
7.2.1. Verksamhet som bör omfattas av lagen
Inledning
Utredningens direktiv innehåller ingen närmare precisering av vad som ska avses med antidopningsarbete inom idrotten. I direktiven hänvisas till det arbete som utförs av Världsantidopningsbyrån (WADA) och den världsantidopningskod som har antagits av WADA. Vidare sägs att antidopningsarbetet inom idrotten i Sverige i dag framför allt sköts av RF, som har genomfört världsantidopningskoden i sitt regelverk genom att anta Idrottens antidopingreglemente. Det anges i sammanhanget vara en förutsättning att idrottens antidopningsverksamhet även framöver är förenlig med världsantidopningskodens bestämmelser. Direktiven innehåller dock ingen begränsning till endast den behandling av personuppgifter som RF utför. Enligt direktiven ska det vara en utgångspunkt för utredningen att det för närvarande är RF som hanterar större delen av idrottens antidopningsarbete i Sverige, men att också myndigheter och privata aktörer arbetar mot dopning i samhället samt att det i arbetet mot dopning sker behandling av personuppgifter.
Således anges det inte direkt i utredningsdirektiven vems personuppgiftsbehandling som den föreslagna lagen bör omfatta eller vilken verksamhet den ska vara tillämplig på. Det sagda innebär att det finns anledning att närmare diskutera hur lagen om dataskydd i idrottens antidopningsarbete bör avgränsas.
Arbete som utförs på grund av världsantidopningskoden
Sverige har genom att ratificera Europarådets konvention mot dopning med dess tilläggsprotokoll samt Unescos konvention mot dopning inom idrotten påtagit sig ett ansvar för att bekämpa dopning inom idrotten. Sverige har också lämnat sitt godkännande till det antidopningsarbete som utförs enligt världsantidopningskoden. Vidare har Sverige förbundit sig till principerna i koden.
Världsantidopningskoden är, som tidigare framgått, det fundamentala och universella dokument som stora delar av den organiserade idrotten ska rätta sig efter. Koden syftar till att tillförsäkra alla idrottsutövare deras grundläggande rätt att delta i en idrott fri
från dopning och på så sätt främja god hälsa och rättvisa för idrottsutövare. Ett ytterligare syfte med världsantidopningskoden är att harmonisera antidopningsarbetet inom idrotten på internationell och nationell nivå. Världsantidopningskoden innehåller regler som signatärerna av koden är skyldiga att följa. Den reglerar t.ex. vad som utgör en dopningsförseelse. Koden innehåller vidare bestämmelser om bl.a. dopningskontroller, vistelserapporteringar, resultathantering och utredning av dopningsförseelser. Till världsantidopningskoden hör ett antal internationella standarder, för närvarande sex stycken, som är obligatoriska att följa för signatärerna av världsantidopningskoden. En internationell standard avser medicinsk dispens från dopningsreglerna, en annan standard avser dopningskontroller och utredning. Ytterligare en standard avser skyddet av privatlivet och personuppgifter. I den senare standarden anges att den inte är tillämplig för det fall den bryter mot inhemsk lagstiftning.
Enligt vår mening är det vid utformningen av vår lag rimligt att utgå från det ansvar Sverige har åtagit sig för idrottens antidopningsarbete enligt världsantidopningskoden. Således är det vår uppfattning att lagen om dataskydd i idrottens antidopningsarbete bör vara tillämplig för all den personuppgiftsbehandling som sker i Sverige på grund av sådant antidopningsarbete som utförs i enlighet med världsantidopningskoden och de internationella standarder som tillhör koden. Lagen bör dock endast vara tillämplig för behandling av personuppgifter i detta antidopningsarbete och inte vid personuppgiftsbehandling för intern administration som avser löne- och ekonomiadministration samt andra personalfrågor. I den interna administrationen får normalt dataskyddsförordningen tillämpas.
Världsantidopningskoden och de tillhörande standarderna utvärderas och uppdateras kontinuerligt. En ny version av världsantidopningskoden är t.ex. planerad att antas i november 2019, för att börja gälla den 1 januari 2021. För att inte den av oss föreslagna lagen ska behöva ändras då justeringar görs i koden och standarderna bör lagens hänvisning till dessa instrument vara dynamisk och alltså avse koden och de kompletterande standarderna i den vid varje tidpunkt gällande lydelsen.
Nedan finns en bild över de aktörer som kan behandla personuppgifter i ett antidopningsarbete som utförs i Sverige i enlighet med världsantidopningskoden och som därför omfattas av våra förslag.
Antidopningsarbete som utförs av RF och dess medlemsorganisationer
RF samt Sveriges Olympiska Kommitté och Sveriges Paralympiska Kommitté är svenska signatärer av världsantidopningskoden. Antidopningsarbetet har dock av de två senare organisationerna överlåtits till RF, som är svensk idrotts nationella antidopningsorganisation (NADO) i enlighet med världsantidopningskoden (se 13 kap. 1 § i RF:s stadgar). Således är RF enligt världsantidopningskoden skyldigt att utföra antidopningsarbete inom idrotten i Sverige. RF erhåller också hela det statliga anslaget för insatser mot dopning. Den föreslagna lagen bör därför omfatta den personuppgiftsbehandling som sker inom detta antidopningsarbete.
RF:s antidopningsarbete bedrivs enligt RF:s stadgar i alla organisationsled inom organisationen, under ledning av Dopingkommissionen (se 13 kap. 1 §). Antidopningsarbetet utförs främst av den operativa Antidopingavdelningen, som därmed också utför den större delen av personuppgiftsbehandlingen i detta arbete. Även Dopingkommissionen behandlar personuppgifter, t.ex. vid anmälan av bestraffningsärenden enligt Idrottens antidopingreglemente. Personuppgifter behandlas också av de dopningskontrollfunktionärer som utför dopningskontroller. Vidare behandlar Dispenskommittén personuppgifter i avidentifierad form vid bedömning av idrottsutövares ansökningar om dispens från dopningsreglerna. Även de dömande instanserna, Dopingnämnden och Riksidrottsnämnden, behandlar personuppgifter i samband med bestraffningsärenden. All denna personuppgiftsbehandling bör omfattas av den föreslagna lagen.
Specialidrottsförbund som är medlemmar i RF ska enligt RF:s stadgar aktivt arbeta för en dopningsfri verksamhet inom förbundet och anslutna föreningar. De ska också upprätta en plan för antidopningsarbetet. Vidare ska de på begäran av bl.a. Dopingkommissionen lämna uppgifter och avge yttranden (se 11 kap. 4 §). Ett specialidrottsförbund i Sverige som av ett internationellt specialidrottsförbund eller på annat sätt underrättats om ett positivt prov eller misstänkt fall av dopning eller annan misstänkt förseelse mot dopningsreglerna ska också snarast underrätta Dopingkommissionen (se 13 kap. 5 §). Vidare följer av artikel 2.3 i RF:s föreskrifter för nationell antidopingverksamhet att specialidrottsförbund är skyldiga att till
Dopingkommissionen rapportera vilka idrottsutövare som av ett internationellt specialidrottsförbund utsetts att ingå i dess kontrollpool och därmed ska dopningstestas regelbundet. Specialidrottsförbunden ska också på begäran av Dopingkommissionen lämna person- och adressuppgifter till idrottsutövare som kan ingå i en kontrollpool. Även specialidrottsförbund som är medlemmar i RF behandlar således personuppgifter i antidopningsarbetet.
Enskilda idrottsföreningar som är anknutna till RF ska enligt RF:s stadgar på begäran av Dopingkommissionen avge yttranden samt lämna uppgifter till kommissionen (se 8 kap. 5 §). Det kan t.ex. handla om att lämna ut deltagarlistor för olika tävlingar där dopningstester kan behöva utföras. Även enskilda idrottsföreningar kan därmed i någon mån behandla personuppgifter i antidopningsarbetet. Distriktsidrottsförbunden och specialdistriktsidrottsförbunden behandlar dock endast i begränsad omfattning personuppgifter i detta arbete. Det kan t.ex. förekomma att distriktsidrottsförbunden behandlar personuppgifter i samband med planering av förebyggande dopningskontroller.
Det är huvudorganisationen RF som enligt världsantidopningskoden har ett krav på sig att utföra ett antidopningsarbete. Enligt vår mening är det dock rimligt att även sådan personuppgiftsbehandling som i antidopningsarbetet utförs av RF:s medlemsorganisationer omfattas av lagen. Denna personuppgiftsbehandling utförs nämligen som ett led i RF:s antidopningsarbete (se 13 kap. 1 § i RF:s stadgar). Medlemsorganisationerna kan vidare ha krav på sig att utföra ett antidopningsarbete eftersom de tillhör internationella specialidrottsförbund som är signatärer av världsantidopningskoden. Det är således vår bedömning att den personuppgiftsbehandling som i antidopningsarbetet utförs av RF samt de föreningar och förbund som är anknutna till RF bör omfattas av den föreslagna lagen. Den av oss föreslagna lagen omfattar dock endast sådan personuppgiftsbehandling som sker i ett antidopningsarbete som utförs på grund av världsantidopningskoden med tillhörande standarder. Om det skulle förekomma antidopningsarbete som inte kan anses grunda sig på koden, ger vår lag inte stöd för personuppgiftsbehandlingen på grund av sådant arbete.
Antidopningsarbete som utförs av föreningar och förbund utanför RF
Det finns ett fåtal nationella specialidrottsförbund i Sverige som inte är medlemmar i RF, men som tillhör internationella specialidrottsförbund som är signatärer av världsantidopningskoden. Ett sådant nationellt specialidrottsförbund är Svenska Bodybuilding- och Fitnessförbundet som tillhör Internationella bodybuilding- och fitnessförbundet. Andra exempel är Svenska Cheerleadingförbundet som ingår i Internationella cheerleadingförbundet och Svenska Surfförbundet som tillhör Internationella surfförbundet.
För att ett nationellt specialidrottsförbund ska få ingå i ett internationellt specialidrottsförbund som är signatär av världsantidopningskoden krävs enligt koden att det nationella förbundet följer bestämmelserna i koden (se artikel 20.3). Ett nationellt specialidrottsförbund ska bl.a. anta regler som innebär att dess idrottsutövare ska följa antidopningsreglerna. Ett nationellt specialidrottsförbund ska också bl.a. underrätta den nationella antidopningsorganisationen och det internationella specialidrottsförbundet om eventuella dopningsförseelser.
Således har även nationella specialidrottsförbund som inte tillhör RF indirekt ett krav på sig att utföra ett antidopningsarbete i enlighet med världsantidopningskoden, om de tillhör ett internationellt specialidrottsförbund som är signatär av koden. I detta antidopningsarbete sker, liksom hos de nationella specialidrottsförbund som är anknutna till RF, en viss behandling av personuppgifter. Den föreslagna lagen bör därför omfatta även dessa nationella specialidrottsförbund. Härigenom skapas en rättslig grund enligt artikel 6.3 i dataskyddsförordningen för den personuppgiftsbehandling som sker i förbundens antidopningsarbete (se avsnitt 6.1 och 6.3).
Mot bakgrund av att de nationella specialidrottsförbunden som här avses tillhör internationella specialidrottsförbund som är signatärer av världsantidopningskoden, får det normalt presumeras att det antidopningsarbete som utförs av de nationella förbunden utförs på grund av koden med tillhörande standarder. Om det skulle förekomma antidopningsarbete hos de nationella specialidrottsförbunden som inte kan anses grunda sig på koden, ger emellertid vår lag inte stöd för personuppgiftsbehandlingen på grund av sådant arbete.
Enligt vår mening bör lagen även omfatta sådana idrottsföreningar i Sverige som genom sitt medlemskap i de här aktuella specialidrottsförbunden är anknutna till ett internationellt specialidrottsförbund som är signatär av världsantidopningskoden. Dessa idrottsföreningar kan nämligen, i samma utsträckning som de idrottsföreningar som är anknutna till RF, bli skyldiga att lämna information och deltagarlistor m.m. till det nationella eller internationella specialidrottsförbundet i antidopningsarbetet. Även idrottsföreningar som är anknutna till ett internationellt specialidrottsförbund som är signatär av världsantidopningskoden kan därmed i någon mån behandla personuppgifter i det antidopningsarbete som utförs enligt koden och bör därför omfattas av lagen.
Antidopningsarbete som utförs av andra signatärer
RF står för huvuddelen av alla dopningskontroller som utförs inom idrottens antidopningsarbete i Sverige. Enligt världsantidopningskoden får dock dopningstester, förutom av de nationella antidopningsorganisationerna, utföras i Sverige även av internationella specialidrottsförbund och större tävlingsarrangörer (se artikel 5 i koden). Även WADA har rätt att utföra dopningstester enligt världsantidopningskoden, men utför inte i dag något sådant operativt arbete.
Internationella specialidrottsförbund som är signatärer av världsantidopningskoden har således möjlighet att i Sverige utföra dopningstester på idrottsutövare som tävlar på internationell nivå. I vilken utsträckning detta sker skiljer sig åt mellan de olika internationella specialidrottsförbunden. Vissa väljer att inte alls utföra dopningstester i Sverige, eftersom de anser att det arbete som utförs av RF är tillräckligt. Andra låter utföra egna dopningstester i viss utsträckning. Vidare kan det alltså förekomma att tävlingsarrangörer som är signatärer av världsantidopningskoden, såsom de olympiska kommittéerna, utför dopningstester i Sverige före, under och efter en viss tävling. Även andra länders nationella antidopningsorganisationer kan tänkas utföra dopningstester i Sverige. Exempelvis kan Tysklands nationella antidopningsorganisation dopningstesta tyska skidåkare när de befinner sig i Sverige. Normalt ger man dock i sådana fall RF eller ett privat serviceföretag i uppdrag att utföra dopningstesterna.
Internationella specialidrottsförbund och tävlingsarrangörer som är signatärer av världsantidopningskoden kan vara etablerade såväl inom som utom EU. Så kan vara fallet även för de nationella antidopningsorganisationerna. Dataskyddsförordningen är som huvudregel tillämplig för dem som är etablerade i unionen eller EES (jfr artikel 3.1). Förordningen är dock därtill i vissa fall tillämplig även för personuppgiftsansvariga och personuppgiftsbiträden som inte alls är etablerade inom EU/EES. Enligt artikel 3.2 ska förordningen tillämpas, trots att etablering inom unionen saknas, om behandlingen avser registrerade som befinner sig i unionen och har anknytning antingen till utbjudande av varor eller tjänster till registrerade i unionen eller övervakning av registrerades beteende i unionen. Dopningskontroller innebär i sig en kontroll av idrottsutövares intag av förbjudna substanser. Enligt vår mening får dopningskontrollerna därmed anses ha anknytning till övervakning av registrerades beteenden i unionen. Således är förordningen tillämplig även för sådana organisationer som inte är etablerade inom EU/EES men som utför dopningskontroller här.
Dopningstester som sker i Sverige av ovannämnda organ kan inte sägas följa av ett uttryckligt krav enligt världsantidopningskoden. Enligt koden får dock detta antidopningsarbete utföras i Sverige och utförs också i dag. Enligt vår mening är det lämpligt att vår lag omfattar sådan personuppgiftsbehandling som i dag utförs i Sverige som en följd av världsantidopningskoden. Det är därför vår uppfattning att vår lag om dataskydd i idrottens antidopningsarbete bör omfatta sådan personuppgiftsbehandling som i antidopningsarbetet sker i Sverige av signatärer till världsantidopningskoden.
Antidopningsarbete som utförs av serviceföretag
De internationella specialidrottsförbunden har normalt inte egna dopningskontrollfunktionärer. Inte heller tävlingsarrangörer eller WADA har egna kontrollfunktionärer. Om dessa organisationer vill att ytterligare dopningskontroller ska utföras i Sverige kan de ge RF i uppdrag att utföra kontrollerna. Uppdraget kan dock även ges till ett privat serviceföretag. Även RF och andra nationella antidopnings-
organisationer kan ge serviceföretag i uppdrag att utföra dopningskontroller. För RF:s del sker detta normalt när svenska idrottsutövare befinner sig utomlands, exempelvis på träningsläger.
Serviceföretagen kan vara etablerade såväl inom som utom EU. I dagsläget har ett serviceföretag, International Doping Tests & Management AB IDTM (nedan kallat IDTM), sitt säte i Sverige. Bland företagets tjänster ingår att organisera, planera och genomföra dopningstester i enlighet med världsantidopningskoden. Testerna genomförs på idrottsutövare över hela världen, så även i Sverige, utifrån kundernas önskemål. Bland företagets tjänster ingår även resultathantering och hantering av dispensansökningar.
Vi har ovan sagt att det är vår uppfattning att dataskyddsförordningen är tillämplig även för sådana organisationer som inte är etablerade inom EU/EES men som utför dopningskontroller här. Det är alltså vår uppfattning att förordningen är tillämplig även för serviceföretag som inte är etablerade inom EU/EES men som utför dopningskontroller på idrottsutövare som befinner sig här (jfr artikel 3.2 i dataskyddsförordningen).
Serviceföretagen är visserligen inte signatärer av världsantidopningskoden, men de utför sitt arbete på uppdrag av en signatär och i enlighet med koden. Om serviceföretagen inte skulle omfattas av den föreslagna lagen, skulle det kunna innebära att de inte har någon rättslig grund för sin personuppgiftsbehandling enligt dataskyddsförordningen. Detta skulle få till följd att serviceföretagen inte har rätt att utföra det arbete som får anses förutsättas i världsantidopningskoden. Enligt vår mening bör därför serviceföretagen omfattas av vår lag om dataskydd i idrottens antidopningsarbete.
Antidopningsarbete som utförs vid Dopinglaboratoriet
Endast särskilda av WADA ackrediterade laboratorier får analysera dopningsprov enligt världsantidopningskoden. Ett sådant ackrediterat laboratorium finns i Sverige, vid Karolinska Universitetssjukhuset i Huddinge. Verksamheten drivs av Stockholms läns landsting och finansieras nästan uteslutande av de avgifter som kunderna betalar för varje prov. Förutom RF består kunderna av andra nationella antidopningsorganisationer samt internationella specialidrottsförbund.
Dopinglaboratoriet får i samband med analys av ett dopningsprov tillgång till ett provnummer som är kopplat till en idrottsutövare. Laboratoriet får också uppgift om idrottsutövarens kön, sporttillhörighet och disciplin samt eventuella av idrottsutövaren lämnade uppgifter om användning av medicin. Laboratoriet får inte tillgång till personuppgifter som direkt avslöjar identiteten på den idrottsutövare vars dopningsprov ska analyseras. Provnumret kan emellertid knytas till idrottsutövaren via de uppgifter som RF eller någon annan kund har om dopningskontrollen.
Med personuppgifter avses varje upplysning som direkt eller indirekt kan identifiera en person (se artikel 4.1 i dataskyddsförordningen). Det krävs inte att den personuppgiftsansvarige själv ska förfoga över samtliga uppgifter som gör identifieringen möjlig för att en personuppgift ska anses föreligga (se t.ex. SOU 1997:39 s. 341). Eftersom laboratoriets kunder har tillgång till en s.k. nyckel som möjliggör identifiering av de idrottsutövare vars dopningsprov analyseras hos Dopinglaboratoriet, behandlar laboratoriet personuppgifter i antidopningsarbetet.
Det finns en hel del som talar för att personuppgiftsbehandlingen vid Dopinglaboratoriet omfattas av tillämpningsområdet för patientdatalagen (2008:355). Om så är fallet bör som utgångspunkt inte vår lag omfatta den personuppgiftsbehandlingen eftersom det skulle leda till en dubbelreglering. Patientdatalagen är tillämplig vid vårdgivares behandling av personuppgifter inom hälso- och sjukvården (se 1 kap. 1 §). Med vårdgivare avses i lagen bl.a. ett landsting i fråga om sådan hälso- och sjukvård som landstinget har ansvar för (se 1 kap. 3 §). Med hälso- och sjukvård avses enligt samma bestämmelse bl.a. verksamhet som avses i hälso- och sjukvårdslagen (2017:30).
Enligt definitionen i 2 kap. 1 § hälso- och sjukvårdslagen avses med hälso- och sjukvård bl.a. åtgärder för att medicinskt förebygga, utreda och behandla sjukdomar och skador. Begreppet hälso- och sjukvård har getts samma definition sedan tillkomsten av den äldre hälso- och sjukvårdslagen från 1982. Definitionen får anses vara ganska vid och omfattar även miljöinriktade och individinriktade förebyggande åtgärder. Sådana åtgärder kan innefatta insatser för att fastställa hur kemiska, biologiska, fysiska, sociala och psykologiska faktorer inverkar på befolkningens hälsotillstånd. Beträffande individinriktade förebyggande åtgärder innefattas även åtgärder för att uppspåra hälsoproblem (se prop. 1981/82:97 s. 110 f.).
Privata laboratorier, t.ex. mikrobiologiska eller genetiska laboratorier, som tar emot uppdrag från vårdgivare avseende exempelvis provtagning och analys, betraktas normalt inte som vårdgivare. Ett laboratorium som utgör en integrerad del av en offentlig vårdgivares verksamhet anses däremot bedriva hälso- och sjukvård, t.ex. ett landstings egna mikrobiologiska laboratorier (se Manólis Nymark, Patientdatalagen, kommentaren till 1 kap. 1 §, Zeteo i februari 2019).
Verksamheten vid Dopinglaboratoriet drivs av Stockholms läns landsting och är en del av verksamheten vid Enheten för klinisk farmakologi. Det förhållandet att laboratorieverksamheten utförs inom den offentliga hälso- och sjukvården talar för att patientdatalagen är tillämplig för personuppgiftsbehandlingen vid laboratoriet.
Som ovan konstaterats får definitionen av hälso- och sjukvård anses vara bred och omfattar även åtgärder som utförs för att spåra upp hälsoproblem. Vidare ska inte begreppet sjukdomar i definitionen av hälso- och sjukvård tolkas alltför snävt. Ett fysiskt onormalt tillstånd (som en dopad befinner sig i) kan nog i sammanhanget ses som en sjukdom, inte minst med tanke på de stora hälsorisker som är förknippade med dopning. Med hänsyn till den breda definitionen av vad som utgör hälso- och sjukvård i hälso- och sjukvårdslagen ser vi alltså att det är möjligt att även tolka in arbetet vid Dopinglaboratoriet i detta begrepp.
Dopinglaboratoriet tar visserligen inte uppdrag från vården vid det egna sjukhuset utan endast privata uppdrag från olika organisationer inom idrotten. Arbetet vid laboratoriet innehåller dock i lika liten grad som ett landstings egna mikrobiologiska laboratorier inslag av individnära vård och behandling. Dessa laboratorier anses likväl bedriva hälso- och sjukvård.
Eftersom verksamheten vid Dopinglaboratoriet bedrivs som en del av den allmänna verksamheten vid Karolinska Universitetssjukhuset är det rimligt att den faller under samma lag som resten av verksamheten. Laboratoriet hanterar också enligt uppgift de aktuella personuppgifterna som om de vore patientuppgifter, vilket får förstås som att laboratoriet tillämpar patientdatalagen i sin personuppgiftsbehandling. Vi ser inte skäl att göra någon annan bedömning i denna utredning. Den personuppgiftsbehandling som utförs vid Dopinglaboratoriet bör därför inte omfattas av lagen om dataskydd i idrottens antidopningsarbete.
Antidopningsarbete vid gym- och träningsanläggningar
Friskvårdsföretag som bedriver gym- och träningsverksamhet är inte signatärer av världsantidopningskoden. Inte heller de kommuner eller föreningar som driver gym- och träningsanläggningar är signatärer av koden. Våra undersökningar har visat att de här angivna aktörerna inte heller bedriver något antidopningsarbete motsvarande det som RF gör. Dopningskontroller förekommer alltså inte inom verksamheterna. Vad som kan förekomma är att Polismyndigheten kontaktas på grund av misstankar om brott mot lagen (1991:1969) om förbud mot vissa dopningsmedel. Sådana kontakter skulle kunna innebära behandling av personuppgifter, för det fall enskilda personer nämns i en e-postkontakt med myndigheten. Enligt vår mening bör dock sådan personuppgiftsbehandling kunna undvikas utan att kontakterna med Polismyndigheten försvåras. Det kan även i övrigt förekomma antidopningsarbete hos de angivna aktörerna. Det arbetet förutsätter dock normalt inte någon personuppgiftsbehandling eftersom det är av förebyggande karaktär och utförs på ett generellt plan.
Mot bakgrund av att antidopningsarbetet hos här aktuella organ inte styrs av världsantidopningskoden, bör de inte omfattas av vår lag. Något behov av särskild personuppgiftsreglering synes inte heller föreligga, eftersom det inte har framkommit att organen har behov av att behandla personuppgifter i sitt antidopningsarbete.
7.2.2. Lagens territoriella tillämpningsområde
Behandling av personuppgifter är i många fall en gränsöverskridande aktivitet. Så är fallet även i antidopningsarbetet, som utförs över hela världen. Det förekommer t.ex. att RF utför eller låter ett annat lands nationella antidopningsorganisation eller ett serviceföretag utföra dopningstester på svenska idrottsutövare när de befinner sig utanför Sverige, exempelvis på träningsläger. Vidare kommer med stor sannolikhet resultatet av en dopningskontroll som utförts på uppdrag av ett internationellt specialidrottsförbund i Sverige att behandlas utanför Sveriges gränser. De internationella specialidrottsförbunden har sina säten i ett otal olika länder inom och utom EU och är således föremål för olika lagstiftning. I sådana situationer uppkommer fråga om vilket lands lag som ska tillämpas. Det finns två grundläggande principer för detta val – den lag som gäller i den registrerades land
(effektlandsprincipen) eller den lag som gäller i det land där den personuppgiftsansvarige är etablerad (etableringslandsprincipen).
Etableringslandsprincipen kan sägas vara utgångspunkten i dataskyddsförordningens reglering av det territoriella tillämpningsområdet (se artikel 3.1 och 3.3). Förordningen gäller således för samtliga personuppgiftsansvariga och personuppgiftsbiträden som är etablerade i unionen, oavsett om behandlingen utförs i unionen eller inte. Därutöver är dataskyddsförordningen, som tidigare angetts, i vissa fall tillämplig även för personuppgiftsansvariga och personuppgiftsbiträden som inte alls är etablerade inom EU (se artikel 3.2). I dessa fall gäller effektlandsprincipen. Dataskyddsförordningen innehåller dock inte någon reglering om vilken nationell rätt som ska gälla vid gränsöverskridande personuppgiftsbehandling. Eftersom förordningen inte reglerar tillämpningsområdet för kompletterande nationell lagstiftning bör medlemsstaterna i princip vara fria att bestämma detta själva (se prop. 2017/18:105 s. 317).
EU-kommissionen har framhållit behovet av att medlemsstaterna tar ställning till det territoriella tillämpningsområdet för nationell lagstiftning som kompletterar dataskyddsförordningen. Kommissionen har förordat att etableringslandsprincipen bör gälla som utgångspunkt. Ett val av etableringslandsprincipen innebär nämligen att risken för normkonflikter vid gränsöverskridande behandling av personuppgifter kan minimeras. Därmed minskar även risken för att det fria flödet av personuppgifter inom unionen hindras. (Se Ju2017/04264/L6 s. 3 ff.)
Dataskyddslagen innehåller i 1 kap. 5 § en bestämmelse om den lagens territoriella tillämpningsområde som i stora drag motsvarar principerna i dataskyddsförordningen. Enligt bestämmelsen gäller som huvudregel etableringslandsprincipen för dataskyddslagen tillämpningsområde. Lagen är därmed som huvudregel tillämplig vid behandling av personuppgifter som utförs inom ramen för verksamhet som bedrivs vid personuppgiftsansvarigas eller personuppgiftsbiträdens verksamhetsställen i Sverige. Även effektlandsprincipen kan dock bli tillämplig i vissa fall då personuppgiftsansvariga och personuppgiftsbiträden inte är etablerade inom EU.
I artikel 4 i det tidigare gällande dataskyddsdirektivet anges, till skillnad från i dataskyddsförordningen, vilken medlemsstats nationella rätt som ska tillämpas i olika fall. Artikeln genomfördes genom 4 § personuppgiftslagen (1998:204). Enligt bestämmelsen gäller lagen
för sådana personuppgiftsansvariga som är etablerade i Sverige. Vidare ska lagen också tillämpas när den personuppgiftsansvarige är etablerad i tredjeland men för behandlingen av personuppgifter använder sig av utrustning som finns i Sverige, om inte utrustningen bara används för att överföra uppgifter mellan ett tredjeland och ett annat sådant land. Personuppgiftslagen var således inte tillämplig för personuppgiftsansvariga etablerade i andra EU-länder. En liknande avgränsning av lagens territoriella tillämpningsområde infördes i kameraövervakningslagen (2013:460). Den lagen har numera ersatts av kamerabevakningslagen (2018:1200) utan att det territoriella tillämpningsområdet för lagen har ändrats. Vid införandet av kameraövervakningslagen angavs att det skulle vara oförenligt med artikel 4 i det dåvarande dataskyddsdirektivet att den svenska regleringen även skulle omfatta den som är etablerad i en annan EU-stat (se prop. 2012/13:115 s. 41). Någon liknande begränsning finns dock alltså inte i dataskyddsförordningen.
Det är ur ett tillämpningsperspektiv viktigt att det står klart i vilka situationer vår lag om dataskydd i idrottens antidopningsarbete är tillämplig. Utan reglering av det territoriella användningsområdet kommer det att råda osäkerhet i denna fråga.
Som angetts ovan bör enligt vår mening lagen omfatta all sådan personuppgiftsbehandling som i antidopningsarbetet utförs av RF samt föreningar och förbund som är anknutna till RF. Lagen bör även omfatta den personuppgiftsbehandling som i antidopningsarbetet utförs av föreningar och förbund i Sverige som inte är anknutna till RF men som är anknutna till ett internationellt specialidrottsförbund som är signatär av världsantidopningskoden. Dessa organ är alla etablerade i Sverige. I enlighet med etableringslandsprincipen saknar det därmed betydelse var behandlingen faktiskt utförs och var den registrerade befinner sig; lagen kommer ändå att vara tillämplig. Det är vår uppfattning att den s.k. etableringsprincipen bör gälla även för serviceföretag som har sitt säte i Sverige, dvs. i dag IDTM.
Därutöver bör lagen, som tidigare konstaterats, omfatta även andra som utför ett antidopningsarbete i Sverige med stöd av världsantidopningskoden, dvs. signatärer av världsantidopningskoden samt serviceföretag som utför antidopningsarbete enligt koden på uppdrag av en signatär. Dessa organisationer är troligen inte etablerade i Sverige och är möjligen inte alls etablerade inom EU. För det fall lagen inte är tillämplig för dessa aktörer är det inte säkert att de har
en rättslig grund för sin behandling av personuppgifter i Sverige. Genom att lagen blir tillämplig även för dessa aktörer möjliggörs att behandling kan ske av personuppgifter i det antidopningsarbete som utförs i Sverige på grund av världsantidopningskoden, oavsett vem som utför behandlingen.
Det hade varit möjligt att för dessa övriga aktörer använda sig av den s.k. effektlandsprincipen. Det skulle dock innebära att lagen skulle vara tillämplig oavsett var i världen behandlingen utfördes bara en idrottsutövare fysiskt befinner sig i Sverige. Enligt vår mening skulle det vara oproportionerligt att låta lagen få ett så pass vidsträckt tillämpningsområde. Även om det således inte är helt förenligt med den s.k. effektlandsprincipen är det därför vår bedömning att lagen endast bör omfatta sådan personuppgiftsbehandling som i antidopningsarbetet utförs i Sverige av andra signatärer till världsantidopningskoden än RF, eller som utförs av serviceföretag som inte är etablerade i Sverige på uppdrag av RF eller en annan signatär.
Förslaget innebär att lagen ska vara tillämplig även för behandling av personuppgifter som utförs i Sverige av den som är etablerad i en annan EU-stat. Det finns visserligen risk för att sådana aktörer kan komma att omfattas såväl att det svenska regelverket som av ett regelverk som gäller i etableringslandet. Som vi ser det innebär dock vår lag om dataskydd i idrottens antidopningsarbete ett möjliggörande av behandling av personuppgifter i antidopningsarbetet, eftersom lagen i sig skapar en rättslig grund denna behandling. Därmed minskar risken för att det fria flödet av personuppgifter inom unionen hindras. Lagen har således till syfte att skapa förutsättningar för det arbete som utförs enligt världsantidopningskoden och avser inte att begränsa detta arbete. Risken för normkonflikter torde därmed vara minimal.
Som tidigare angetts är det vår uppfattning att behandling av personuppgifter i antidopningsarbetet har anknytning till övervakning av idrottsutövarnas beteende. Tillämpningsområdet för lagen går därmed inte utöver tillämpningsområdet för dataskyddsförordningen.
7.2.3. Automatiserad behandling och manuella register
Den nya lagen bör gälla för sådan behandling av personuppgifter som är helt eller delvis automatiserad och för annan behandling av personuppgifter som ingår i eller är avsedda att ingå i en strukturerad samling av personuppgifter som är tillgängliga för sökning eller sammanställning enligt särskilda kriterier (register). Tillämpningsområdet för lagen ansluter därmed till tillämpningsområdet för dataskyddsförordningen och dataskyddslagen. Manuell behandling av personuppgifter som inte ingår i en uppgiftssamling som är strukturerad för sökning eller sammanställning, såsom minnesanteckningar som enbart förs på papper, kommer därmed inte att omfattas av lagen.
7.3. Förhållandet till annan reglering
Förslag: Lagen ska innehålla en upplysning om att den komplet-
terar dataskyddsförordningen.
Dataskyddslagen ska gälla, om inte annat följer av lagen. Lagen ska inte gälla då personuppgifter behandlas hos Dopinglaboratoriet vid Karolinska Universitetssjukhuset med stöd av patientdatalagen.
Bedömning: Lagen har, tillsammans med dataskyddsförordningen
och dataskyddslagen, företräde framför idrottsrörelsens interna bestämmelser om personuppgiftsbehandling. Detta behöver inte särskilt anges i lagen.
7.3.1. Dataskyddsförordningen
Dataskyddsförordningen är direkt tillämplig och har företräde framför nationell lagstiftning. Den nya lagen om dataskydd i idrottens antidopningsarbete kommer därför endast att innehålla bestämmelser som kompletterar eller tar över bestämmelserna i dataskyddsförordningen, när det är tillåtet. För att tillämparen ska få en fullständig bild av vilken reglering som gäller bör den föreslagna lagen innehålla en bestämmelse som upplyser om att dataskyddsförordningen gäller. Bestämmelsen bör formuleras på samma sätt som i andra registerlagar som kompletterar dataskyddsförordningen (se t.ex. lagen [2001:183]
om behandling av personuppgifter i verksamhet med val och folkomröstningar).
7.3.2. Dataskyddslagen
Dataskyddslagen innehåller nationella kompletterande bestämmelser till dataskyddsförordningen. Av 1 kap. 6 § dataskyddslagen framgår att om en annan lag eller förordning innehåller någon bestämmelse som rör behandling av personuppgifter och som avviker från dataskyddslagen ska den bestämmelsen tillämpas. Dataskyddslagen är alltså subsidiär i förhållande till annan lagstiftning om behandling av personuppgifter.
Eftersom dataskyddslagen är subsidiär behövs ingen materiell bestämmelse för att den nya lagen ska gälla utöver dataskyddslagen. Av tydlighetsskäl innehåller dock flertalet registerförfattningar en bestämmelse om förhållandet till den generella regleringen i dataskyddslagen. Av samma tydlighetsskäl föreslår vi en bestämmelse som innebär att dataskyddslagen gäller vid behandling av personuppgifter enligt lagen om dataskydd i idrottens antidopningsarbete, om inte annat följer av den föreslagna lagen. Bestämmelsen om förhållandet till dataskyddslagen bör formuleras som i andra registerlagar som har anpassats till dataskyddsförordningen (se t.ex. den ovan nämnda lagen om behandling av personuppgifter i verksamhet med val och folkomröstningar).
När dataskyddslagen är tillämplig är också bestämmelser som regeringen meddelat i anslutning till dataskyddslagen tillämpliga. Det innebär att eventuella förordningsbestämmelser om undantag från dataskyddslagens tillämplighet gäller.
7.3.3. Patientdatalagen
I avsnitt 7.2.1 har diskuterats huruvida den personuppgiftsbehandling som sker vid det av WADA ackrediterade Dopinglaboratoriet vid Karolinska Universitetssjukhuset omfattas av tillämpningsområdet för patientdatalagen (2008:355). Det är vår uppfattning att patientdatalagen är tillämplig vid den personuppgiftsbehandling som utförs vid Dopinglaboratoriet och att den behandlingen därmed inte bör
omfattas av tillämpningsområdet för den föreslagna lagen om dataskydd i idrottens antidopningsarbete. Det bör i lagen införas en bestämmelse som tydliggör att den inte är tillämplig när personuppgifter behandlas hos Dopinglaboratoriet med stöd av patientdatalagen.
7.3.4. Idrottens regler om personuppgiftsbehandling
Bestämmelser om hur personuppgifter får behandlas i antidopningsarbetet finns i dag inom idrotten (se vidare i avsnitt 4.5). Exempelvis innehåller Idrottens antidopingreglemente bestämmelser om dataintegritet. Även den av RF upprättade Uppförandekoden för behandling av personuppgifter inom idrottsrörelsen är här av intresse. Uppförandekoden gäller för RF samt för de föreningar och förbund som är anknutna till RF. Det kan vidare förekomma att enskilda förbund och idrottsföreningar har egna bestämmelser om hur personuppgifter får behandlas.
Bestämmelserna i dataskyddsförordningen, dataskyddslagen och den föreslagna lagen om dataskydd i idrottens antidopningsarbete är alla överordnade idrottens interna regler. I händelse av kollision mellan idrottens regler och bestämmelserna i dataskyddsförordningen, dataskyddslagen eller lagen om dataskydd i idrottens antidopningsarbete tar således bestämmelserna i de sistnämnda regelverken över. Enligt vår mening behöver detta inte uttryckas särskilt i den av oss föreslagna lagen.
För att undvika missförstånd bör sådana regler för behandling av personuppgifter inom idrotten som är oförenliga med dataskyddsförordningen, dataskyddslagen eller lagen om dataskydd i idrottens antidopningsarbete utmönstras. I klarhetens intresse skulle lämpligen även bestämmelser inom RF:s regelverk som är förenliga med den allmänna dataskyddsregleringen kunna mönstras ut. Sådana bestämmelser som följer av tvingande regler i världsantidopningskoden kan dock inte utmönstras.
7.4. Personuppgiftsansvar
Förslag: Varje organ som omfattas av lagen ska vara personupp-
giftsansvarig för den behandling av personuppgifter som organet utför i idrottens antidopningsarbete. Detta ska anges i lagen.
Bedömning: Det finns inget behov av att i lagen införa bestäm-
melser om personuppgiftsbiträden.
Vilka är personuppgiftsansvariga i antidopningsarbetet?
Begreppet personuppgiftsansvar är centralt i lagstiftning om dataskydd. Den personuppgiftsansvarige är skyldig att se till att behandling av personuppgifter sker i enlighet med tillämpliga bestämmelser. Enskilda ska alltid kunna vända sig till den personuppgiftsansvarige för att göra sina rättigheter gällande.
Med personuppgiftsansvarig avses enligt definitionen i artikel 4.7 i dataskyddsförordningen en fysisk eller juridisk person, myndighet, institution eller annat organ som ensamt eller tillsammans med andra bestämmer ändamålen och medlen för behandlingen av personuppgifter. Den personuppgiftsansvarige har en rad skyldigheter enligt förordningen. Till exempel krävs att den personuppgiftsansvarige ser till att behandlingen av personuppgifter sker på ett korrekt och säkert sätt (artikel 5.2), att oriktiga uppgifter rättas (artikel 16) och att den registrerade ersätts för skada som en rättsstridig behandling av personuppgifter har medfört (artikel 82). Det åligger vidare den personuppgiftsansvarige att genomföra lämpliga tekniska och organisatoriska åtgärder för att säkerställa och kunna visa att behandlingen av personuppgifter utförs i enlighet med förordningen (artikel 24).
Den som behandlar personuppgifter är antingen personuppgiftsansvarig eller personuppgiftsbiträde. Enligt artikel 4.8 i dataskyddsförordningen är ett personuppgiftsbiträde en fysisk eller juridisk person, offentlig myndighet, institution eller annat organ som behandlar personuppgifter för den personuppgiftsansvariges räkning. Personuppgiftsbiträdet har inte inflytande över bestämmandet av personuppgiftsbehandlingens syfte och medel. Biträdet får bara behandla personuppgifter enligt instruktionerna och syftet som givits
av den personuppgiftsansvarige. Ett personuppgiftsbiträde finns alltid utanför den personuppgiftsansvariges organisation.
Avgörande för frågan om vem som är personuppgiftsansvarig i antidopningsarbetet handlar i hög grad om att avgöra vem som har sådan kontroll över en viss behandling att denna bör åläggas ansvaret för att ge de registrerade fullgott skydd. Bedömningen av vem som är personuppgiftsansvarig för en viss behandling ska göras med utgångspunkt i de faktiska omständigheterna i varje enskilt fall.
Vi har i avsnitt 7.2.1 framfört att lagen om dataskydd i idrottens antidopningsarbete bör omfatta behandling av personuppgifter som utförs av RF samt föreningar och förbund som är anknutna till RF. Vi har också angett att lagen bör omfatta behandling som utförs av föreningar och förbund i Sverige som inte är anknutna till RF men som är anknutna till ett internationellt specialidrottsförbund som är signatär av världsantidopningskoden samt av andra signatärer av världsantidopningskoden än RF om personuppgifterna behandlas i Sverige. Vi har vidare framfört att lagen bör omfatta personuppgiftsbehandling som sker av serviceföretag som i vissa närmare angivna fall utför antidopningsarbete på uppdrag av en signatär till koden.
Det står klart att RF och andra signatärer av världsantidopningskoden är att se som personuppgiftsansvariga för sin personuppgiftsbehandling i antidopningsarbetet. Enligt vår mening får även de förbund och föreningar som tillhör RF anses ha sådan kontroll över sin personuppgiftsbehandling i antidopningsarbetet att de är att se som personuppgiftsansvariga för denna behandling. Detsamma bör gälla för sådana förbund och föreningar i Sverige som inte tillhör RF men som tillhör ett internationellt specialidrottsförbund som är signatär av världsantidopningskoden.
En annan fråga är vad som gäller för de serviceföretag som utför dopningskontroller på uppdrag av en signatär till världsantidopningskoden. Bedömningen av huruvida de är att se som personuppgiftsansvariga eller personuppgiftsbiträden är inte alldeles självklar. Serviceföretagen är anlitade för att utföra en dopningskontroll och inte för att utföra personuppgiftsbehandling för någon annans räkning. Däremot förutsätter naturligen uppdraget att personuppgifter behandlas. Personuppgifter lämnas också över till serviceföretaget genom att det får en tillfällig tillgång till idrottsutövarens vistelserapportering m.m. i WADA:s databas ADAMS. Serviceföretagen har
också möjlighet att föra in eller ändra information i ADAMS under tiden de har tillgång till personuppgifterna.
Dopningskontrollerna utförs av serviceföretagen i enlighet med reglerna i världsantidopningskoden och de tillhörande standarderna. Vidare är det uppdragsgivaren som bestämmer vilka idrottsutövare som ska dopningskontrolleras och i vilken utsträckning samt vilken form av test (blod och/eller urin) som ska lämnas. Själva personuppgiftsbehandlingen synes dock inte utföras efter anvisningar från uppdragsgivaren. Det står också serviceföretagen fritt att på egen hand samla in information om var den enskilde idrottsutövaren befinner sig, för att ta ställning till när det är lämpligt att utföra en dopningskontroll. Det anförda talar enligt vår bedömning för att det är serviceföretaget som ensamt har kontroll över hur själva dopningskontrollen ska utföras och därmed hur personuppgifterna ska behandlas i det sammanhanget.
En jämförelse kan göras med inkassoföretag som hanterar inkassoärenden för indrivning för någon annans räkning. Dessa inkassoföretag är normalt personuppgiftsansvariga för det de gör i sin verksamhet. Även i sådana fall lämnar uppdragsgivare över ärenden som innehåller personuppgifter för behandling hos inkassoföretaget. Uppdraget avser dock inkassoverksamhet och inte behandling av personuppgifter. Liknande situationer kan uppstå när uppdrag lämnas till banker, advokatbyråer, rekryteringsföretag m.fl. som sköter uppdrag för annans räkning. Även dessa företag anses normalt vara personuppgiftsansvariga för behandlingen av personuppgifter i sin verksamhet.
Det kan i sammanhanget påpekas att många personuppgiftsansvariga är styrda av omständigheter som helt eller delvis ligger bortom den egna kontrollen, t.ex. författningsbestämmelser, myndighetsinstruktioner, samarbetsavtal samt andra praktiska realiteter och yttre faktorer. I personuppgiftsansvaret ligger då en skyldighet att sammanjämka dessa olika krav och vidta nödvändiga åtgärder, inom de ramar som föreligger, för att på bästa sätt säkerställa att gällande personuppgiftsbestämmelser följs och samtidigt leva upp till gällande åtaganden och förpliktelser (se prop. 2014/15:148 s. 34).
Det ovanstående innebär enligt vår mening att serviceföretagen bör ses som personuppgiftsansvariga för sin egen behandling av personuppgifter. Enligt vår uppfattning skapar den ansvarsfördelningen totalt sett också ett bättre skydd för de registrerade än om en upp-
dragsgivare som kanske inte finns i Sverige är personuppgiftsansvarig. Vi är dock medvetna om att det finns andra uppfattningar i frågan. Vi är också medvetna om att de faktiska förhållandena kan ändras i framtiden och därmed även personuppgiftsansvaret. I dagsläget finns det dock inget som tyder på kommande förändringar som kan påverka ansvarsfördelningen.
Vad sedan gäller RF:s egna dopningskontrollfunktionärer är de visserligen inte anställda av RF, men de är auktoriserade av Dopingkommissionen och fungerar i praktiken som anställda. De utför de dopningskontroller som RF bestämmer och behandlar de personuppgifter som detta arbete kräver. Det är således RF som leder och ansvarar för dopningskontrollfunktionärernas arbete. En jämförelse kan göras med inhyrda konsulter som arbetar under en kunds ledning och ansvar. Dessa konsulter anses normalt inte vara personuppgiftsbiträden utan ses som en del av den inhyrande organisationen. Enligt vår mening bör således RF:s dopningskontrollfunktionärer ses som en del av RF:s organisation och inte som externa personuppgiftsbiträden.
Personuppgiftsansvaret bör regleras
Enligt dataskyddsförordningen förutsätts att det finns en personuppgiftsansvarig för all behandling av personuppgifter. Om ändamålen och medlen för behandlingen bestäms av medlemsstaternas nationella rätt, kan den personuppgiftsansvarige eller de särskilda kriterierna för hur denne ska utses föreskrivas i medlemsstaternas nationella rätt (artikel 4.7). Förordningen ger alltså möjlighet att fastställa personuppgiftsansvaret i författning.
Som framgått ovan är en rad olika organisationer inblandade i idrottens antidopningsarbete. Arbetet utförs exempelvis av såväl RF som de föreningar och förbund som är anknutna till RF. Vidare kan arbetet utföras av bl.a. internationella specialidrottsförbund, tävlingsarrangörer och serviceföretag. Det skulle av tydlighetsskäl vara lämpligt att i lagen peka ut vem som har ansvaret för den behandling av personuppgifter som sker i antidopningsarbetet. Det är också i linje med principerna om laglighet, korrekthet och öppenhet (artikel 5.1 a) att peka ut en personuppgiftsansvarig direkt i registerlagen, vilket
tydliggör vem som ska hållas ansvarig för den behandling av personuppgifter som görs enligt lagen. En sådan tydlighet anses vidare vara särskilt önskvärd i antidopningsarbetet (jfr EU-kommissionens rapport Anti-Doping and Data Protection, An evaluation of the antidoping laws and practices in the EU Member States in light of the General Data Protection Regulation, 2017, s. 21 och 97).
Det ovan anförda talar för att personuppgiftsansvaret bör regleras särskilt i den av oss föreslagna lagen. Även den omständigheten att det i viss mån råder delade meningar om vem som är personuppgiftsansvarig i antidopningsarbetet talar för att det direkt av lagen bör framgå vem som är ansvarig. Enligt vår mening bör därför personuppgiftsansvaret regleras särskilt i den av oss föreslagna lagen. Avsikten är dock inte att regleringen ska innebära någon förändring i förhållande till vad som redan gäller enligt dataskyddsförordningen. Som en följd av våra slutsatser ovan om vilka aktörer som är personuppgiftsansvariga i antidopningsarbetet föreslår vi därför att det i lagen förs in en bestämmelse som anger att varje organ som omfattas av lagen är personuppgiftsansvarig för den behandling av personuppgifter som organet utför i idrottens antidopningsarbete.
Den föreslagna bestämmelsen har främst ett pedagogiskt syfte. Den innebär att berörda organ och enskilda direkt av lagen kan se vem som är personuppgiftsansvarig i antidopningsarbetet och inte behöver gå till dataskyddsförordningen för att tolka den.
Vi har ovan föreslagit att en bestämmelse om personuppgiftsansvar som motsvarar dataskyddsförordningens reglering tas in i den nya lagen. Men vi har också övervägt andra alternativ. Ett sådant alternativ är att låta RF, som utför största delen av antidopningsarbetet i Sverige, ha ett helhetsansvar för personuppgiftsbehandlingen i detta arbete. De övriga aktörerna i antidopningsarbetet består dock av självständiga juridiska personer och omfattar såväl inhemska idrottsorganisationer som internationella specialidrottsförbund, tävlingsarrangörer och privata serviceföretag. Enligt vår mening skulle det inte vara rimligt att låta RF ansvara för personuppgiftsbehandlingen hos så vitt skilda organisationer. Vi har därför inte funnit skäl att utreda denna lösning närmare.
Ett annat alternativ som vi övervägt är ett delat eller gemensamt personuppgiftsansvar mellan RF och en annan organisation som är inblandad i antidopningsarbetet. Ett gemensamt personuppgiftsansvar är möjligt enligt artikel 26 i dataskyddsförordningen. Enligt vår mening
skulle dock ett sådant delat ansvar kunna medföra beaktansvärda svårigheter när det gäller olika gränsdragningar. Vi har därför inte sett skäl att föreslå en sådan lösning.
Vi har alltså funnit att dessa två alternativ inte är lämpliga. Vi har därför inte tagit ställning om de är helt förenliga med dataskyddsförordningens reglering.
Inget behov av bestämmelser om personuppgiftsbiträden
Den som är personuppgiftsansvarig är enligt dataskyddsförordningen ansvarig för all behandling av personuppgifter som utförs under den personuppgiftsansvariges ledning eller på dennes vägnar. Detta helhetsansvar innebär att ansvaret för behandlingen sträcker sig till att även omfatta den personuppgiftsbehandling som utförs av ett personuppgiftsbiträde (se skäl 74).
Det förekommer att personuppgiftsbiträden anlitas i idrottens antidopningsarbete. Så kan exempelvis vara fallet när ett bolag åtar sig att utföra den tekniska driften av personuppgiftsbehandlingen för en personuppgiftsansvarigs räkning.
Av artikel 29 i dataskyddsförordningen framgår att personuppgiftsbiträden och personer som utför arbete under den personuppgiftsansvariges eller personuppgiftsbiträdets överinseende, och som får tillgång till personuppgifter, endast får behandla dessa uppgifter på instruktion från den personuppgiftsansvarige, såvida han eller hon inte är skyldig att göra det enligt unionsrätten eller medlemsstaternas nationella rätt. Om en behandling ska genomföras på en personuppgiftsansvarigs vägnar, ska den personuppgiftsansvarige endast anlita personuppgiftsbiträden som ger tillräckliga garantier om att genomföra lämpliga tekniska och organisatoriska åtgärder på ett sådant sätt att behandlingen uppfyller kraven i förordningen och säkerställer att den registrerades rättigheter skyddas (se artikel 28.1). Personuppgiftsbiträdets hantering av personuppgifter ska regleras genom avtal eller annan rättsakt som är bindande för biträdet (se artikel 28.3, som också innehåller närmare föreskrifter om vad ett sådant avtal eller en sådan bindande rättsakt ska reglera).
Bestämmelserna i dataskyddsförordningen som reglerar vad som gäller när en personuppgiftsansvarig anlitar ett personuppgiftsbiträde är, enligt vår mening, tillräckliga. Något behov av att i den föreslagna
lagen om dataskydd i idrottens antidopningsarbete införa bestämmelser om personuppgiftsbiträden finns därför inte.
8. Tillåten behandling
8.1. Grundläggande principer för behandling av personuppgifter
Som tidigare sagts krävs det att minst en rättslig grund i artikel 6 i dataskyddsförordningen är tillämplig för att en behandling av personuppgifter ska vara laglig enligt förordningen. Det finns därutöver ett antal principer i artikel 5 i dataskyddsförordningen som ska tillämpas för all behandling av personuppgifter. Det är den personuppgiftsansvarige som ansvarar för och ska kunna visa att principerna efterlevs. För det första ska uppgifterna behandlas på ett lagligt, korrekt och öppet sätt i förhållande till den enskilde (artikel 5.1 a). Uppgifterna ska vidare samlas in för särskilda, uttryckligt angivna och berättigade ändamål och inte senare behandlas på ett sätt som är oförenligt med dessa ändamål (5.1 b). Uppgifterna ska också vara adekvata, relevanta och inte för omfattande i förhållande till de ändamål för vilka de behandlas (5.1 c). Uppgifterna ska dessutom vara riktiga och om nödvändigt uppdaterade. Alla rimliga åtgärder måste vidtas för att säkerställa att personuppgifter som är felaktiga i förhållande till de ändamål för vilka de behandlas raderas eller rättas utan dröjsmål (5.1 d). Personuppgifter får inte förvaras i en form som möjliggör identifiering av den registrerade under en längre tid än vad som är nödvändigt för de ändamål för vilka uppgifterna behandlas (5.1 e). Slutligen ska uppgifterna behandlas på ett sätt som säkerställer lämplig säkerhet för personuppgifterna (5.1 f). Dessa grundläggande principer är tillämpliga för personuppgiftsbehandlingen inom idrottens antidopningsarbete.
Även i den till världsantidopningskoden hörande internationella standarden för skydd av privatlivet och personuppgifter finns angivet vissa grundläggande krav som ska gälla vid behandling av person-
uppgifter i antidopningsarbetet. Standarden är tvingande för signatärerna av världsantidopningskoden och ska tillämpas utom i de fall den bryter mot gällande lagstiftning. I artikel 5.1 i standarden anges att signatärerna endast ska behandla personuppgifter när det är relevant för att utföra ett antidopningsarbete enligt världsantidopningskoden och de internationella standarderna som tillhör koden, eller det annars krävs i författning. Behandling får inte ske om den strider mot tillämplig dataskyddslagstiftning. I artikel 5.2 anges att personuppgifter som är irrelevanta eller onödiga i antidopningsarbetet inte ska behandlas. Vidare framgår av artikel 5.3 att signatärerna endast får behandla personuppgifter som är lämpliga och relevanta när de utför visst närmare angivet antidopningsarbete. Enligt artikel 5.4 ska behandlingen vara rättvis och de uppgifter som behandlas vara korrekta, kompletta och uppdaterade. I artikel 8.1 anges att personuppgifter inte ska lämnas ut till andra aktörer i antidopningsarbetet om det inte är nödvändigt för att mottagaren ska kunna uppfylla sina åtaganden enligt världsantidopningskoden.
Det finns således ett antal generella principer och bestämmelser om hur personuppgifter får behandlas som aktörerna inom idrottens antidopningsarbete har att tillämpa, utöver de som kommer att framgå direkt av vår föreslagna lag om dataskydd i idrottens antidopningsarbete.
8.2. Ändamål för personuppgiftsbehandlingen
Förslag: Personuppgifter får samlas in och i övrigt behandlas i
idrottens antidopningsarbete om det är nödvändigt för att
1. handlägga ansökningar om medicinsk dispens,
2. planera, koordinera och administrera vistelserapporteringar,
3. planera, koordinera och handlägga dopningskontroller,
4. handlägga ärenden om dopningsförseelser, och
5. inhämta, bearbeta, analysera och delge information som gäller
möjliga förseelser mot världsantidopningskoden.
Endast RF får behandla personuppgifter enligt första stycket 5. Andra organ som lagen är tillämplig på får dock behandla personuppgifter om det är nödvändigt för att tillhandahålla information som RF behöver i sin verksamhet enligt första stycket 5.
Ändamålsbestämning
Det är en allmän dataskyddsrättslig princip att personuppgifter bara får samlas in för särskilda, uttryckligt angivna och berättigade ändamål. Så anges också i artikel 5.1 b i dataskyddsförordningen. Där anges vidare att de insamlade uppgifterna inte senare får behandlas på ett sätt som är oförenligt med dessa ändamål. Det sistnämnda kallas för finalitetsprincipen. Finalitetsprincipen medför att det är väsentligt att alla de ändamål för vilka man kan tänkas behöva använda de insamlade uppgifterna finns angivna redan då uppgifterna samlas in. Något hinder mot att ange flera ändamål vid insamlingen finns inte. Enligt bestämmelsen i artikel 5.1 b ska dock behandling för arkivändamål av allmänt intresse, vetenskapliga eller historiska forskningsändamål eller statistiska ändamål i enlighet med artikel 89.1 inte anses vara oförenlig med de ursprungliga ändamålen. Med behandling avses i detta sammanhang varje typ av åtgärd eller kombination av åtgärder som vidtas i fråga om personuppgifter, vare sig det sker på automatiserad väg eller inte, t.ex. insamling, registrering, organisering, bearbetning, utlämnande genom översändande, spridning eller tillhandahållande på annat sätt, utplåning eller förstöring (se artikel 4.2 i dataskyddsförordningen).
Det är den personuppgiftsansvarige som bestämmer ändamålen för personuppgiftsbehandlingen. Ändamålen kan dock även bestämmas av medlemsstaternas nationella rätt (jfr artikel 4.7 i förordningen). Det är i registerförfattningar vanligt förekommande att lagstiftaren anger för vilka ändamål personuppgifter får behandlas. Regeringen har, bl.a. i motiven till studiestödsdatalagen (2009:287), angett att det i en speciallag som riktar sig mot en särskilt angiven verksamhet faller sig naturligt att direkt i lagen ange för vilka ändamål personuppgifter får behandlas på det mer avgränsade området lagen avser att täcka (se prop. 2008/09:96 s. 40).
Ändamålsbestämmelser kan sägas anpassa tillämpningen av dataskyddsförordningen och säkerställa en laglig och rättvis behandling. Sådana bestämmelser är enligt artikel 6.2 och 6.3 i förordningen tillåtna i nationell rätt. Enligt artikel 23.2 a ska dessutom lagstiftning som begränsar tillämpningsområdet för förordningens rättigheter och skyldigheter innehålla specifika ändamålsbestämmelser, när så är relevant. Dataskyddsförordningen ger alltså utrymme för att ha bestämmelser om tillåtna ändamål i nationella registerförfattningar. Oavsett om ändamålen fastställts i författning eller inte är det dock alltid den personuppgiftsansvarige som ansvarar för och ska kunna visa att principerna i artikel 5.1 följs (se artikel 5.2).
Bestämmelser i lagen som anger ändamålen för den tillåtna behandlingen innebär att ramen för behandlingen av personuppgifter fastställs av riksdagen. Uttryckliga ändamålsbestämmelser ger vidare möjlighet att på ett övergripande plan balansera intresset av personuppgiftsbehandling i antidopningsarbetet mot det intrång i den personliga integriteten som denna behandling kan innebära. Ändamålsbestämmelser har också den fördelen att de utgör en precisering av den rättsliga grunden (jfr artikel 6.3). Bestämmelser i lagen som anger ändamålen med behandlingen innebär således i sig en skyddsåtgärd. Enligt vår mening bör den lag vi föreslår innehålla ändamålsbestämmelser.
Utformning av ändamålsbestämmelserna
Avgränsningen av de ändamål för vilka personuppgifter får behandlas i idrottens antidopningsarbete är alltså av stor betydelse när det gäller skyddet för den personliga integriteten. De tillåtna ändamålen för behandling av personuppgifter bör därför i lagen preciseras så noga som möjligt. En alltför allmänt och vagt hållen ändamålsbeskrivning är inte tillräcklig. Ett oprecist ändamål ger nämligen inga ramar för personuppgiftsbehandlingen, vilket kan sätta integritetsskyddet ur spel. Det ligger dock i sakens natur att när ändamål regleras i författning måste dessa formuleras ganska generellt. Bestämmelserna bör inte heller utformas på ett sätt som utgör ett onödigt hinder vid förändring av antidopningsverksamheten. En balans behöver därför uppnås mellan dessa olika intressen.
Vi har tidigare funnit att den rättsliga grunden för behandlingen av personuppgifter i idrottens antidopningsarbete är att den är nödvändig för att utföra en uppgift av allmänt intresse (se avsnitt 6.1). Enligt artikel 6.1 e i dataskyddsförordningen är sådan behandling laglig endast om behandlingen är nödvändig. Begreppet nödvändig används i 2 kap.1 och 2 §§dataskyddslagen. Begreppet används också i andra registerförfattningar som kompletterar dataskyddsförordningen, exempelvis kriminalvårdsdatalagen (2018:1235, se övervägandena i prop. 2017/18:248 s. 22). De tillåtna ändamålen för behandling av personuppgifter i våra förslag bör därför avgränsas till sådan behandling som är nödvändig för att utföra vissa uppgifter. Kravet på nödvändighet bör tolkas som att det är fråga om en behandling som behövs för att på ett effektivt sätt kunna utföra arbetsuppgiften. I kravet på nödvändighet ligger att personuppgifter inte får behandlas om syftet med behandlingen kan uppnås med andra medel, t.ex. genom att anonymisera uppgifterna (se prop. 2017/18:232 s. 117).
Nedan följer en närmare beskrivning av de ändamål för vilka personuppgifter bör få behandlas enligt våra förslag. Förslagen täcker in de ändamål för vilka personuppgifter behöver samlas in och behandlas för att arbetet enligt världsantidopningskoden och de tillhörande standarderna ska kunna utföras. Det är naturligtvis viktigt att de behandlingar som ändamålsbestämmelserna öppnar för utförs i enlighet med bestämmelserna i dataskyddsförordningen.
Lagrådet har uttalat att personuppgiftsbehandling för planering, uppföljning och utvärdering av verksamhet är en sådan integrerad del av själva verksamheten att den inte behöver regleras särskilt (se t.ex. prop. 2004/05:164 s. 179 och prop. 2009/10:85 s. 116). Behandling för dessa ändamål faller därmed in under de ändamålsbestämmelser som tar sikte på själva kärnverksamheten.
Ändamålsbestämmelserna är fakultativa i den meningen att de reglerar vad aktörerna i antidopningsarbetet får göra. Syftet med ändamålsbestämmelserna är alltså att ange en yttersta ram för när personuppgifter får samlas in och fortsättningsvis behandlas med stöd av lagen om dataskydd i idrottens antidopningsarbete och dataskyddsförordningen. De angivna ändamålen är vidare uttömmande i den meningen att de olika aktörerna som omfattas av lagen inte själva får besluta om ytterligare ändamål för vilket eller vilka personuppgifter ska samlas in i verksamheten.
Vår utgångspunkt har varit att utforma ändamålsbestämmelserna så att de ska vara tillräckligt preciserade för att uppfylla kraven i dataskyddsförordningen. Vi har vid utformningen av varje ändamålsbestämmelse beaktat kraven på proportionalitet i artikel 6.3 andra stycket sista meningen. Bestämmelserna är även i övrigt utformade på ett sådant sätt som stämmer överens med dataskyddsförordningens krav och utgör tillåten nationell lagstiftning i enlighet med artikel 6.2 och 6.3.
Handlägga ansökningar om medicinsk dispens
För att en idrottsutövare som av medicinska skäl måste ta dopningsklassade läkemedel ska kunna utöva sin idrott finns det möjlighet att ansöka om dispens från dopningsreglerna. Bestämmelser om ansökan om medicinsk dispens finns i artikel 4.4 i världsantidopningskoden och i artikel 4.4 i Idrottens antidopingreglemente. Bestämmelser om handläggning av en dispensansökan finns även i den internationella standarden för medicinsk dispens.
För att få medicinsk dispens måste en idrottsutövare kunna styrka sitt behov av den förbjudna substansen eller preparatet. Förutom bl.a. namn och kontaktuppgifter behöver därför ett utförligt medicinskt underlag fogas till en ansökan om medicinsk dispens. Således kommer en rad personuppgifter att behandlas när en ansökan om medicinsk dispens från dopningsreglerna ska hanteras.
En idrottsutövare på internationell nivå ska ansöka om dispens hos sitt internationella specialidrottsförbund. Det internationella specialidrottsförbundet kan ta hjälp av ett serviceföretag för att handlägga ansökningen. En idrottsutövare som inte tävlar på internationell nivå ska ansöka om dispens hos sin nationella antidopningsorganisation. I Sverige handlägger RF ansökningar om medicinsk dispens. Beslut om idrottsutövaren ska erhålla dispens eller inte fattas inom RF av den av Dopingkommissionen tillsatta Dispenskommittén (se avsnitt 3.3.2). Beslut av Dispenskommittén att avslå en ansökan får överklagas till Dopingnämnden.
Om Dispenskommittén beviljat en medicinsk dispens gäller den endast på nationell nivå. För att dispensen ska gälla även vid tävling på internationell nivå krävs antingen att ett internationellt specialidrottsförbund har tillkännagett att förbundet automatiskt erkänner
sådan dispens, alternativt att idrottsutövaren ansöker om att det internationella specialidrottsförbundet erkänner dispensen. WADA har rätt att överpröva beslut om medicinsk dispens. WADA:s beslut kan överklagas till The Court of Arbitration for Sport (CAS).
Enligt världsantidopningskoden kan även en tävlingsarrangör som är signatär av koden kräva att en idrottsutövare ansöker om medicinsk dispens direkt av arrangören om idrottsutövaren vill ha dispens från dopningsreglerna vid en viss större tävling.
Alla beslut om att bevilja eller avslå en begäran om medicinsk dispens ska göras tillgängliga för WADA och andra signatärer via WADA:s databas ADAMS eller ett annat av WADA godkänt system. Vid en beviljad dispens ska informationen omfatta bl.a. den tillåtna substansen eller metoden, dosering och dispensens giltighetstid.
Artikel 9.3 i den internationella standarden för medicinsk dispens innehåller krav på att en ansökan om medicinsk dispens ska behandlas konfidentiellt. I artikel 9.5 anges att information som lämnas av en idrottsutövare vid en ansökan om medicinsk dispens endast får användas för att utvärdera ansökan och för att utreda en misstänkt förseelse mot dopningsreglerna.
För att hantera en ansökan om medicinsk dispens i enlighet med bestämmelserna i världsantidopningskoden och den tillhörande standarden krävs att de personuppgifter som lämnas i ärendet får behandlas. Personuppgifter bör således få behandlas i antidopningsarbetet för ändamålet att handlägga idrottsutövares ansökningar om dispens från dopningsreglerna. Häri innefattas all behandling som sker under handläggningen, såsom diarieföring, kommunicering, protokollföring, sökning efter relevant praxis och upprättande av beslut och expediering. Även den behandling som sker när information om beslutet lämnas ut till andra signatärer enligt bestämmelserna i världsantidopningskoden och den tillhörande internationella standarden omfattas.
Planera, koordinera och administrera vistelserapporteringar
Vistelserapportering utförs av de idrottsutövare som uppnår en så pass hög idrottslig prestationsnivå att de regelbundet bör dopningstestas. Syftet är att dopningskontroller ska kunna planeras så att de
utförs under rätt tidsperiod med hänsyn till de olika idrotternas individuella krav baserade på tränings- och tävlingscykler. Vistelserapporteringen anses också ha ett preventivt och avskräckande syfte genom att idrottsutövarna vet om att dopningskontrollfunktionärer kan söka upp dem när och var som helst.
Bestämmelser om idrottsutövares vistelserapportering finns i artikel 5.6 i världsantidopningskoden, artikel 5.6 i Idrottens antidopingreglemente samt i den internationella standarden för dopningskontroll och utredning. Det är internationella specialidrottsförbund eller nationella antidopningsorganisationer som bestämmer vilka idrottsutövare som ska vistelserapportera. Dessa organ ska, via ADAMS eller ett annat system som godkänts av WADA, tillhandahålla en lista över vilka idrottsutövare som ska vistelserapportera antingen med angivande av namn eller med klart definierade, specifika krav. Idrottsutövare ska informeras om att de har valts ut för vistelserapportering. RF har nationellt fastställda kriterier för vilka idrottsutövare som ska vistelserapportera.
Ca 230 idrottsutövare vistelserapporterar individuellt i Sverige. Namn på de idrottsutövare som vistelserapporterar publiceras på de internationella specialidrottsförbundens respektive RF:s hemsida. Nationella specialidrottsförbund är skyldiga att meddela Dopingkommissionen vilka idrottsutövare som enligt ett internationellt specialidrottsförbund ska vistelserapportera. De nationella specialidrottsförbunden ska också på begäran av Dopingkommissionen lämna person- och adressuppgifter till idrottsutövare som ska vistelserapportera (se artikel 2.3 i RF:s föreskrifter för nationell antidopingverksamhet).
En vistelserapport ska lämnas in kvartalsvis och innehålla uppgifter om idrottsutövarens identitet, idrottsliga anknytning, vistelseuppgifter för en 60-minutersperiod varje dag, kontinuerligt återkommande aktiviteter såsom träning och arbete, var idrottsutövaren sover samt tävlingsaktivitet. Vistelserapporteringen sker direkt i WADA:s datasystem ADAMS och blir tillgänglig för de organ som har rätt att dopningstesta idrottsutövaren. Om ett serviceföretag ska utföra ett dopningstest får företaget tillfällig tillgång till uppgifterna.
Insamlad vistelseinformation ska enligt artikel 5.6 i världsantidopningskoden behandlas strikt konfidentiellt och får endast användas för planering, koordinering och genomförande av dopningskontroller samt för att utreda en eventuell förseelse mot dopningsreglerna.
Av artikel 5.6 i Idrottens antidopingreglemente framgår att insamlad vistelseinformation endast får användas för planering, koordinering och genomförande av dopningskontroller. Där framgår också att Dopingkommissionen genom datasystemet ADAMS ska lämna uppgift om vilka idrottsutövare som vistelserapporterar eller vilka kriterier som gäller för att ingå i en s.k. kontrollpool som vistelserapporterar.
I Sverige kan även föreningar åläggas av Dopingkommissionen att vistelserapportera (se artikel 5.6 i Idrottens antidopingreglemente). I dagsläget ansvarar 60 föreningar med elitlag inom fem idrotter för att lämna vistelserapporter avseende laget i stort (s.k. kollektiv rapportering). Ett sådant förfarande med kollektiv rapportering är tillåten enligt artikel 4.8.2 i den internationella standarden för dopningskontroll och utredning. Vid kollektiv rapportering lämnas inte uppgifter om enskilda individer, utan rapporteringen avser var laget ska befinna sig för träning eller annan aktivitet utanför tävling vid minst två tillfällen varje vecka. För det fall det finns intresse av att följa en enskild idrottsutövare i en lagidrott åläggs denne att vistelserapportera individuellt. Dock ska en förening på begäran av Dopingkommissionen lämna person- och adressuppgifter som underlag för upprättande av en förteckning över vilka idrottsutövare som ingår i de lag som omfattas av vistelserapporteringen (se artikel 2.2.3 i Föreskrifter för nationell antidopingverksamhet). De föreningar som lämnar kollektiva vistelserapporter gör inte det i ADAMS utan i ett enskilt system som tagits fram av RF. Endast RF har tillgång till uppgifter som lämnas i detta system.
Vid den individuella vistelserapporteringen hanteras en rad personuppgifter. Alla organ som i antidopningsarbetet vill planera, koordinera och genomföra dopningskontroller avseende en viss idrottsutövare kan komma att behandla uppgifterna. Personuppgifter behandlas även när RF eller de internationella och nationella specialidrottsförbunden väljer ut vilka idrottsutövare eller lag som ska åläggas att vistelserapportera samt när rapportering sker till WADA om vilka idrottsutövare som vistelserapporterar. För att vistelserapporteringarna ska kunna planeras, koordineras och i övrigt administreras i antidopningsarbetet i enlighet med reglerna i världsantidopningskoden och tillhörande standarder krävs att personuppgifter får behandlas för dessa ändamål.
Planera, koordinera och handlägga dopningskontroller
Dopningskontroller får anses utgöra den centrala delen av idrottens antidopningsarbete. Hur dopningskontrollerna får utföras regleras utförligt i artikel 5.1–5.5 i världsantidopningskoden, artikel 5.1–5.5 i Idrottens antidopingreglemente samt i den internationella standarden för dopningskontroll och utredning. Dopningskontrollerna får endast utföras för att utröna om dopningsreglementet efterlevs. Vid en kontroll lämnas urin- eller blodprov.
Huvuddelen av alla dopningskontroller som sker av idrottsutövare i Sverige görs av RF såsom varande den svenska nationella antidopningsorganisationen. Som tidigare angetts får dock enligt världsantidopningskoden dopningskontroller utföras i Sverige även av andra signatärer av koden, t.ex. andra nationella antidopningsorganisationer, internationella specialidrottsförbund och tävlingsarrangörer. Även WADA har enligt världsantidopningskoden rätt att utföra dopningskontroller. Serviceföretag kan också utföra dopningskontroller på uppdrag av en signatär av världsantidopningskoden.
De organ som enligt världsantidopningskoden har rätt att utföra dopningskontroller ska upprätta en effektiv plan för kontrollerna med prioritering mellan grenar, utövarkategorier, kontrolltyper m.m. På begäran ska en sådan plan lämnas till WADA. Dopningstesterna ska koordineras mellan de olika aktörer som utför dopningskontroller för att uppnå effektivitet i kontrollsystemet. Koordineringen ska ske genom datasystemet ADAMS eller något annat av WADA godkänt system.
Vid planeringen och koordineringen av dopningskontrollerna behandlas personuppgifter om aktuella idrottsutövare. Sådana uppgifter kan hämtas från vistelserapporteringen eller från listor över aktiva idrottsutövare. I samband med en dopningskontroll behandlas personuppgifter i form av namn, personnummer, kontaktuppgifter, förenings- eller klubbtillhörighet m.m. Av idrottsutövaren lämnade uppgifter om eventuellt bruk av läkemedel eller andra preparat kan också behandlas, liksom uppgifter om beviljad medicinsk dispens.
Ett lämnat dopningsprov ska analyseras vid ett av WADA ackrediterat dopningslaboratorium. Som framgått i avsnitt 7.2 anser vi inte att vår föreslagna lag om dataskydd i idrottens antidopningsarbete ska omfatta sådan personuppgiftsbehandling som utförs hos Doping-
laboratoriet vid Karolinska Universitetssjukhuset eller hos dopinglaboratorier utanför Sveriges gränser. Däremot kan lagen enligt vårt förslag omfatta sådan behandling av personuppgifter som sker när ett dopningsprov lämnas till Dopinglaboratoriet och när resultatet av ett dopningsprov tas emot av det organ som tagit initiativ till provet.
Till dopningskontrollarbetet hör behandlingen av idrottsutövares biologiska pass. Med biologiskt pass avses en medicinsk profil som innehåller resultaten av en idrottsutövares urin- och blodvärden under en viss period. Det biologiska passet visar idrottsutövarens personliga blod- och steroidprofil. Även om en idrottsutövare inte lämnar ett positivt dopningsprov kan avvikelser i dessa profiler räcka för att fälla idrottaren för dopning. Bestämmelser om hanteringen av idrottsutövares biologiska pass finns i annex L till den internationella standarden för dopningskontroll och utredning.
Varje idrottsutövare som dopningstestats har en s.k. medicinsk profil som bevaras i datasystemet ADAMS. Efter ett dopningstest förs uppgifter från testet in i denna profil och matchas med idrottsutövarens tidigare prover. En analys görs i fråga om det föreligger avvikelser från idrottsutövarens blod- och steroidprofiler. Denna analys görs när det gäller dopningsprover tagna av RF av Athlete Passport
Management Unit (APMU) i Norge. Det finns totalt tio sådana
enheter inom antidopningsarbetet runt om i världen. Efter analysen lämnar enheten ett svar tillsammans med en rekommendation om i fall ytterligare tester bör utföras. Svaret delas via ADAMS. Om det är troligt att en dopningsförseelse har begåtts ska en utredning inledas.
För att uppfylla världsantidopningskodens krav bör personuppgifter få behandlas för att planera, koordinera och i övrigt handlägga dopningskontroller. Härmed omfattas sådan behandling som sker i samband med planering och koordinering av dopningskontrollerna, inklusive utlämnande av uppgifter mellan de olika signatärerna i detta arbete. Vidare omfattas sådan behandling som sker i samband med en dopningskontroll. Inom ändamålet ryms även den behandling som sker vid utlämnande av uppgifter från en dopningskontroll till ett dopningslaboratorium och vid mottagande av resultatet från laboratoriet. Inom ändamålet ingår även införandet av uppgifter från dopningskontrollerna i ADAMS, utlämnande av uppgifterna till en APMU samt mottagande och analys av en sådan enhets svar. Själva analysen av uppgifterna i det biologiska passet görs dock inte av RF och inte heller i Sverige och omfattas därmed inte av lagen.
Handlägga ärenden om dopningsförseelser
Bestämmelser om hantering av resultatet av en dopningskontroll och ett möjligt efterföljande bestraffningsförfarande finns i artikel 7, 8 och 13 i världsantidopningskoden. Koden innehåller vissa grundläggande principer som måste följas vid resultathanteringen för att uppnå en rättvis process, bl.a. i enlighet med artikel 6 i Europakonventionen. Ytterligare bestämmelser finns i den internationella standarden för dopningskontroll och utredning (se främst artikel 12). Utredning ska enligt reglementet även ske vid andra misstänkta förseelser mot dopningsreglerna, såsom felaktig vistelserapportering. Motsvarande regler finns för RF i artikel 7, 8 och 13 i Idrottens antidopingreglemente.
Enligt världsantidopningskoden ska en idrottsutövare underrättas om att en utredning om en misstänkt dopningsförseelse har inletts. Koden innehåller vidare bestämmelser om vilka signatärer som ska informeras om att en utredning avseende en viss idrottsutövare har inletts (se artikel 14.1). Normalt ska idrottsutövarens nationella antidopningsorganisation, internationella specialidrottsförbund och WADA informeras. Informationen ska hos de mottagande organisationerna behandlas konfidentiellt och endast av de personer som behöver informationen, t.ex. vid det nationella specialidrottsförbundet (se artikel 14.1.5). Idrottsutövare har enligt koden rätt till muntlig förhandling, rätt till ett motiverat beslut samt rätt att överklaga. I artikel 14.3 anges att beslut om avstängningar ska offentliggöras, vilket vi återkommer till i avsnitt 8.7.
I Sverige är Dopingkommissionen inom RF ansvarig för resultathanteringen. Utredningsarbetet sköts dock av den operativa Antidopingavdelningen. I de ärenden som är av mer komplicerad natur inhämtas synpunkter från ledamöterna i Dopingkommissionen. Dopingnämnden är första instans att pröva bestraffningsärenden efter anmälan från Dopingkommissionen. Dopingnämndens beslut kan överklagas till Riksidrottsnämnden. Vissa ärenden kan prövas direkt av CAS.
Under en utredning och efterföljande bestraffningsprocess behandlas de personuppgifter som har lämnats av idrottsutövaren vid en trolig inledande dopningskontroll, exempelvis om intag av medicin. Behandlingen sker under utredningen i en intern databas hos Anti-
dopingavdelningen. Endast de personer som handlägger bestraffningsärendena har behörighet att logga in i detta datasystem. Underrättelse till den enskilde och till andra berörda organ om att en utredning har inletts görs i enlighet med bestämmelserna i världsantidopningskoden. Ytterligare personuppgifter kan under utredningens gång komma att hämtas in av Antidopingavdelningen eller lämnas in av den enskilde idrottsutövaren. Även Dopingnämnden kan på eget initiativ besluta att ytterligare utredning ska inhämtas.
Vid en anmälan erhåller Dopingnämnden dokumentationen i ärendet. Efter att ett beslut meddelats av Dopingnämnden skickas en kopia av beslutet till det internationella specialidrottsförbundet samt till WADA. Om en idrottsutövare är på hög nivå bifogas även en kort sammanfattning av beslutet. Publicering sker även på internet (se mer om detta i avsnitt 8.7.).
För att utreda och bestraffa dopningsförseelser i enlighet med bestämmelserna i världsantidopningskoden och dess standarder krävs att personuppgifter får behandlas. Behandling bör således få ske för ändamålet att handlägga ärenden om dopningsförseelser. Härmed omfattas all behandling av personuppgifter som sker under handläggningen såsom mottagande av uppgifter, diarieföring, kommunicering, protokollföring, sökning efter relevant praxis, upprättande av beslut och expediering. Även den behandling som sker när information lämnas ut till andra signatärer enligt bestämmelserna i världsantidopningskoden och tillhörande internationella standarder omfattas.
Inhämta, bearbeta, analysera och delge information som gäller möjliga förseelser mot världsantidopningskoden
De dopningstester som utförs i idrottens antidopningsarbete har inte ansetts vara en tillräcklig åtgärd för att upptäcka förseelser mot antidopningsreglementet. Av artikel 5.8 i världsantidopningskoden framgår därför att signatärerna av koden ska se till att de kan införskaffa, bedöma och bearbeta (obtain, assess and process) information som gäller möjliga förseelser mot antidopningsreglementet från alla tillgängliga källor. Informationen ska användas för att utveckla effektiva och proportionella dopningskontrollplaner, för att planera särskilda dopningskontroller eller för att utreda möjliga förseelser mot antidopningsreglementet. I artikel 11.2 i den internationella standarden för dopningskontroll och utredning anges att signatärerna ska
göra allt i sin makt för att se till att de kan få tag i och ta emot (capture
and receive) information från alla tillgängliga källor, såsom idrotts-
utövare och andra personer aktiva inom idrotten, dopningskontrollansvariga, allmänheten, laboratorier, nationella specialidrottsförbund, rättsväsendet, media, m.fl. Signatärerna ska se till att den insamlade informationen behandlas säkert och konfidentiellt och endast för legitima antidopningssyften. Enligt artikel 11.3 ska signatärerna se till att de har möjlighet att bedöma och analysera den inkomna informationen för att se om det går att finna ut mönster, trender eller förhållanden som kan användas för att utveckla effektiva antidopningsstrategier. Informationen kan även användas för att i ett särskilt fall utröna om det finns rimlig anledning att misstänka att en dopningsförseelse har begåtts och en utredning därför bör inledas. I artikel 11.4 anges att informationen får samlas i en fil som underlag för en utredning av en misstänkt dopningsförseelse. Där anges vidare att signatärerna ska utveckla och införa procedurer för att utbyta underrättelseinformation om detta är lämpligt och i enlighet med tillämplig lag. Ett sådant utbyte kan ske med andra signatärer, med rättsvårdande myndigheter eller andra relevanta aktörer.
En bestämmelse liknande artikel 5.8 i världsantidopningskoden har inte tagits in i Idrottens antidopingreglemente. Ett arbete enligt kodens och den internationella standardens bestämmelser utförs dock i enlighet med en intern instruktion. Arbetet består till stor del av analys och bearbetning av tips som kommer in via mejl eller en tipsfunktion som finns på RF:s hemsida dopingtips.se. Tips kan gälla misstankar om att en lagkamrat eller föreningsmedlem använder sig av dopningsmedel. Ett tips kan även gälla att ett visst preparat florerar eller att dopningsmedel används vid ett visst gym. I de senare fallen behandlas normalt inte personuppgifter. Tips kan även lämnas via muntliga källor. Vidare hämtas i arbetet information in från öppna källor på internet, såsom tidningsartiklar och sociala medier. Bland denna information kan det finnas personuppgifter. Informationen kan avse var en person befinner sig och i vilket sällskap. Även information från offentliga domar i brottmål rörande dopningsbrott hämtas in. Tidigare hämtades brottmålsdomar in endast efter tips, men numera görs detta kontinuerligt. Personnummer som anges i domarna jämförs med register över vilka som är aktiva inom idrotten. De personuppgifter som normalt behandlas i detta arbete rör namn, personnummer och idrottsutövares föreningstillhörighet. Informationen
läggs till grund för beslut om extra dopningskontroller eller kan i sig ligga till grund för utredning av en särskild dopningsförseelse.
Det ovan angivna innebär att det utförs ett traditionellt underrättelsearbete i antidopningsverksamheten som har stora likheter med det underrättelsearbete som polisen bedriver. Med underrättelsearbete inom det polisiära området avses arbete med insamling, bearbetning och analys av information i syfte att förhindra eller upptäcka brottslig verksamhet när det ännu inte finns misstankar om att ett visst konkret brott har begåtts (se t.ex. prop. 2017/18:232 s. 430). Underrättelseverksamhet bedrivs av både Polismyndigheten och Säkerhetspolisen. Verksamheten är inriktad på att avslöja om en viss, inte närmare specificerad, brottslighet har ägt rum, pågår eller kan antas komma att begås. I underrättelseverksamheten hämtas information in på olika sätt. Den inhämtade informationen bearbetas genom att struktureras, systematiseras och värderas, t.ex. genom jämförelser med sedan tidigare kända uppgifter. I ett sista led sker en analys av uppgifterna. Efter inhämtning, bearbetning och analys är ambitionen att det framtagna underrättelsematerialet ska kunna användas i operativt arbete (se prop. 2018/19:96 s. 14).
För underrättelsearbete på det polisiära området är inte dataskyddsförordningen tillämplig utan i stället dataskyddsdirektivet. Direktivet har i Sverige genomförts genom brottsdatalagen (2018:1177) och till den lagen kompletterande lagar, däribland lagen (2018:1693) om polisens behandling av personuppgifter inom brottsdatalagens område (nedan kallad polisens brottsdatalag). För att brottsdatalagen ska vara tillämplig gäller dock att personuppgiftsbehandlingen utförs av s.k. behöriga myndigheter som har till uppgift att förebygga, förhindra eller upptäcka brottslig verksamhet, utreda eller lagföra brott, verkställa straffrättsliga påföljder, eller upprätthålla allmän ordning och säkerhet, eller en annan aktör som har anförtrotts myndighetsutövning för ett sådant syfte (se 1 kap. 2 och 6 §§). Brottsdatalagen är därmed inte tillämplig på sådant underrättelsearbete som utförs i det privaträttsliga antidopningsarbetet. Dataskyddsförordningen är alltså tillämplig även för detta arbete.
För att uppfylla kraven i världsantidopningskoden och tillhörande standarder på att ett underrättelsearbete ska utföras i antidopningsarbetet behöver personuppgifter få användas i sådan verksamhet. Lagen bör därför innehålla ett ändamål som gör det möjligt att behandla personuppgifter för att samla in, bearbeta, analysera och
delge information som gäller möjliga förseelser mot världsantidopningskoden. Med att delge information avses i sammanhanget informationslämning från underrättelseenheten till bl.a. de operativa enheterna i antidopningsarbetet. Ändamålet innefattar även utlämnande av information till andra aktörer inom idrottens antidopningsarbete enligt bestämmelserna i världsantidopningskoden och tillhörande standarder.
Underrättelsearbetet får anses vara särskilt integritetskänsligt. I Sverige är det endast RF som i sin egenskap av nationell antidopningsorganisation utför ett underrättelsearbete i enlighet med världsantidopningskodens regler. Det är av stor vikt att ändamålsbestämmelserna inte öppnar upp för mer behandling än vad som är nödvändigt för att antidopningsarbetet enligt koden ska kunna utföras. Av detta skäl föreslår vi att den här aktuella ändamålsbestämmelsen begränsas till att endast bli tillämplig för RF. Andra organ som omfattas av lagen, t.ex. idrottsföreningar och specialidrottsförbund som är anknutna till RF, bör dock få behandla personuppgifter om det är nödvändigt för att tillhandahålla information som RF behöver i underrättelsearbetet. Tips om att dopning kan förekomma bland idrottare kan nämligen komma från exempelvis en idrottsförening. Det är ofta på just den nivån som dopningen avslöjas. Det är viktigt för antidopningsarbetet att sådan information kan lämnas till RF.
Eftersom underrättelsearbetet är särskilt integritetskänsligt är det vidare av vikt att den behandling av personuppgifter som sker i detta arbete utförs på ett sätt som beaktar dataskyddsförordningens krav på bl.a. proportionalitet och uppgiftsminimering. Arbetet bör också vara kringgärdat av skyddsåtgärder. En sådan skyddsåtgärd kan bestå av en särskild gallringsbestämmelse (se nedan i avsnitt 10.3). En annan kan utgöras av en sådan åtkomstregel som innebär att endast personal som har behov av uppgifterna får behandla dessa (se avsnitt 11.2), eller en särskild upplysning gällande personer som inte är misstänkta för brott (se avsnitt 11.4) Vidare kommer en bestämmelse som tar sikte på lagöverträdelser att få särskild relevans när det gäller personuppgiftsbehandling i underrättelsearbetet (se avsnitt 8.6).
8.3. Uppgiftsutlämnande och finalitetsprincipen
Förslag: Personuppgifter får även behandlas om det är nödvän-
digt för att tillhandahålla information som behövs i brottsbekämpande verksamhet hos Polismyndigheten, Åklagarmyndigheten eller Tullverket.
Primära ändamål och finalitetsprincipen
Det förekommer att det i registerförfattningar görs en uppdelning av ändamålen i primära och sekundära sådana. De primära ändamålen har då till syfte att tillgodose den behandling som behövs i myndighetens egen verksamhet medan de sekundära ändamålen tar sikte på myndighetens utlämnande av uppgifter för att tillgodose andras behov. I idrottens antidopningsarbete lämnas uppgifter ut till andra aktörer via WADA:s databas ADAMS eller något annat av WADA godkänt system. Utlämnandet sker inom ramen för antidopningsarbetet och följer av världsantidopningskoden. Mottagarna är andra signatärer av världsantidopningskoden eller serviceföretag som utför sitt arbete på uppdrag av en signatär och i enlighet med koden. Utlämnandet sker därmed som en del av samma globala antidopningsarbete och äger normalt rum i varje signatärs verksamhet. Det utlämnande av information som sker inom ramen för idrottens antidopningsarbete får, som berörts ovan, anses omfattas av lagens primära ändamålsbestämmelser. Behandling i syfte att lämna vidare uppgifterna till en annan aktör i antidopningsarbetet får således ske om lagens ändamål i 10 § är uppfyllda. Se mer om frågan om utlämnande till tredjeland nedan i avsnitt 8.4.
Uppgiftsutlämnande till aktörer utanför idrottens antidopningsarbete förekommer endast i mindre utsträckning. RF lämnar i dagsläget ut uppgifter till Polismyndigheten någon gång per månad. De uppgifter som lämnas ut härrör från tips som inkommit om misstänkta dopningsförseelser, men där den tipset gäller inte omfattas av RF:s jurisdiktion. Tipsen har lämnats till RF via mejl eller via hemsidan dopingtips.se, där anonyma uppgifter om misstänkt dopning kan lämnas. De uppgifter som lämnas ut från RF till Polismyndigheten rör personer som inte är aktiva medlemmar i en idrottsförening, t.ex. motionärer som tränar på gymanläggningar eller personer
som kan misstänkas för att sälja dopningsmedel i sådana miljöer. Vem som lämnat uppgifterna är i många fall okänt. Uppgifterna lämnas vidare till Polismyndigheten i form av ett underrättelseuppslag.
Det förekommer också, dock mer sällan, att uppgifter om möjliga försök till smuggling av dopningsmedel lämnas från RF till Tullverket. De uppgifter som lämnats ut på detta sätt har avsett inresande trupper där RF fått tips om att de kan ha med sig dopningsmedel. Avsikten med uppgiftslämnandet har varit att hindra att dopningsmedel förs in i landet. De uppgifter som i ett sådant fall lämnas kan innehålla namn på de inresande och därmed personuppgifter.
Det har vidare vid ett fåtal tillfällen förekommit att åklagare begärt att få ta del av handlingar hos RF gällande begångna dopningsförseelser enligt antidopningsreglementet. Handlingarna har begärts ut för att användas i en förundersökning om dopningsbrott. RF har i de fallen lämnat ut de begärda uppgifterna.
Det uppgiftslämnande som sker från RF till Polismyndigheten, Tullverket och Åklagarmyndigheten omfattas inte av lagens primära ändamålsbestämmelser. Möjligen skulle utlämnandet kunna anses ske med stöd av finalitetsprincipen som gäller enligt dataskyddsförordningen. Finalitetsprincipen anger, som tidigare sagts, att insamlade personuppgifter inte senare får behandlas på ett sätt som är oförenligt med de ändamål för vilka uppgifterna samlades in (se artikel 5.1 b i dataskyddsförordningen). Finalitetsprincipen aktualiseras bl.a. då en personuppgiftsansvarig lämnar ut uppgifter till en annan personuppgiftsansvarig för att användas av denne för något eget ändamål. Mottagarens ändamål får då inte vara oförenligt med utlämnarens ursprungliga ändamål. Om så är fallet strider utlämnarens behandling mot finalitetsprincipen.
Oförenlighetsrekvisitet är inte helt lätt att tillämpa. Av intresse från tiden före dataskyddsförordningen kan kanske vara ett ofta citerat uttalande av Socialdatautredningen. Utredningen framhöll att man vid ”oförenlighetsprövningen” hypotetiskt bör utgå från hur en registrerad (alltså inte den registrerade i det enskilda fallet) typiskt sett skulle se på saken. Kommer man vid en sådan bedömning fram till att den registrerade rimligen har att räkna med att de insamlade personuppgifterna också får behandlas för det nya ändamålet, kan det nya ändamålet inte anses vara oförenligt med det ursprungliga ändamålet. Enligt utredningen talade syftet bakom det då gällande
dataskyddsdirektivet, dvs. att skydda fysiska personers grundläggande fri- och rättigheter i samband med behandling av personuppgifter, för en restriktiv tillämpning av bestämmelsen, varför utrymmet för att behandla redan insamlade personuppgifter för andra ändamål följaktligen blir litet. (Se SOU 1999:109 s. 160.)
I artikel 6.4 i dataskyddsförordningen anges att om en behandling för andra ändamål än det ändamål för vilket personuppgifterna samlades in inte grundar sig på den registrerades samtycke eller på unionsrätten eller nationell rätt, ska den personuppgiftsansvarige beakta ett antal olika omständigheter för att fastställa om behandlingen för andra ändamål är förenlig med de ursprungliga ändamålen. Bland de omständigheter som ska beaktas är kopplingar mellan de ändamål för vilka personuppgifterna har samlats in och de nya ändamålen, det sammanhang som personuppgifterna har samlats in i, särskilt förhållandet mellan den registrerade och den personuppgiftsansvarige, och personuppgifternas art, särskilt om det är fråga om känsliga personuppgifter. Vidare ska konsekvenserna för den enskilde av den planerade fortsatta behandlingen beaktas. Som tidigare angetts ska dock enligt artikel 5.1 b inte ytterligare behandling för arkivändamål av allmänt intresse, vetenskapliga eller historiska forskningsändamål eller statistiska ändamål i enlighet med artikel 89.1 anses vara oförenlig med de ursprungliga ändamålen.
Det krävs enligt dataskyddsförordningen inte någon ny rättslig grund än den med stöd av vilken insamling av personuppgifter medgavs för att ytterligare behandling av personuppgifter av samma personuppgiftsansvarig ska vara tillåten (se skäl 50). Ett utlämnande av personuppgifter till brottsbekämpande myndigheter kan således, precis som insamlandet, ske med stöd av den rättsliga grunden allmänt intresse (artikel 6.1 e i förordningen). Det är dock enligt vår bedömning tveksamt om uppgifter rörande misstänkt dopningsrelaterad brottslighet som har samlats in i RF:s underrättelseverksamhet kan lämnas ut till Polismyndigheten eller Tullverket för vidare behandling där med stöd av finalitetsprincipen. Visserligen får det anses finnas kopplingar mellan ändamålet att inhämta, bearbeta, analysera och delge information som gäller möjliga förseelser mot världsantidopningskoden och ändamålet att förebygga, förhindra eller upptäcka brottslig verksamhet enligt polisens brottsdatalag eller lagen (2018:1694) om Tullverkets behandling av personuppgifter inom brottsdatalagens område. Dock kan det vara fråga om utlämnande av
känsliga personuppgifter om exempelvis hälsa och konsekvenserna för den enskilde vid en fortsatt behandling hos Polismyndigheten eller Tullverket kan vara stora. På samma sätt förhåller det sig enligt vår mening vid ett utlämnande av personuppgifter som hos RF behandlas för att handlägga ärenden om dopningsförseelser till Åklagarmyndigheten för att där behandlas för att utreda eller lagföra brott. Sammanfattningsvis menar vi att det är tveksamt om personuppgifter som behandlas i antidopningsarbetet kan lämna ut till de brottsbekämpande myndigheterna med stöd av finalitetsprincipen. Om sådant uppgiftslämnande bör vara möjligt, måste man alltså överväga en annan lösning.
Sekundärt ändamål
Det finns ett stort samhälleligt intresse av att bekämpa dopningen, inte bara inom idrotten. Förutom de argument mot dopning av etiskt slag som förekommer inom idrotten finns även hälsorisker med att använda dopningsmedel. Det har vidare i forskningen pekats på samband mellan användning av anabola androgena steroider och aggressivitet, våld och kriminalitet. I flera studier har man också sett ett samband mellan dopningsbruk och andra så kallade riskbeteenden som till exempel alkohol- och narkotikamissbruk (se t.ex. Dopning utanför idrotten – individualisering och muskulösa skönhetsideal, Scandinavian Sport Studies Forum, volym 4, 2013, s. 2). Det är angeläget med ett aktivt engagemang för att motverka spridningen av dopning i olika former och i olika sammanhang. Ett av statens folkhälsopolitiska mål är ett samhälle fritt från narkotika och dopning. Sverige har också genom att underteckna Unescos konvention mot dopning åtagit sig ett ansvar för att genom exempelvis lagstiftning bekämpa bruket av dopningsmedel (se artikel 5).
Enligt lagen (1991:1969) om förbud mot vissa dopningsmedel (dopningslagen) kan den som innehar eller på andra angivna sätt hanterar dopningsmedel dömas för dopningsbrott till fängelse i högst två år. Vid ringa brott döms till böter eller fängelse i högst sex månader. Om brottet är att anse som grovt döms för grovt dopningsbrott till fängelse i lägst sex månader och högst sex år. Att smuggla in något preparat som omfattas av dopningslagen är ett brott enligt lagen (2000:1225) om straff för smuggling och kan leda till böter
eller fängelse i högst två år. Om ett smugglingsbrott är anse som grovt, döms för grov smuggling till fängelse i lägst sex månader och högst sex år. I förarbetena till dopningslagen konstateras att användandet av dopning, som tidigare främst förekommit bland elitidrottare, spritt sig till idrottsutövare och kroppsbyggare på motionsnivå (se prop. 1990/91:199 s. 5). Att dopningen numera är mer av ett samhällsproblem än ett problem endast för den egentliga idrottsrörelsen har därefter konstaterats vid ett flertal tillfällen (se t.ex. SOU 2008:120 s. 138 f., SOU 2011:10 s. 95 ff. och Statens folkhälsoinstitut, Dopning i samhället, 2011, s. 3 ff.).
Enligt världsantidopningskodens standarder förutsätts att information om dopningsrelaterad brottslighet lämnas ut från idrotten till rättsvårdande myndigheter. I artikel 11.4.2 i den internationella standarden för dopningskontroll och utredning anges att signatärerna ska utveckla och införa procedurer för att kunna utbyta underrättelseinformation med bl.a. rättsvårdande myndigheter om informationen tyder på att ett brott har begåtts. Vidare anges i artikel 8.3 c i den internationella standarden för skydd av privatlivet och personuppgifter att personuppgifter får lämnas ut till rättsvårdande myndigheter om det är nödvändigt för att upptäcka, utreda och lagföra brott och de lämnade uppgifterna är relevanta och inte på något annat rimligt sätt kan hämtas in av myndigheterna.
Det är i andra länder vanligt förekommande med ett tätt samarbete mellan den nationella antidopningsorganisationen och rättsvårdande myndigheter. De nationella antidopningsorganisationerna inom EU är i de flesta fall skyldiga att informera rättsvårdande myndigheter om misstänkt brottslighet (se EU-kommissionens utvärdering, Anti-doping and Data Protection, An evaluation of the anti-doping laws and practices in the EU Member States in light of the General Data Protection Regulation, 2017, s. 65 och 76). WADA har också på internationell nivå tecknat samarbetsavtal med polisorganisationen INTERPOL. Syftet med avtalet är bl.a. att underlätta utbyte av information på antidopningsområdet.
Det finns ingen allmän skyldighet att underrätta brottsbekämpande myndigheter om misstankar om brott. I skäl 50 till dataskyddsförordningen anges dock att om den personuppgiftsansvarige anmäler möjliga brott och därmed överför personuppgifter till en behörig myndighet, ska detta betraktas som att den personuppgiftsansvarige agerar i ett berättigat intresse.
Det anförda talar för att personuppgifter som behövs för att utreda dopningsrelaterad brottslighet bör kunna få lämnas ut från aktörerna inom antidopningsarbetet till de myndigheter som har att bekämpa den aktuella brottsligheten, dvs. Polismyndigheten, Tullverket och Åklagarmyndigheten. Vi föreslår att det i lagen om dataskydd i idrottens antidopningsarbete införs en sådan möjlighet.
En sekundär ändamålsbestämmelse som gör det möjligt att lämna ut personuppgifter som behandlas i antidopningsarbetet till dessa myndigheter bör enligt vår mening inte begränsas till personuppgifter som i antidopningsarbetet behandlas för något särskilt ändamål. I praktiken torde dock de utlämnande uppgifterna ha samlats in och behandlats för ändamålet att inhämta, bearbeta, analysera och delge information som gäller möjliga förseelser mot världsantidopningskoden (10 § punkten 5) eller för att handlägga ärenden om dopningsförseelser (punkten 4).
Den föreslagna bestämmelsen öppnar en möjlighet för RF och andra aktörer inom idrottens antidopningsarbete att lämna ut uppgifter om misstänkt dopningsrelaterad brottslighet. Det är dock inte fråga om någon uppgiftsskyldighet. Det förhållandet att uppgifter får behandlas påverkar inte heller de bestämmelser som gäller om sekretess. Se vidare om sekretessfrågorna i avsnitt 12.
Reglering av finalitetsprincipen
Det förekommer att registerförfattningar innehåller en uttrycklig hänvisning till finalitetsprincipen, även om principen gäller direkt enligt dataskyddsförordningen. Det är i nuläget svårt att förutse i vilka situationer finalitetsprincipen alls skulle kunna komma att aktualiseras inom idrottens antidopningsarbete. Vi har därför kommit till slutsatsen att det saknas behov av att särskilt reglera principen i vår lag. Bestämmelserna i dataskyddsförordningen gäller hur som helst genom lagens hänvisning till förordningen. Om den situationen skulle uppstå där ett utlämnande av personuppgifter till någon aktör som inte omfattas av den föreslagna lagen skulle behöva övervägas, kan således ett sådant utlämnande vara möjligt förutsatt att det inte är oförenligt med de ändamål för vilka uppgifterna samlades in.
Vi har vidare övervägt om det skulle finnas anledning att i lagförslaget införa begränsningar av tillämpningen av finalitetsprincipen, t.ex. att den bara skulle få tillämpas för uppgifter som hämtats in för vissa ändamål. Vi har dock inte sett att det finns skäl att införa några sådana begränsningar.
8.4. Överföring av personuppgifter till tredjeland
Bedömning: Överföring av personuppgifter till tredjeland kan
ske med stöd av bestämmelserna i dataskyddsförordningen. Några särskilda bestämmelser härom behöver därmed inte tas in i den förslagna lagen.
I idrottens antidopningsarbete förs personuppgifter regelbundet in i WADA:s databas Anti-Doping Administration & Management System (ADAMS). De uppgifter som har registrerats i ADAMS kan nås av andra aktörer i antidopningsarbetet som getts behörighet till det. Exempelvis kan en vistelserapport avseende en viss idrottsutövare nås av såväl dennes internationella specialidrottsförbund som dennes nationella antidopningsorganisation. Databasen ADAMS är belägen i Kanada där WADA har sitt högkvarter. Genom att föra in personuppgifter i WADA:s databas sker en överföring av personuppgifter till ett land utanför EU/EES, ett s.k. tredjeland. Inom antidopningsarbetet kan det även förekomma att personuppgifter lämnas ut till andra aktörer på andra sätt än via ADAMS. Mottagarna kan vara exempelvis internationella specialidrottsförbund eller tävlingsarrangörer som är etablerade i länder utanför EU/EES, dvs. i tredjeland.
Bestämmelser om under vilka förutsättningar personuppgifter får föras över till tredjeland och internationella organisationer finns i kapitel V i dataskyddsförordningen. Här anges att personuppgifter får föras över till ett tredjeland om EU-kommissionen har beslutat att landet säkerställer en adekvat skyddsnivå för uppgifterna (artikel 45). Om ett sådant beslut saknas, får personuppgifter endast föras över till tredjeland efter att lämpliga skyddsåtgärder har vidtagits (artikel 46). Om det inte finns något beslut om adekvat skyddsnivå eller vidtagna lämpliga skyddsåtgärder, kan en överföring till ett tredjeland vara möjlig om den är nödvändig av viktiga skäl som rör
allmänintresset (artikel 49.1 d). Detta gäller dock endast under förutsättning att allmänintresset är erkänt i unionsrätten eller i den nationella rätt som den som är personuppgiftsansvarig omfattas av (artikel 49.4).
För närvarande finns beslut från kommissionen om att 12 länder utanför EU säkerställer en adekvat skyddsnivå för överförda uppgifter, däribland Kanada. När det gäller Kanada har kommissionen beslutat att landet säkerställer en adekvat skyddsnivå endast om landets lagstiftning för skydd av personuppgifter i privat sektor är tillämplig på mottagarens personuppgiftsbehandling. Den aktuella lagstiftningen är numera gällande för WADA (se kommissionens utvärdering, s. 93). Överföring av personuppgifter till WADA via ADAMS uppfyller därmed förordningens krav på en tredjelandsöverföring enligt artikel 45.
Som tidigare framkommit anges i skäl 112 till dataskyddsförordningen att internationella utbyten av uppgifter för att minska och/eller undanröja dopning inom idrott som exempel på ett viktigt allmänintresse. När det gäller överföring av personuppgifter till ett tredjeland som inte av kommissionen har bedömts säkerställa en adekvat skyddsnivå kan därmed undantaget i artikel 49.1 d i dataskyddsförordningen tillämpas. Detta undantag är, liksom övriga undantag i samma artikel, direkt tillämpligt. Överföring till tredjeland av personuppgifter kan därmed ske i antidopningsarbetet även om det inte finns något beslut om adekvat skyddsnivå enligt artikel 45 eller lämpliga skyddsåtgärder enligt artikel 46 i dataskyddsförordningen.
Personuppgifter kan alltså överföras till tredjeland inom ramen för idrottens antidopningsarbete med direkt stöd av bestämmelserna i dataskyddsförordningen. Någon särskild reglering härom behöver därför inte föras in i den föreslagna lagen.
8.5. Känsliga personuppgifter
Förslag: Endast sådana känsliga personuppgifter som rör hälsa,
genetiska uppgifter eller biometriska uppgifter för att entydigt identifiera en fysisk person får behandlas med stöd av artikel 9.2 g i dataskyddsförordningen.
Gällande reglering
Dataskyddsförordningen innehåller ett principiellt förbud mot att behandla vissa särskilda kategorier av personuppgifter. Enligt artikel 9.1 är behandling av uppgifter som avslöjar ras eller etniskt ursprung, politiska åsikter, religiös eller filosofisk övertygelse eller medlemskap i fackförening och behandling av genetiska uppgifter, biometriska uppgifter för att entydigt identifiera en fysisk person, uppgifter om hälsa eller uppgifter om en fysisk persons sexualliv eller sexuella läggning förbjuden. De här angivna uppgifterna benämns i det följande känsliga personuppgifter. Artikel 9.1 i förordningen omfattar nya kategorier av uppgifter jämfört med motsvarande bestämmelse i 1995 års dataskyddsdirektiv. Tillägget av genetiska uppgifter och biometriska uppgifter för att entydigt identifiera en fysisk person utgör en utvidgning jämfört med den tidigare ordningen.
Dataskyddsförordningens förbud mot behandling av känsliga personuppgifter kompletteras i artikel 9.2 av ett antal undantag som tillåter sådan behandling i vissa fall. Om den registrerade uttryckligen har lämnat sitt samtycke till behandling av sådana personuppgifter för ett eller flera specifika ändamål så får uppgifterna behandlas (9.2 a). Vidare får känsliga personuppgifter behandlas bl.a. om behandlingen är nödvändig av hänsyn till ett viktigt allmänt intresse som har sin grund i unionslagstiftningen eller i en medlemsstats nationella lagstiftning (9.2 g). Det sistnämnda undantaget gäller under förutsättning att den lagstiftning som ger stöd för behandlingen står i proportion till det eftersträvade syftet, är förenlig med det väsentliga innehållet i rätten till dataskydd och innehåller bestämmelser om lämpliga och särskilda åtgärder för att säkerställa den registrerades grundläggande rättigheter och intressen. Dessa krav måste således vara uppfyllda för att undantaget ska vara tillämpligt. Vi har i avsnitt 6.2 funnit att det undantag som främst aktualiseras i idrottens antidopningsarbete är det som anges i artikel 9.2 g.
Dataskyddslagen innehåller en generellt tillämplig bestämmelse om myndigheters behandling av känsliga personuppgifter i vissa fall (3 kap. 3 § första stycket). Bestämmelsen har sin grund i dataskyddsförordningens bestämmelse om behandling som är nödvändig med hänsyn till ett viktigt allmänt intresse. Enligt bestämmelsen får känsliga personuppgifter behandlas av en myndighet med stöd av artikel 9.2 g i dataskyddsförordningen (1) om uppgifterna har lämnats
till myndigheten och behandlingen krävs enligt lag, (2) om behandlingen är nödvändig för handläggningen av ett ärende eller (3) i annat fall, om behandlingen är nödvändig av hänsyn till ett viktigt allmänt intresse och inte innebär ett otillbörligt intrång i den registrerades personliga integritet. Den angivna bestämmelsen i dataskyddslagen är alltså endast tillämplig för myndigheter och kan inte tillämpas inom idrottens antidopningsarbete.
Behandling av känsliga personuppgifter i antidopningsarbetet
I antidopningsverksamheten behandlas en del känsliga personuppgifter. Dessa avser i första hand uppgifter om idrottsutövares hälsa. Med uppgifter om hälsa avses i dataskyddsförordningen personuppgifter som rör en fysisk persons fysiska eller psykiska hälsa, inbegripet tillhandahållande av hälso- och sjukvårdstjänster, vilka ger information om dennes hälsostatus (artikel 4.15). Hälsouppgifter omfattar i dataskyddssammanhang alla aspekter av en persons hälsa, till exempel uppgifter som kommer från tester eller undersökningar samt uppgifter om sjukdomshistoria och funktionshinder. Känsliga personuppgifter som rör hälsa behandlas exempelvis vid handläggning av ansökningar om medicinsk dispens från dopningsreglerna, vid handläggning av dopningskontroller och vid handläggning av ärenden om dopningsförseelser.
Även känsliga personuppgifter i form av genetiska och biometriska uppgifter kan behandlas i antidopningsarbetet. Med genetiska uppgifter avses i dataskyddsförordningen alla personuppgifter som rör nedärvda eller förvärvade genetiska kännetecken för en fysisk person, vilka ger unik information om denna fysiska persons fysiologi eller hälsa och vilka framför allt härrör från en analys av ett biologiskt prov från den fysiska personen i fråga (artikel 4.13). Det handlar framför allt om information som kan tas fram vid dna-analyser, men även motsvarande information som tas fram genom andra analyser omfattas (se prop. 2017/18:232 s. 150). Med biometriska uppgifter avses personuppgifter som erhållits genom en särskild teknisk behandling som rör en fysisk persons fysiska, fysiologiska eller beteendemässiga kännetecken och som möjliggör eller bekräftar identifieringen av denna fysiska person, såsom ansiktsbilder eller fingeravtrycksuppgifter (artikel 4.14). Biometriska uppgifter framkommer
alltså vid mätning av fysiska karaktärsdrag hos den som ska identifieras. Vid identifieringen kan t.ex. blodkärl och dna användas (se prop. 2017/18:269 s. 153). I EU-kommissionens utvärdering av antidopningsarbetet anges att biometriska uppgifter behandlas i idrottsutövares biologiska pass (se s. 103).
Begränsningar i lagen
För att behandling av känsliga personuppgifter ska få ske med stöd av artikel 9.2 g i dataskyddsförordningen ställs särskilda krav på det rättsliga stödet. Detta måste, som angetts ovan, vara förenligt med det väsentliga innehållet i rätten till dataskydd och innehålla bestämmelser om lämpliga och särskilda åtgärder för att säkerställa den registrerades grundläggande intressen. För att känsliga personuppgifter ska få behandlas i idrottens antidopningsarbete krävs alltså att den nationella rätten innehåller olika former av bestämmelser som skyddar den enskildes integritet.
Den lag om dataskydd i idrottens antidopningsarbete som vi föreslår kommer att innehålla skyddsåtgärder i form av ändamålsbestämmelser, åtkomstbegränsningar (se avsnitt 11.2) m.m. Enligt vår bedömning är dessa skyddsåtgärder i sig tillräckliga för att tillåta en behandling av känsliga personuppgifter. En ytterligare skyddsåtgärd skulle dock kunna bestå i en bestämmelse i lagen som begränsar möjligheten att behandla känsliga personuppgifter i antidopningsarbetet. En sådan begränsning skulle understryka förordningens krav på proportionalitet och uppgiftsminimering och motverka en alltför vidlyftig behandling av känsliga personuppgifter.
Bestämmelser om begränsning av behandling av känsliga personuppgifter utgör sådana specifika bestämmelser för att anpassa tillämpningen av bestämmelserna i dataskyddsförordningen som är tillåtna enligt artikel 6.2 och 6.3 i förordningen. I skäl 10 i dataskyddsförordningen anges också att medlemsstaternas handlingsutrymme att specificera sina bestämmelser även gäller för behandling av känsliga personuppgifter.
Det finns i registerförfattningarna exempel på ett antal olika sätt att inskränka rätten att behandla känsliga personuppgifter. Som vi ser det skulle inskränkningar i möjligheten att behandla känsliga
personuppgifter i idrottens antidopningsarbete kunna göras på ett eller flera av följande sätt: – Ett generellt skärpt krav för behandlingen införs. – Endast vissa slags känsliga personuppgifter får behandlas. – Behandling får bara ske för vissa specifika ändamål.
Ett tänkbart sätt att begränsa möjligheterna att i antidopningsarbetet använda sig av känsliga personuppgifter skulle kunna vara att införa ett generellt skärpt krav för behandlingen. Det förekommer i registerförfattningar att behandling av känsliga personuppgifter får ske om den inte innebär ett otillbörligt intrång i den registrerades personliga integritet, se t.ex. 13 § lagen (1993:792) om tillstånd att utfärda vissa examina. Ett sådant rekvisit har också förts in i 3 kap. 3 § första stycket 3 dataskyddslagen. Kravet har här till syfte att motverka att känsliga personuppgifter behandlas slentrianmässigt i den löpande verksamheten. För att avgöra om intrånget är otillbörligt måste en proportionalitetsbedömning göras där behovet av att utföra behandlingen viktas mot de registrerades intresse av att behandlingen inte sker. Ju mindre tydligt behovet av att behandla uppgifterna är, desto större är sannolikheten för att de registrerades intresse typiskt sett väger tyngre och att intrånget därför bör betraktas som otillbörligt (se prop. 2017/18:105 s. 89).
Ett annat, möjligen enklare uttryckt generellt krav, skulle kunna vara att behandling av känsliga personuppgifter endast får ske om det är absolut nödvändigt. Begreppet används i 2 kap. 11 § andra stycket brottsdatalagen och i till brottsdatalagen kompletterande lagar. Begreppet används även i 5 § kriminalvårdsdatalagen och i 14 § utlänningsdatalagen (2016:27). Rekvisitet har till syfte att visa att känsliga personuppgifter ska behandlas restriktivt och att behovet av att behandla sådana uppgifter måste prövas särskilt noga (se t.ex. prop. 2017/18:269 s. 296). Rekvisitet absolut nödvändigt har dock kritiserats för att vara svårt att skilja från begreppet nödvändigt och har därför ansetts kunna leda till begreppsförvirring. I förarbetena till dataskyddslagen instämde regeringen i denna kritik och anförde att användningen av olika rekvisit, vars närmare innebörd i förhållande till varandra inte är uppenbar, skulle kunna leda till vissa tillämp-
ningssvårigheter. Att en bestämmelse är avsedd att användas restriktivt kan i stället markeras genom ett snävt tillämpningsområde (se prop. 2017/18:105 s. 88 f.).
Det finns ett antal typer av känsliga personuppgifter som det inte alls finns anledning att behandla i idrottens antidopningsarbete. Dessa är uppgifter som avslöjar ras eller etniskt ursprung, politiska åsikter, religiös eller filosofisk övertygelse, medlemskap i fackförening och uppgifter om en fysisk persons sexualliv eller sexuella läggning. Behandling av dessa kategorier av uppgifter kan inte sägas vara nödvändig med hänsyn till det viktiga allmänna intresset av en dopningsfri idrott. Inte heller kan det anses vara proportionerligt i förhållande till syftet med den föreslagna lagen att med stöd av artikel 9.2 g i dataskyddsförordningen tillåta behandling av dessa typer av personuppgifter. Ett lämpligare sätt att begränsa tillämpningsområdet för känsliga personuppgifter i antidopningsarbetet än genom ett generellt skärpt krav skulle därför kunna vara att över huvud taget förbjuda behandling av dessa typer av uppgifter. Liknande begränsningar har förts in i ett antal registerförfattningar, se t.ex. 9 § lagen (2006:469) om behandling av personuppgifter vid Inspektionen för arbetslöshetsförsäkringen och 1 kap. 7 § lagen (2018:1180) om flygpassageraruppgifter i brottsbekämpningen. Det är vår uppfattning att en bestämmelse som över huvud taget inskränker rätten att behandla vissa typer av känsliga personuppgifter på ett enkelt sätt tydliggör vilka uppgifter som det alls finns anledning att behandla i antidopningsarbete och därmed förenklar för tillämparen. Vi föreslår därför att en sådan bestämmelse förs in i lagen.
RF och de andra organen i antidopningsarbetet kan visserligen inte påverka vilka uppgifter som lämnas till dem, exempelvis i form av tips i underrättelsearbetet. Aktörerna inom antidopningsarbetet är dock inga myndigheter och faller därmed inte under bestämmelserna i offentlighets- och sekretesslagen (2009:400) eller förvaltningslagen (2017:900) om hur allmänna handlingar ska hanteras, exempelvis genom krav på diarieföring. För det fall sådana känsliga personuppgifter som enligt vårt förslag inte ska få behandlas, skulle lämnas in till RF får uppgifterna därför raderas. För det fall uppgifterna har lämnats in av den enskilde själv, t.ex. inom ramen för en ansökan om medicinsk dispens, kan det dock vara möjligt att behandla uppgifterna med stöd av den enskildes samtycke.
Det är nödvändigt att känsliga personuppgifter om idrottsutövares hälsa får behandlas inom idrottens antidopningsarbete. Uppgifter om hälsa omfattar t.ex. resultatet av en dopningskontroll. Enligt vår uppfattning behöver sådana uppgifter kunna behandlas såväl för att planera ytterligare kontroller (ändamål 3) som för att handlägga ärenden om dopningsförseelser (ändamål 4). Sådana uppgifter kan även behöva behandlas i underrättelsearbetet (ändamål 5). Vidare behandlas uppgifter om hälsa i samband med handläggningen av en dispensansökan (ändamål 1). Till detta kommer att känsliga personuppgifter i form av genetiska uppgifter och biometriska uppgifter kan behöva behandlas i antidopningsarbetet. Med hänsyn härtill har vi inte funnit att det är lämpligt att begränsa behandlingen av de angivna känsliga personuppgifterna till endast vissa ändamål. Det bör dock påpekas att behandlingen i det enskilda fallet alltid måste leva upp till dataskyddsförordningens krav i övrigt för att vara tillåten, t.ex. principerna för behandling i artikel 5. Vidare måste en behandling av personuppgifter vara nödvändig för något av de ändamål som anges i lagen för att få utföras.
8.6. Uppgifter om lagöverträdelser
Förslag: Personuppgifter som rör lagöverträdelser får behandlas
för att handlägga dopningsärenden. De får också behandlas i det underrättelsearbete som bedrivs av RF enligt världsantidopningskoden.
Enligt artikel 10 i dataskyddsförordningen får behandling av personuppgifter som rör fällande domar i brottmål och lagöverträdelser som innefattar brott eller därmed sammanhängande säkerhetsåtgärder endast utföras under kontroll av en myndighet. Behandling av sådana uppgifter får också ske om behandlingen tillåts enligt unionsrätten eller nationell rätt, där lämpliga skyddsåtgärder för de registrerades rättigheter och friheter fastställs. Ett fullständigt register över fällande domar i brottmål får endast föras under kontroll av en myndighet.
Av 3 kap. 8 § dataskyddslagen framgår att uppgifter som avses i artikel 10 i dataskyddsförordningen får behandlas av myndigheter. Även andra än myndigheter får med stöd av bestämmelsen behandla
sådana uppgifter om behandlingen är nödvändig för att den personuppgiftsansvarige ska kunna följa föreskrifter om arkiv. Andra än myndigheter får enligt 5 § förordningen (2018:219) med kompletterande bestämmelser till EU:s dataskyddsförordning, alltså den till dataskyddslagen tillhörande förordningen, behandla uppgifter som avses i artikel 10 i förordningen om behandlingen är nödvändig för att rättsliga anspråk ska kunna fastställas, göras gällande eller försvaras, eller en rättslig förpliktelse enligt lag eller förordning ska kunna fullgöras. Datainspektionen har meddelat föreskrifter om i vilka fall andra än myndigheter får behandla personuppgifter om lagöverträdelser (DIFS 2018:2). Datainspektionen får även i enskilda fall besluta att andra än myndigheter får behandla sådana personuppgifter. Datainspektionens föreskrifter och beslut omfattar inte aktörerna inom idrottens antidopningsarbete.
Regeringens bedömning i motiven till dataskyddslagen är att artikel 10 i dataskyddsförordningen tar sikte på personuppgifter som rör fällande domar i brottmål, lagöverträdelser som innefattar brott samt straffprocessuella tvångsmedel (se prop. 2017/18:105 s. 98 f.). Uppgifter om att en idrottsutövare har gjort sig skyldig till en dopningsförseelse enligt idrottens interna regler rör inte en fällande dom i brottmål. Enligt vår bedömning rör de inte heller en lagöverträdelse som innefattar brott i den mening som avses i artikel 10 i förordningen. Sådana personuppgifter kan dock komma att behandlas inom den underrättelseverksamhet som bedrivs av RF i antidopningsarbetet. Det kan då röra sig om registrering av uppgifter från fällande brottmålsdomar avseende aktiva idrottsutövare. Vidare kan uppgifter om lagöverträdelser m.m. komma in till RF t.ex. genom tipsfunktionen på hemsidan. Man kan även tänka sig att en fällande dom i ett brottmål kan komma att bli åberopad som bevisning inom ramen för en prövning av en dopningsförseelse vid exempelvis Dopingnämnden.
För att uppgifter om lagöverträdelser m.m. ska få behandlas av andra än myndigheter krävs alltså enligt artikel 10 i dataskyddsförordningen att behandlingen har stöd i författning eller beslut av Datainspektionen. Sådant stöd saknas för behandling inom idrottens antidopningsarbete. Det bör därför tas in en bestämmelse i vår lag om dataskydd i idrottens antidopningsarbete som innebär att sådana uppgifter får behandlas. Vidare krävs enligt artikel 10 i förordningen att den nationella rätten innehåller lämpliga skyddsåtgärder för de
registrerades rättigheter och friheter. Som tidigare konstaterats kommer den av oss föreslagna lagen att innehålla bestämmelser som utgör skyddsåtgärder i form av bl.a. ändamålsbestämmelser, åtkomstbegränsningar m.m. En ytterligare skyddsåtgärd skulle kunna vara att begränsa möjligheten att behandla uppgifter om lagöverträdelser m.m. i idrottens antidopningsarbete till vissa ändamål. En sådan begränsning skulle understryka förordningens krav på proportionalitet och uppgiftsminimering. Vidare skulle en sådan begränsning göra det tydligt för vilka ändamål personuppgifter om lagöverträdelser m.m. över huvud taget kan komma att behandlas i antidopningsverksamhet.
Som konstaterats ovan kan uppgifter om lagöverträdelser m.m. behandlas i det underrättelsearbete som utförs i enlighet med världsantidopningskoden. Vidare kan det förekomma att en brottmålsdom blir aktuell inom ramen för handläggningen av ett dopningsärende. Det finns således behov av att kunna behandla de aktuella uppgifterna för dessa ändamål. I övrigt synes det inte finnas behov av att i antidopningsarbetet behandla uppgifter om lagöverträdelser m.m. Enligt vår mening bör det i lagen därför vara särskilt uttryckt att sådana personuppgifter som avses i artikel 10 i dataskyddsförordningen endast får behandlas för de ovan angivna ändamålen. Det är vår bedömning att en sådan inskränkning, tillsammans med de skyddsåtgärder som i övrigt föreslås i lagen, uppfyller kravet i artikel 10 på lämpliga skyddsåtgärder.
8.7. Publicering av uppgifter om dopningsförseelser
Bedömning: Publiceringen på internet av uppgifter om dopnings-
avstängda idrottsutövare är problematisk ur ett integritetsperspektiv. Eftersom publiceringen i Sverige sker med stöd av ett utgivningsbevis och därmed under skydd av yttrandefrihetsgrundlagen är dock möjligheterna att ingripa mot den med stöd av dataskyddsförordningen mycket begränsade. RF bör överväga en ny ordning genom vilken aktuella uppgifter kan göras tillgängliga för dem som har ett berättigat intresse av dem.
Enligt världsantidopningskoden ska den antidopningsorganisation som är ansvarig för hanteringen av ett ärende gällande en dopningsförseelse offentligt rapportera om ett fällande beslut i ärendet (se artikel 14.3). De uppgifter som ska rapporteras offentligt avser berörd idrott, vilken regel som har överträtts, namnet på den som har begått dopningsförseelsen, förbjuden substans eller metod som har använts samt vilka konsekvenser som dopningsärendet har föranlett. Skälen för beslutet ska också publiceras offentligt. Ett friande beslut i ett dopningsärende får dock endas publiceras med den enskildes samtycke. Offentliggörandet kan som ett minimum ske genom publicering av de aktuella uppgifterna på antidopningsorganisationens hemsida. Informationen ska ligga uppe under den längsta tiden av en månad eller den tid som avstängningen löper. För det fall den beslutet avser är underårig behöver dock inte något offentliggörande ske.
Ett skäl till att världsantidopningskoden föreskriver offentlig rapportering är att ett avstängningsbeslut som är taget av en signatär av koden ska gälla för all idrott som omfattas av koden. Den offentliga rapporteringen medför därmed att en signatär kan kontrollera om en tävlande eller idrottsfunktionär är avstängd av något annat organ. Ett annat motiv till den offentliga rapporteringen är att den anses ha en preventiv verkan.
Aktuella bestämmelser i världsantidopningskoden har förts in i artikel 14.3 i Idrottens antidopingreglemente. Där anges också att besluten ska publiceras offentligt på RF:s officiella plats för kungörelser. Av artikel 3 i Föreskrifter för nationell antidopingverksamhet framgår att bestämmelserna om offentlig publicering gäller för idrottsutövare som tävlar på internationell och nationell nivå. För motionärer och underåriga ska endast namn på den bestraffade, förenings- och förbundstillhörighet, beslutande organ samt påföljd publiceras. Sedan 2015 publicerar dock inte RF uppgifter om dopningsavstängda underåriga.
Publicering av uppgifter om dopningsavstängda idrottsutövare sker på hemsidan idrottenskungorelser.se som tillhör RF. Där publicerar RF uppgifter gällande bestraffningar enligt Idrottens antidopingreglemente och RF:s stadgar samt gällande matchfixning. Där finns också kallelser till idrottens årsmöten och länkar till Idrottens antidopingreglemente, RF:s stadgar samt till den internationella standarden för förbjudna dopningsmedel, den s.k. dopinglistan.
Listan över bestraffningar enligt Idrottens antidopingreglemente består av namn, förenings- och förbundstillhörighet, beslutande organ samt påföljd för personer som är avstängda från all idrott på grund av dopning. För närvarande (maj 2019) omfattar listan 53 personer. För tio av dessa innehåller listan en länk till en sammanfattning av avstängningsbeslutet. Samtliga uppgifter avseende en viss avstängd idrottsutövare tas bort från listan när avstängningstiden har gått ut.
RF:s webbplats för kungörelser har ett utgivningsbevis från Myndigheten för press, radio och tv. Ett utgivningsbevis ger ett s.k. frivilligt grundlagsskydd och innebär att innehavaren har samma grundlagsskydd för yttrandefriheten som massmedieföretag har för sina publiceringar på internet. Utgångspunkten vid införandet av det frivilliga grundlagsskyddet var att detta skydd inte skulle vara förbehållet traditionella massmedieföretag utan också kunna ges till enskilda och andra medieföretag som tillhandahåller information till allmänheten (se prop. 2001/02:74 s. 47 ff.). Möjligheten att ansöka om utgivningsbevis innebär att exempelvis tidningar som publiceras endast på internet kan få grundlagsskydd mot ingripanden från det allmänna.
För att ett utgivningsbevis ska utfärdas krävs enligt 1 kap. 5 § yttrandefrihetsgrundlagen (YGL) bland annat att en utgivare har utsetts och att överföringarna utgår från Sverige. Det ställs däremot inte upp några krav på att verksamheten ska ha ett visst innehåll eller syfte. Grundlagsskyddet är alltså innehållsneutralt i detta avseende och förutsätter endast att vissa formella kriterier är uppfyllda. Ett utgivningsbevis är giltigt i tio år och kan sedan förnyas. RF:s utgivningsbevis beviljades i mars 2014 och är alltså gällande till mars 2024.
Yttrandefrihetsgrundlagen har företräde framför dataskyddsförordningen (se 1 kap. 7 § dataskyddslagen). Möjligheterna att på grund av dataskyddsförordningen ingripa mot en publicering som sker med stöd av utgivningsbevis och därmed under skydd av yttrandefrihetsgrundlagen är därför mycket små. Dataskyddsförordningen påverkar således inte verksamheter med utgivningsbevis. Vid införandet av möjligheten till frivilligt grundlagsskydd för databaser väcktes frågan om reformens inverkan på integritetsskyddet. Konstitutionsutskottet uttalade att konflikter skulle kunna uppstå med bestämmelser som finns i syfte att skydda den personliga integriteten (se bet. 2001/02:KU21 s. 32).
Den 1 januari 2019 infördes en möjlighet att genom lag göra undantag från yttrandefrihetsgrundlagen och förbjuda offentliggörande av vissa personuppgifter som är av särskilt integritetskänslig karaktär. Ett sådant offentliggörande kan dock endast förbjudas om de aktuella personuppgifterna ingår i en uppgiftssamling som har ordnats så att det är möjligt att söka efter eller sammanställa dessa och det med hänsyn till verksamheten och de former under vilka uppgiftssamlingen hålls tillgänglig finns särskilda risker för otillbörliga intrång i enskildas personliga integritet (1 kap. 20 § YGL). Bestämmelsen tar sikte på rena söktjänster som innebär att registerliknande uppgiftssamlingar av vissa särskilt integritetskänsliga personuppgifter hålls tillgängliga för allmänheten. Som regel utgörs dessa söktjänster av olika on line-tjänster som bedrivs på kommersiella grunder och som innebär att allmänheten ges tillgång till information om enskilda som hämtats ur offentliga handlingar och register (se prop. 2017/18:49 s. 145 och 153). Bestämmelsen är således tänkt att vara tillämplig endast för vissa kvalificerade situationer. Tillämpningsområdet har gjorts beroende av vilka risker för intrång i den personliga integriteten som en viss typ av uppgiftssamling för med sig. Vid bedömningen av om det finns särskilda risker för otillbörliga intrång i enskildas personliga integritet ska en helhetsbedömning göras av karaktären på den aktuella uppgiftssamlingen (se a. prop. s. 152).
Det är visserligen möjligt att göra en fritextsökning på hemsidan för idrottens kungörelser och på så sätt söka efter de uppgifter som omfattas av listan över bestraffningar enligt Idrottens antidopingreglemente. Det är exempelvis möjligt att söka på ett visst dopningspreparat och få upp en träff avseende en idrottsutövare som har fällts för att ha använt preparatet. Vidare kan man genom att söka på en idrottsutövares namn få veta att denna dömts för att ha använt ett visst dopningspreparat. Således får den aktuella uppgiftssamlingen anses ha ordnats så att det är möjligt att söka efter integritetskänsliga uppgifter om hälsa. Listan över dopningsavstängda idrottsutövare omfattar dock endast ett 50-tal personer och det är endast för ett tiotal av dessa som uppgiftssamlingen innehåller sökbara uppgifter om brukade dopningspreparat. Uppgiftssamlingen hålls tillgänglig inom ramen för RF:s verksamhet och således inte inom någon form av kommersiell söktjänst. Uppgiftssamlingen kan inte heller anses
vara särskilt utvecklad för att underlätta sökningar på personuppgifter. Med hänsyn till den försiktighetsprincip som bör tillämpas vid inskränkningar av grundlagsskyddet på det tryck- och yttrandefrihetsrättsliga området finner vi därför att den aktuella uppgiftssamlingen inte uppfyller kraven för att en begränsning av grundlagsskyddet ska kunna göras med stöd av 1 kap. 20 § YGL. Enligt vår bedömning är det således inte möjligt att i lag göra undantag från det grundlagsskydd för listan över bestraffningar enligt Idrottens antidopingreglemente som följer av RF:s utgivningsbevis.
Den s.k. Artikel 29-gruppen har tidigare kritiserat världsantidopningskodens krav på offentliggörande för att vara alltför ingripande. Enligt gruppen kan syftena bakom publiceringen nås på ett mindre ingripande sätt (se yttrande 4/2009 s. 16 f.).
Hur offentliggörandet av fällande beslut i dopningsärenden går till varierar mellan EU-länderna. I vissa länder sker publiceringen, liksom i Sverige, på internet. I något land inhämtas den enskildes samtycke till publiceringen och i vissa länder överlämnas publiceringen till de nationella specialidrottsförbunden. I andra länder sker publiceringen endast i slutna system. I Belgien och Tyskland har de nationella antidopningsorganisationerna förbjudits av sina tillsynsmyndigheter att offentliggöra de aktuella uppgifterna. Skälet för detta har i Tyskland angetts vara att det skulle vara oproportionerligt att genom en publicering riskera att förstöra en idrottsutövares civila karriär. (Se EU-kommissionens utvärdering, s. 19 och 77.)
I det senaste utkastet till ny världsantidopningskod har det införts en definition av rekreationsidrottare, dvs. motionärer. För dessa behöver enligt förslaget inte något offentliggörande av bestraffningar ske. Enligt förslaget betraktas dock inte en 16- eller 17-åring som tävlar på hög nivå som underårig, varför ett offentliggörande blir obligatoriskt för dessa. Den nya versionen av koden är planerad att antas i november 2019, för att börja gälla den 1 januari 2021.
Enligt vår mening är publiceringen på internet av uppgifter om avstängda idrottsutövare klart problematisk ur ett integritetsperspektiv. En sådan publicering kan få långtgående konsekvenser för den enskilde även utanför idrotten och kan påverka den enskildes civila karriär och sociala liv. Detta är särskilt bekymmersamt när publiceringen avser motionsidrottare. Vi välkomnar därför det förslag till ändring i världsantidopningskoden som innebär att uppgifter om avstängda motionsidrottare inte behöver publiceras. Men det är
allvarligt nog att andra idrottsutövare ”hängs ut” av RF genom offentlig publicering. Enligt vår uppfattning borde det vällovliga syftet med att hindra en dopningsavstängd idrottsutövare från att delta i organiserad idrott kunna nås på ett mindre ingripande sätt, exempelvis genom användning av ett slutet system. Detta är också en lösning som framhålls i EU-kommissionens utvärdering (se s. 119). Det ligger dock inte inom ramen för vårt uppdrag att lämna något förslag på en ny ordning för hur aktuella uppgifter ska kunna göras tillgängliga för dem som behöver tillgång till dem. Vårt utredningsuppdrag handlar om att se till att personuppgiftsbehandlingen inom idrottens antidopningsarbete är förenlig med aktuell dataskyddsreglering. Nuvarande offentliggörande är inte i strid med dataskyddsförordningen. Även om det alltså inte ingår i vårt uppdrag att lämna några förslag på något alternativt offentliggörande, menar vi också att frågan om en ny ordning för att göra uppgifter om dopningsförseelser tillgängliga för dem som har ett berättigat intresse av dem och som också kan ha en preventiv effekt i första hand bör övervägas av RF självt. RF bör därför snarast ta initiativet till att överväga en ny sådan ordning.
8.8. Personnummer och samordningsnummer
Bedömning: Särskilda bestämmelser om behandling av person-
nummer och samordningsnummer behöver inte föras in i lagen.
Personnummer och samordningsnummer anses inte som känsliga personuppgifter i dataskyddsförordningens mening, men har ändå en särställning genom att medlemsstaterna ges möjlighet att införa särskilda villkor för behandlingen av sådana uppgifter (se artikel 87). Förordningen uppställer alltså inget krav på reglering i detta avseende, men av artikeln följer att om medlemsstaterna bestämmer särskilda villkor för sådan behandling måste lämpliga skyddsåtgärder för de registrerades fri- och rättigheter enligt förordningen säkerställas.
I 3 kap. 10 § dataskyddslagen har det tagits in en generell bestämmelse om behandling av personnummer och samordningsnummer. Av bestämmelsen framgår att sådana personuppgifter får behandlas om de registrerade har gett sitt samtycke. Finns det inget samtycke får personnummer och samordningsnummer behandlas bara när det är klart
motiverat med hänsyn till ändamålet med behandlingen, vikten av en säker identifiering eller något annat beaktansvärt skäl. Bestämmelsen innebär att en intresseavvägning mellan behovet av behandlingen och de integritetsrisker som den innebär ska göras (se prop. 2017/18:105 s. 199).
Bestämmelsen om personnummer och samordningsnummer i dataskyddslagen är generell och gäller därmed även inom idrottens antidopningsarbete. Det är vår bedömning att den generella regleringen i dataskyddslagen är tillräcklig. Det finns därför inte behov av några särskilda villkor och skyddsåtgärder för behandling av personnummer och samordningsnummer i den föreslagna lagen om dataskydd i idrottens antidopningsarbete.
9. Enskildas rättigheter
9.1. Allmänt om enskildas rättigheter
I kapitel III i dataskyddsförordningen behandlas den registrerades rättigheter. I artiklarna 13 och 14 regleras den personuppgiftsansvariges skyldighet att självmant tillhandahålla den registrerade information om behandlingen av personuppgifter. Artikel 15 reglerar den registrerades rätt att på begäran få tillgång till de personuppgifter som behandlas och viss särskilt angiven information (rätten till registerutdrag). Enligt artikel 16 har den registrerade rätt att på begäran få felaktiga personuppgifter rättade. Förutsättningarna för att den registrerade ska få sina personuppgifter raderade anges i artikel 17 (rätten att bli bortglömd). Vidare anges i artikel 18 att den registrerade under vissa omständigheter har rätt att kräva att behandlingen begränsas. I artikel 20 finns en bestämmelse som ger den registrerade rätt att få åtkomst till sina personuppgifter i syfte att föra över dem till en annan leverantör av elektroniska tjänster, s.k. dataportabilitet, om behandlingen grundar sig på den registrerades samtycke eller avtal med denne. I artikel 21 behandlas den registrerades rätt att göra invändningar mot behandling av personuppgifter och i artikel 22 rätten att motsätta sig automatiskt individuellt beslutsfattande. I anslutning till dessa rättigheter finns även bestämmelser om hur och när information ska lämnas (artikel 12) och bestämmelser om anmälningsskyldighet för det fall rättelse, radering eller begränsning av behandling sker (artikel 19).
Den registrerades rättigheter, med motsvarande skyldigheter för den personuppgiftsansvarige, är direkt tillämpliga. Rättigheterna är emellertid inte absoluta utan kan enligt artikel 23 i dataskyddsförordningen begränsas, under vissa förutsättningar. Enligt artikeln får begränsningar införas i nationell rätt om begränsningen sker med
respekt för andemeningen i de grundläggande rättigheterna och friheterna och utgör en nödvändig och proportionell åtgärd i ett demokratiskt samhälle. En begränsande lagstiftningsåtgärd ska innehålla specifika bestämmelser i vissa avseenden, bl.a. om skyddsåtgärder.
I dataskyddslagen finns undantag från vissa av dataskyddsförordningens rättigheter och skyldigheter. Av 5 kap. 1 § framgår att artiklarna 13–15 i dataskyddsförordningen om information och rätt att få tillgång till personuppgifter inte gäller för sådana uppgifter som den personuppgiftsansvarige inte får lämna ut till den registrerade enligt lag eller annan författning eller enligt beslut som har meddelats med stöd av författning. Om den personuppgiftsansvarige inte är en myndighet, gäller undantaget även för uppgifter som hos en myndighet skulle ha varit sekretessbelagda enligt offentlighets- och sekretesslagen (2009:400, OSL). I 5 kap. 2 § anges att rätten till registerutdrag som huvudregel inte gäller personuppgifter som finns i löpande text som inte har fått sin slutliga utformning eller som utgör minnesanteckning eller liknande.
Vissa bestämmelser om enskildas rätt att få del av information har tagits in i artikel 7 och 11 i den till världsantidopningskoden tillhörande standarden för skydd av privatlivet och personuppgifter. Dessa bestämmelser är således också tillämpliga i idrottens antidopningsarbete.
Nedan behandlas frågan om det behövs särskilda regler i den föreslagna lagen om dataskydd i idrottens antidopningsarbete som begränsar enskildas rättigheter enligt dataskyddsförordningen när det gäller rätten till information och tillgång till personuppgifter, rätten till rättelse, radering och begränsning av behandling av personuppgifter och rätten att göra invändningar mot behandling. Rätten till dataportabilitet är inte tillämplig vid den personuppgiftsbehandling som sker enligt vår föreslagna lag eftersom den behandlingen inte grundar sig på samtycke eller avtal. Dataportabilitet behandlas därför inte nedan. Inte heller behandlas automatiskt beslutsfattande, som inte bedöms förekomma i idrottens antidopningsarbete.
9.2. Undantag från enskildas rättigheter
Bedömning: Den föreslagna lagen bör inte innehålla några undan-
tag från den registrerades rättigheter enligt artiklarna 13–18 och 21 i dataskyddsförordningen.
Inga begränsningar bör införas avseende artiklarna 13–18
Regleringen i 5 kap. 1 § dataskyddslagen innebär att sådan sekretess eller tystnadsplikt gentemot den enskilde som har stöd i författning har företräde framför rätten att få information och tillgång till personuppgifter m.m. enligt artiklarna 13–15 i dataskyddsförordningen. Sådan sekretess kan i vissa fall gälla enligt offentlighets- och sekretesslagen till skydd för andra enskilda eller till skydd för allmänna intressen. Aktörer som inte omfattas av offentlighets- och sekretesslagens tillämpningsområde får vägra att lämna ut information till den registrerade, om en bestämmelse i den lagen hade hindrat utlämnande till den registrerade om den personuppgiftsansvarige hade varit en myndighet.
Vid införandet av motsvarande reglering i den tidigare gällande 27 § personuppgiftslagen (1998:204) konstaterades att reglerna om information innebär att ett slags ”offentlighetsprincip” gentemot den registrerade kommer att gälla i vissa avseenden även på den privata sidan. Regeringen anförde att det dock också på den privata sida kan finnas behov av bestämmelser som gör det möjligt att i vissa fall vägra att lämna information till den registrerade. Som exempel angavs att enskilda i lika hög grad som myndigheter kan ha ett befogat intresse av att kunna hemlighålla personanknuten information som samlats in inför en domstolsprocess, om det kan antas att ett utlämnande av informationen skulle försämra den enskildes ställning som part i rättegången. Vidare angavs att det i försäkringsverksamhet inte sällan registreras uppgifter om att en person misstänks för försäkringsbedrägeri eller annan brottslig verksamhet. Slutligen angavs att internationella organisationer kan ha sammanställningar av uppgifter om personer som misstänks ha gjort sig skyldiga till brott mot de mänskliga rättigheterna. Regeringens uppfattning var att dessa uppgifter inte bör behöva lämnas ut medan utredning pågår (se prop. 1997/98:44 s. 84).
Lagrådet kritiserade den valda lagregleringen och anförde att den innebär att enskilda blir skyldiga att sätta sig in i en omfattande och komplicerad lagstiftning som är utformad med tanke på myndigheters verksamhet och vid prövning av informationsskyldigheten försöka dra paralleller till den egna verksamheten (se a. prop. s. 240 f.).
Enligt Datalagskommittén, som hade i uppdrag att utreda hur det tidigare dataskyddsdirektivet skulle införas i svensk rätt, borde undantag från informationsskyldigheten kunna ske om det behövs för att skydda grundläggande intressen för enskilda eller för att förebygga, undersöka eller avslöja brott. Kommittén anförde att undantag bör medges i situationer liknande dem som avses t.ex. i nuvarande 18 kap. 1–4 §§, 19 kap. 9 § och 35 kap. 21 § OSL (se SOU 1997:39 s. 399).
Aktörerna inom idrottens antidopningsarbete är inte myndigheter utan privaträttsliga subjekt. För att dessa aktörer ska kunna vägra att lämna ut information till en registrerad krävs alltså att en bestämmelse i offentlighets- och sekretesslagen hade hindrat utlämnandet om det aktuella organet hade varit en myndighet. Det står enligt vår mening klart att aktörerna inom idrottens antidopningsarbete kan ha berättigade behov av att hemlighålla uppgifter för den enskilde i antidopningsarbetet, t.ex. om att denne förekommer i underrättelsearbetet. Även uppgifter om att den enskilde ska dopningstestas vid en viss tidpunkt bör kunna hållas hemliga. Enligt vår mening kan en jämförelse göras med bestämmelserna om sekretess till skydd främst för intresset av att förebygga eller beivra brott i 18 kap. 1–3 §§ OSL. Man skulle även kunna tänka sig att bestämmelserna i 17 kap. 1 och 2 §§ om sekretess till skydd främst för myndigheters verksamhet för inspektion, kontroll eller annan tillsyn hade kunnat användas. Det är således vår uppfattning att bestämmelser i offentlighets- och sekretesslagen kan användas för att i motsvarande fall förvägra ett utlämnande av information till enskilda. De begränsningar avseende artiklarna 13–15 i dataskyddsförordningen som följer av dataskyddslagen bör därför tillämpas även i idrottens antidopningsarbete, varför någon särskild reglering härom i den av oss föreslagna lagen inte är nödvändig.
Det har inte heller framkommit skäl att i den föreslagna lagen begränsa enskildas rättigheter enligt artiklarna 16–18 i dataskyddsförordningen.
Inte heller enskildas rätt att göra invändningar bör begränsas
Enligt artikel 21.1 i dataskyddsförordningen har den registrerade rätt att göra invändningar mot behandling av personuppgifter avseende honom eller henne. Denna rätt gäller bl.a. vid behandling som grundar sig på den rättsliga grunden allmänt intresse (artikel 6.1 e). Rätten att göra invändningar ska meddelas den registrerade uttryckligen senast vid den första kommunikationen med den registrerade och redovisas tydligt, klart och åtskilt från eventuell annan information (artikel 21.4).
Med rätten att göra invändningar avses att den registrerade har en möjlighet att få till stånd en överprövning av behandlingens tillåtlighet hos den personuppgiftsansvarige. Överprövningen innebär att den personuppgiftsansvarige måste kunna visa att dennes avgörande berättigade intressen väger tyngre än den registrerades intressen (artikel 21.1). Under tiden det sker en överprövning har den registrerade rätt att kräva att behandlingen av personuppgifterna begränsas (artikel 18.1 d). Om det saknas berättigade skäl har den registrerade rätt att få personuppgifterna raderade (artikel 17.1 c).
Som tidigare framkommit får rätten att göra invändningar begränsas under de förutsättningar som anges i artikel 23. Nationella begränsningar måste vara nödvändiga och proportionella och grunda sig på ett legitimt ändamål. En begränsning kan göras bl.a. med hänsyn till viktiga mål av allmänt intresse (artikel 23.1 e).
Rätten att göra invändningar har begränsats i ett flertal registerförfattningar som gäller för myndigheter. Ett huvudsakligt skäl till detta är att det ansetts vara av stor betydelse att personuppgifter får behandlas i myndigheternas verksamheter oberoende av den registrerades inställning. Vidare har bedömningen gjorts att den personuppgiftsansvarige närmast undantagslöst skulle kunna påvisa skäl för fortsatt behandling som väger tyngre än den registrerades intressen i det enskilda fallet. På grund härav samt för att fullt ut säkerställa förutsättningarna för de aktuella myndigheterna att behandla relevanta personuppgifter har det inte ansetts finnas anledning att låta den registrerade ha någon rätt att motsätta sig sådan personuppgiftsbehandling som är tillåten enligt registerlagarna (se t.ex. prop. 2017/18:254 s. 45).
Det får anses vara av stor betydelse att personuppgifter får behandlas i idrottens antidopningsarbete oberoende av den enskilde idrottsutövarens inställning. Det huvudsakliga skälet för att införa
en begränsning av den enskildes rätt att göra invändningar mot personuppgiftsbehandlingen skulle därför vara att personuppgiftsbehandlingen är en förutsättning för ett effektivt antidopningsarbete. En invändning mot behandling av personuppgifter behöver dock inte alltid gälla hela behandlingen, utan kan avse en begränsad del av denna, t.ex. långvarig lagring eller publicering av en viss uppgift. I sådana fall finns det enligt vår mening inte lika starka skäl till att inte tillåta en enskild att invända mot behandlingen.
Personuppgiftsbehandlingen i idrottens antidopningsarbete utförs inte av myndigheter som har författningsstöd för sin verksamhet utan av privaträttsliga aktörer som följer privaträttsliga regler. I förarbetena till dataskyddslagen uttalade regeringen att rätten att göra invändningar är en viktig funktion från rättssäkerhetssynpunkt, i synnerhet i de fall då de närmare villkoren för behandlingen inte har reglerats i en sektorsspecifik författning (se prop. 2017/18:105 s. 105). Vidare rekommenderas i EU-kommissionens rapport om personuppgiftsbehandlingen i idrottens antidopningsarbete att en nationell lagstiftning tillåter att idrottsutövare kan invända mot behandlingen av deras personuppgifter, särskilt om den rättsliga grunden för behandlingen är det allmänna intresset, dvs. den rättsliga grund som vårt lagförslag vilar på (se Anti-Doping & Data Protection, An evaluation of the anti-doping laws and practices in the EU Member States in light of the General Data Protection Regulation, s. 21).
Även om det är av stor vikt att idrottens antidopningsarbete kan utföras på ett effektivt sätt kan det enligt vår mening inte anses vara en nödvändig och proportionell åtgärd att i den förslagna lagen begränsa enskildas rätt att invända mot behandlingen av personuppgifter. Vi föreslår därför inte någon begränsning i den möjlighet enskilda har enligt dataskyddsförordningen att göra invändningar. Eftersom behandlingen av personuppgifter i idrottens antidopningsarbete är nödvändig för att utföra en uppgift av allmänt intresse, torde dock aktörerna inom idrottens antidopningsarbete normalt sett kunna påvisa sådana avgörande berättigade skäl för sin behandling som kan anses väga tyngre än den registrerades intressen.
10. Längsta tid för behandling
10.1. Allmänt om lagring av personuppgifter
Lagring av personuppgifter är en form av behandling av personuppgifter enligt dataskyddsförordningen (se artikel 4.2). Huvudregeln i artikel 5.1 e är att personuppgifter inte får förvaras i en form som möjliggör identifiering under längre tid än vad som är nödvändigt för de ändamål för vilka uppgifterna behandlas. När en personuppgift inte längre behöver behandlas för de ursprungliga ändamålen ska den alltså raderas eller avidentifieras. Med avidentifiering menas att alla möjligheter att identifiera en person tas bort. Särskilda regler gäller enligt dataskyddsförordningen om personuppgifter behandlas för arkivändamål av allmänt intresse, vetenskapliga eller historiska forskningsändamål eller statistiska ändamål. Om personuppgifter behandlas enbart för dessa ändamål, får de bl.a. lagras under längre perioder.
I dataskyddslagen finns bestämmelser om behandling av personuppgifter för arkivändamål som gäller för myndigheter och andra organ som enligt arkivlagen (1990:782) eller annan arkivlagstiftning är skyldiga att bevara sina handlingar. Dessa bestämmelser är dock inte tillämpliga för aktörerna inom idrottens antidopningsarbete.
I den till världsantidopningskoden tillhörande internationella standarden för skydd av privatlivet och personuppgifter finns bestämmelser om bevarande av personuppgifter som ska tillämpas i idrottens antidopningsarbete. Av artikel 10 framgår att signatärerna av världsantidopningskoden ska tillse att personuppgifter bara bevaras när det är relevant för att uppfylla skyldigheterna enligt koden, den aktuella standarden eller tillämplig lag. Personuppgifter som inte längre uppfyller dessa syften ska raderas, förstöras eller anonymiseras. Där anges också att bevarandet av känsliga personuppgifter kräver starkare och mer övertygande skäl än bevarandet av andra personuppgifter.
Signatärerna av koden ska enligt artikel 10.3 införa klara regler om bevarandetider som uppfyller de här angivna kraven. Särskilda gallringsrutiner ska också införas. Olika bevarandefrister får tillämpas för olika typer av personuppgifter. I annex A till den internationella standarden är de längsta möjliga bevarandetiderna för olika kategorier av personuppgifter i antidopningsarbetet specificerade. Här anges att ansökningar om medicinsk dispens ska gallras senast efter tio år, men att den medicinska information som ges in tillsammans med en ansökan om dispens ska gallras senast 18 månader efter dispensen har gått ut. Personuppgifter som lämnas i en vistelserapportering ska gallras senast efter 18 månader. Vad gäller dopningskontrollerna ska samtliga analysresultat och uppgifter i det biologiska passet gallras senast efter tio år. Dopningskontrollplaner och tillhörande blanketter ska gallras senast efter 18 månader vid negativa resultat, men ska vid positiva resultat gallras senast efter tio år. De angivna tidsfristerna kan utökas under en pågående dopningsutredning. Signatärerna av koden ska enligt artikel 10.4 utforma gallringsregler som överensstämmer med de bevarandetider som anges i annex A.
RF har inte antagit någon generell gallringsregel. Däremot har RF utarbetat en gallringspolicy som i stora delar motsvarar annex A till den internationella standarden för skydd av privatlivet och personuppgifter.
10.2. En generell bestämmelse om längsta tid för behandling av personuppgifter
Förslag: Personuppgifter får inte behandlas under längre tid än
vad som är nödvändigt med hänsyn till ändamålet med behandlingen.
I EU-kommissionens utvärdering av idrottens antidopningsarbete anges att samtliga nationella antidopningsorganisationer inom EU följer de gallringsbestämmelser som framgår av annex A i den till världsantidopningskoden tillhörande internationella standarden. Någon författningsreglering som inskränker de bevarandetider som anges i annex A synes således inte förekomma i EU-länderna. I Belgien har tider som är identiska med de som framgår av annex A tagits in i författning (se Anti-doping and Data Protection, An evaluation of
the anti-doping laws and practices in the EU Member States in light of the General Data Protection Regulation, 2017, s. 73).
Det kan konstateras att bevarandetiden för vissa kategorier av personuppgifter enligt annex A i den internationella standarden kan bli relativt lång. Den motiveras bl.a. av att preskriptionstiden för en dopningsförseelse är tio år. De angivna gallringsreglerna är dock konstruerade så att uppgifter ska gallras senast efter en viss tid. Reglerna innebär alltså inte att uppgifterna måste bevaras under den aktuella tiden. Det ska alltid göras en bedömning av huruvida det är nödvändigt att behandla aktuella personuppgifter för att uppfylla kraven enligt världsantidopningskoden. Om så inte är fallet får uppgifterna inte längre behandlas. Hur länge det är nödvändigt att behandla en uppgift ska alltså avgöras i varje enskilt fall.
I kommissionens utvärdering ifrågasätts om de bevarandetider som framgår av annex A i den internationella standarden är förenliga med dataskyddsförordningens krav på uppgiftsminimering (se a.a. s. 98). Mot denna bakgrund vore det förstås önskvärt att i den av oss föreslagna lagen införa bestämmelser som innebär att uppgifter får bevaras i antidopningsarbetet under kortare tid än vad som är tillåtet enligt den internationella standarden. Det får dock anses tveksamt om det är lämpligt att ett enskilt land inskränker de tider för längsta bevarande som WADA har beslutat om och som följs av andra länder. Som angetts i avsnitt 6.3 är det inte heller vår avsikt att försvåra det mycket angelägna antidopningsarbete som utförs inom idrotten och som har stöd i konventioner antagna av Europarådet och FN. Även om de bevarandetider som följer av den internationella standarden kan leda till lång lagring, är det därför vår uppfattning att den av oss föreslagna lagen inte bör innehålla en detaljreglering som innebär kortare bevarandetider. Vi menar dock att det är en angelägen uppgift för WADA att ta fram mer nyanserade regler angående längsta tid för bevarande som står i bättre överensstämmelse med dataskyddsförordningen. Enligt WADA är bevarandetiderna för tillfället under utvärdering, som en del av den revidering av världsantidopningskoden som är planerad att antas i november 2019, för att börja gälla den 1 januari 2021.
Vi anser dock att det i den av oss föreslagna lagen bör föras in en generell bestämmelse som anger att personuppgifter inte får behandlas under längre tid än vad som är nödvändigt med hänsyn till ändamålet med behandlingen. Genom en sådan generell reglering, som är
tillämplig för samtliga aktörer inom idrottens antidopningsarbete, tydliggörs att personuppgifter inte får bevaras om det inte längre är nödvändigt. Bestämmelsen kan därmed motverka ett slentrianmässigt bevarande. Införandet av en generell bestämmelse om längsta tid för behandling av personuppgifter innebär också att det uppkommer en ordning med dels en generell reglering om att personuppgifter inte får bevaras om de inte är nödvändiga, dels idrottens interna regler om när gallring absolut senast måste ske oavsett om uppgifterna fortfarande kan anses vara nödvändiga. En bestämmelse om längsta tid för behandling utgör ett sådant specifikt krav på personuppgiftsbehandlingen som är tillåtet enligt artikel 6.2 och 6.3 i dataskyddsförordningen. Vi föreslår därför att en sådan generell reglering införs.
Vi har valt att i den föreslagna bestämmelsen använda oss av begreppet längsta tid för behandling. Begreppet används i ett flertal nyare registerförfattningar i stället för begreppen gallring och bevarande (se t.ex. 2 kap. 17 § brottsdatalagen [2018:1177]). Enligt vår bedömning markerar begreppet på ett tydligare sätt att regleringen har till syfte att skydda enskildas personliga integritet och innebär därmed ett bättre skydd för den enskilde.
Den föreslagna regleringen innebär visserligen en form av dubbelreglering i förhållande till bestämmelsen om lagringsminimering i artikel 5.1 e i dataskyddsförordningen. Som konstaterats inledningsvis (avsnitt 6.3) kan dock den omständigheten att lagen riktar sig till privaträttsliga aktörer tala för att en sådan särskild tydlighet bör eftersträvas i regleringen.
Enligt vår uppfattning kan RF:s gallringspolicy kvarstå och komplettera den föreslagna bestämmelsen.
10.3. Längsta tid för behandling i underrättelsearbetet
Förslag: Personuppgifter får inte behandlas i underrättelsearbetet
längre än tre år efter utgången av det kalenderår då uppgifterna behandlades första gången. Om en ny uppgift beträffande samma persons anknytning till dopningsverksamhet behandlas före utgången av tidsfristen, får de personuppgifter som redan finns om personen fortsätta att behandlas så länge någon av uppgifterna får behandlas.
Den till världsantidopningskoden tillhörande standarden för skydd av privatlivet och personuppgifter innehåller inga särskilda bestämmelser om hur länge personuppgifter får behandlas i ett underrättelsearbete. Som tidigare konstaterats (se avsnitt 8.2) är dock behandlingen av personuppgifter i detta arbete särskilt känslig ur integritetshänseende. Enligt vår mening bör därför den av oss föreslagna lagen innehålla en uttrycklig bestämmelse om hur länge personuppgifter får behandlas i detta arbete.
Som tidigare sagts är det RF som i sin egenskap av nationell antidopningsorganisation utför ett underrättelsearbete i Sverige i enlighet med världsantidopningskodens regler. Information som via olika källor inkommer till RF, främst via tipsfunktionen på hemsidan dopingtips.se, bearbetas innan informationen överförs till ett informationshanteringssystem som är utformat för att hantera underrättelseinformation på ett säkert sätt. Endast information som misstänks kunna innebära en förseelse mot världsantidopningskoden överförs till databasen. Övrig information raderas omedelbart. Informationshanteringssystemet har nyligen tagits i bruk. Avsikten är att uppgifter som förs in i detta system ska raderas alternativt anonymiseras senast efter tre år.
Vid utformningen av vårt förslag i denna del har vi beaktat de gallringsbestämmelser som gäller i det underrättelsearbete som utförs av de brottsbekämpande myndigheterna. För Polismyndigheten och Säkerhetspolisen gäller regleringen i 4 kap. 7 § andra stycket lagen (2018:1693) om polisens behandling av personuppgifter inom brottsdatalagens område. Enligt bestämmelsen får personuppgifter som behandlas i underrättelsearbetet inte behandlas längre än tre år efter utgången av det kalenderår då registreringen avseende personen gjordes. För särskilt allvarlig brottslighet gäller en längre gallringsfrist om fem år. Om en ny registrering beträffande personens anknytning till brottslig verksamhet görs före utgången av de tidsfristerna, får de personuppgifter som redan finns om personen fortsätta att behandlas så länge någon av uppgifterna får behandlas. Liknande bestämmelser gäller för underrättelseverksamheten vid Tullverket, Kustbevakningen och Skatteverket (se 4 kap. 8 § andra stycket lagen [2018:1694] om Tullverkets behandling av personuppgifter inom brottsdatalagens område, 4 kap. 7 § lagen [2018:1695] om Kustbevakningens behandling av personuppgifter inom brottsdatalagens område samt 4 kap. 7 § lagen [2018:1696] om Skatteverkets behandling
av personuppgifter inom brottsdatalagens område). De angivna bestämmelserna gäller enbart personuppgifter som behandlas automatiserat. Om informationen överförs från elektronisk form till pappersform och därefter inte finns kvar elektroniskt är således bestämmelserna inte tillämpliga.
Enligt vår mening bör en bestämmelse som liknar de ovan angivna gälla också för det underrättelsearbete som utförs inom idrottens antidopningsarbete. Vid valet av längsta bevarandefrist bör dock den kortare tidsfristen väljas för idrottens antidopningsarbete, av hänsyn till skyddet av enskildas personliga integritet. Vidare talar integritetsskäl för att den av oss föreslagna regleringen inte bör vara begränsad till endast automatiserad behandling. Enligt vår mening bör bestämmelsen vara tillämplig för all den form av behandling av personuppgifter i underrättelsearbetet som omfattas av lagen (se 5 § i lagförslaget).
Gallringsfristen börjar enligt vårt förslag att löpa vid utgången av det kalenderår då en personuppgift behandlas i underrättelsearbetet för första gången. Tidpunkten för den första behandlingen bör i de flesta fall sammanfalla med den tidpunkt då en personuppgift förs in i informationshanteringssystemet för underrättelseinformation. Det är viktigt att RF skaffar sig rättssäkra rutiner för hur inhämtad underrättelseinformation behandlas så att gallringsregeln kan tillämpas på ett korrekt sätt.
11. Ytterligare skyddsåtgärder
11.1. Allmänt om skyddsåtgärder
Eftersom dataskyddsförordningen har till syfte att skydda fysiska personer vid behandling av personuppgifter, innehåller den ett stort antal bestämmelser som ska värna enskildas grundläggande rättigheter och intressen vid sådan behandling. Som exempel kan nämnas den grundläggande principen om uppgiftsminimering i artikel 5.1 c som anger att de personuppgifter som behandlas ska vara adekvata, relevanta och inte för omfattande i förhållande till de ändamål för vilka de behandlas. En annan grundläggande princip är den om integritet och konfidentialitet i artikel 5.1 f. Den innebär att den personuppgiftsansvarige med användning av lämpliga tekniska eller organisatoriska åtgärder ska vidta åtgärder som säkerställer lämplig säkerhet för personuppgifterna. Till den allmänna regleringen hör även skyldigheter för den personuppgiftsansvarige att genomföra lämpliga tekniska och organisatoriska åtgärder för att kunna säkerställa och visa att behandlingen utförs i enlighet med dataskyddsförordningen (artikel 24). Artikel 25 ålägger den personuppgiftsansvarige bl.a. att integrera nödvändiga skyddsåtgärder i behandlingen. Av artikel 32 framgår att lämpliga tekniska och organisatoriska åtgärder ska vidtas för att säkerställa en säkerhetsnivå som är lämplig i förhållande till risken i samband med personuppgiftsbehandlingen. I artikel 33 anges vidare att en personuppgiftsansvarig utan onödigt dröjsmål ska anmäla till tillsynsmyndigheten om det inträffar en s.k. personuppgiftsincident. Med personuppgiftsincident avses en säkerhetsincident som leder till oavsiktlig eller olaglig förstöring, förlust eller ändring eller till obehörigt röjande av eller obehörig åtkomst till de personuppgifter som överförts, lagrats eller på annat sätt behandlats (artikel 4.12). I vissa fall ska enligt artikel 34 även enskilda informeras om sådana incidenter.
Samtliga här angivna bestämmelser är tillämpliga för all personuppgiftsbehandling enligt dataskyddsförordningen. Krav på att behandlingen av personuppgifter ska omgärdas av skyddsåtgärder finns även intagna i den till världsantidopningskoden tillhörande internationella standarden för skydd av privatlivet och personuppgifter (se artikel 9).
Som tidigare sagts framgår på flera ställen i dataskyddsförordningen att också en nationell reglering som tillåter viss behandling av personuppgifter ska innehålla lämpliga och särskilda åtgärder för att säkerställa den registrerades grundläggande rättigheter och intressen. Exempelvis finns ett sådant krav för att känsliga personuppgifter ska få behandlas med stöd av artikel 9.2 g i dataskyddsförordningen. Motsvarande krav gäller enligt artikel 10 för nationell lagstiftning som tillåter behandling av uppgifter om lagöverträdelser utan kontroll av en myndighet. Nationell lagstiftning om skyddsåtgärder kan vidare vara nödvändig för att en begränsning av den registrerades rätt att göra invändningar ska få göras. Även i artikel 87 som behandlar personnummer och samordningsnummer finns ett krav på lämpliga skyddsåtgärder. Olika skyddsåtgärder är således inte bara något som kan framgå av nationell rätt, utan även något som i vissa fall måste fastställas i nationell rätt.
Vad för sorts specifika skyddsåtgärder som bör användas anges sällan i dataskyddsförordningen. I skäl 78 anges ett antal skyddsåtgärder som främst är organisatoriska till sin natur. Sådana åtgärder kan bland annat bestå av att uppgiftsbehandlingen minimeras, att öppenhet om personuppgifternas syfte och behandling iakttas, att den registrerade får möjlighet att övervaka uppgiftsbehandlingen och att den personuppgiftsansvarige får möjlighet att skapa och förbättra säkerhetsanordningar. Utöver sådana skyddsåtgärder som nämns direkt i förordningen finns i svensk rätt andra former av skyddsåtgärder, exempelvis ändamålsbestämmelser, tillgångsbegränsningar, sökbegränsningar och sekretessbestämmelser. Registerförfattningar innehåller regelmässigt olika uttryckliga bestämmelser om det som bedömts vara lämpliga skyddsåtgärder.
Vi har i tidigare avsnitt föreslagit att olika former av skyddsåtgärder förs in i lagen om dataskydd i idrottens antidopningsarbete. I avsnitt 8 föreslås skyddsåtgärder i form av ändamålsbestämmelser samt begränsningar av möjligheten att behandla känsliga personupp-
gifter och uppgifter om lagöverträdelser m.m. Även den förtydligande bestämmelsen om personuppgiftsansvar som behandlas i avsnitt 7.4 kan ses som en skyddsåtgärd. I avsnitt 10 behandlas skyddsåtgärden gallring och i avsnitt 12 frågor om sekretess. I detta avsnitt kommer vi att diskutera några ytterligare möjliga åtgärder för att säkerställa enskildas grundläggande rättigheter och intressen.
11.2. Tillgångsbegränsning
Förslag: Tillgången till personuppgifter ska begränsas till vad var
och en behöver för att kunna fullgöra sina arbetsuppgifter.
Stora informationsmängder som är samlade så att uppgifter är enkelt sökbara på elektronisk väg medför allmänt sett en risk för intrång i den personliga integriteten. Risken för sådant intrång är särskilt stor om det – som ofta är fallet i idrottens antidopningsarbete – rör sig om integritetskänsliga uppgifter. Vem som har rätt att använda uppgifterna och hur de sprids är omständigheter som påverkar risken för intrång i den personliga integriteten.
Det är vanligt förekommande att registerförfattningar innehåller en bestämmelse om att tillgången till personuppgifter ska begränsas till vad var och en behöver för att kunna fullgöra sina arbetsuppgifter. Regleringen har till syfte att säkerställa att personuppgifter hanteras på ett sätt som ger ett tillbörligt skydd för enskildas personliga integritet. Genom att en användare endast får tillgång till sådana personuppgifter som han eller hon har behov av i sitt arbete, kan risken för otillåten behandling av personuppgifter förebyggas eller åtminstone minskas.
Som tidigare framgått innebär principen om integritet och konfidentialitet i artikel 5.1 f i dataskyddsförordningen bl.a. att den personuppgiftsansvarige med användning av lämpliga tekniska eller organisatoriska åtgärder ska vidta åtgärder som säkerställer lämplig säkerhet för personuppgifterna. Vidare är den personuppgiftsansvarige skyldig att tillse att en lämplig säkerhetsnivå för behandlingen av personuppgifter upprätthålls (artikel 24.1 och 32). Av artikel 25.2 framgår bl.a. att personuppgifter som huvudregel inte utan den registrerades medverkan ska göras tillgängliga för ett obegränsat antal fysiska personer.
Även om skyldigheten för personuppgiftsansvariga att på olika sätt begränsa tillgången till personuppgifter kan sägas följa av dataskyddsförordningen, talar det förhållandet att vår lag riktar sig till privaträttsliga subjekt för att en särskild tydlighet bör eftersträvas i regleringen (se avsnitt 6.3). En viss form av dubbelreglering får därmed godtas. Bestämmelser om vilka säkerhetsåtgärder som ska vidtas i en viss verksamhet utgör vidare ett sådant specifikt krav på personuppgiftsbehandling som enligt artikel 6.2 får fastställas i nationell rätt. För skyddet av den enskildes personliga integritet är det enligt vår mening viktigt att det uttryckligen säkerställs att personuppgifter görs tillgängliga i idrottens antidopningsarbete bara för de medarbetare och andra aktörer som behöver uppgifterna för sitt arbete. Vi föreslår därför att en bestämmelse härom förs in i lagen om dataskydd i idrottens antidopningsarbete. Den personuppgiftsansvarige är således alltid skyldig att pröva varje medarbetares och mottagares behov av tillgång till personuppgifter utifrån vad arbetsuppgifterna och världsantidopningskoden kräver och begränsa tillgången i enlighet med det.
Det är en förutsättning för efterlevnaden av den föreslagna bestämmelsen att det finns bra loggningssystem och att uppföljande kontroller görs. Det är upp till varje aktör som omfattas av lagen att utforma riktlinjer och rutiner i syfte att säkerställa att den föreslagna bestämmelsen följs.
11.3. Sökbegränsning
Bedömning: Lagen bör inte innehålla några begränsningar av tillåtna
sökbegrepp.
Dataskyddsförordningen saknar bestämmelser om sökning eller användning av s.k. sökbegrepp. Sökning och sammanställning av uppgifter som sker elektroniskt är dock behandling av personuppgifter och omfattas därför av dataskyddsförordningens bestämmelser. På grund av detta måste en sökning uppfylla kraven i bland annat artikel 5 i dataskyddsförordningen för att vara tillåten.
I en databas eller annan textmassa som har lagrats på ett medium för automatiserad behandling är det med dagens teknik nästan alltid möjligt att med ett sökbegrepp, t.ex. ett visst ord eller ett namn, hitta
de poster där begreppet förekommer. På detta sätt är det möjligt att snabbt göra en sammanställning av personuppgifter i en databas och exempelvis framställa statistik. Möjligheten att söka kan därför ofta vara ett värdefullt redskap, utan att det för den sakens skull måste innebära risker för den enskildes personliga integritet. Något generellt förbud mot sökning i en databas anses därför normalt inte vara motiverat. Sökbegrepp som avslöjar känsliga personuppgifter är dock typiskt sett förknippade med särskilda risker i integritetshänseende. Enligt 3 kap. 3 § andra stycket dataskyddslagen är det därför förbjudet att utföra sökningar i syfte att få fram ett urval av personer grundat på känsliga personuppgifter. Bestämmelsen är dock endast tillämplig för myndigheter. Ett liknande förbud finns i brottsdatalagen (2018:1177). Enligt de till den lagen tillhörande registerförfattningarna är det dock möjligt att utföra sökningar på känsliga personuppgifter som inte har gjorts gemensamt tillgängliga, dvs. för en större grupp människor.
Vid bedömningen av om sökbegrepp som avslöjar känsliga personuppgifter bör vara tillåtna i idrottens antidopningsarbete måste en avvägning göras mellan intresset av effektivitet i verksamheten och risken för integritetsintrång. En eventuell regel som begränsar tillåtna sökbegrepp bör således ta sikte direkt på sådana typer av sökningar som typiskt sett medför särskilda integritetsrisker. Inom idrottens antidopningsarbete sker det i dag sökningar som kan avslöja känsliga personuppgifter om hälsa. Exempelvis är det möjligt för RF att inom dispenshanteringen göra sökningar på en viss substans i den s.k. dopinglistan och på så sätt få fram samtliga dispenser för denna substans. Funktionen används vid sammanställande av statistik och kan även användas som underlag för beslut.
Enligt våra förslag kommer det inom idrottens antidopningsarbete endast vara tillåtet att behandla personuppgifter när det är nödvändigt för de ändamål som anges i lagen. Vidare får endast sådana känsliga personuppgifter som rör hälsa samt genetiska och biometriska uppgifter behandlas. Enligt vår mening är det rimligt att aktörerna inom idrottens antidopningsarbete även framöver bör ha möjlighet att utföra sökningar i syfte att få fram ett urval av personer grundat på dessa former av känsliga personuppgifter. Det bör i detta sammanhang beaktas att antidopningsarbetet utförs av ett fåtal personer och att vi ovan föreslår en bestämmelse där tillgången till per-
sonuppgifter begränsas till vad var och en behöver för att kunna fullgöra sina arbetsuppgifter. Eftersom aktörerna inom idrottens antidopningsarbete inte är myndigheter finns det inte heller särskilda risker med att tillåta personalen att använda känsliga sökbegrepp, eftersom allmänheten inte med stöd av offentlighetsprincipen därigenom får möjlighet att begära att personalen ska använda dessa sökbegrepp för att sammanställa och lämna ut personuppgifter (s.k. potentiella handlingar). Utifrån dessa avvägningar gör vi bedömningen att det inte bör införas någon begränsning vad gäller sökbegrepp i den föreslagna lagen.
11.4. Särskild upplysning
Bedömning: Lagen bör inte innehålla någon bestämmelse om att
vissa uppgifter som behandlas i underrättelsearbetet ska förses med en särskild upplysning.
Som en ytterligare skyddsåtgärd har vi övervägt en ordning med särskilda upplysningar. Regler om sådana finns i olika registerförfattningar på brottsdatalagens område (se t.ex. 3 kap. 4 § lagen [2018:1693] om polisens behandling av personuppgifter inom brottsdatalagens område, nedan kallad polisens brottsdatalag). Bestämmelserna innebär i korthet att det vid behandling av personuppgifter i underrättelseverksamhet ska framgå om en person inte är misstänkt för att utöva brottslig verksamhet. För det fall det inte framgår av sammanhanget ska det anges som en särskild upplysning att personen inte är misstänkt. Det ska alltså i underrättelsearbetet på brottsbekämpningens område gå att skilja mellan personer som är av intresse på grund av inblandning i brottslig verksamhet och personer som inte är misstänkta för det. De aktuella bestämmelserna är dock endast tillämpliga för personuppgifter som har gjorts gemensamt tillgängliga, dvs. för en större grupp människor. Bakgrunden är att risken för intrång i den personliga integriteten då anses vara större. Uppgifter som endast ett fåtal personer har rätt att ta del av anses inte lika känsliga från integritetssynpunkt. Som en tumregel brukar anges att uppgifter är att anse som gemensamt tillgängliga om de är tillgängliga för fler än ett tiotal personer (se t.ex. prop. 2009/10:85 s. 335).
Vid införandet av regleringen i den äldre polisdatalagen (2010:361) föreslogs inte några motsvarande bestämmelser för uppgifter som ännu inte har gjorts gemensamt tillgängliga. Det angavs att om t.ex. uppgifter förekommer i en enskild tjänstemans dator eller behandlas i en liten, klart avgränsad projektgrupp vet handläggande tjänsteman varifrån uppgiften har kommit, varför den behandlas och om en omnämnd person är misstänkt för brott eller för att utöva brottslig verksamhet eller inte, varför det inte behövs någon särskild upplysning (se a. prop. s. 147).
Även i brottsdatalagen finns bestämmelser om särskilda upplysningar (se 2 kap. 3 § andra stycket samt 9 och 10 §§). Enligt de brottsbekämpande myndigheternas registerförfattningar är dock även dessa bestämmelser endast tillämpliga för uppgifter som har gjorts gemensamt tillgängliga (se t.ex. 2 kap. 3 § i polisens brottsdatalag).
Det underrättelsearbete som omfattas av vår lag utförs av RF. Tillgången hos RF till uppgifter som behandlas i underrättelsearbetet är begränsad till en ganska snäv krets. Uppgifterna behandlas inte av så många personer att de kan anses bli gemensamt tillgängliga. Generellt sett lär vidare uppgifterna i RF:s underrättelseverksamhet inte vara lika känsliga som de som förekommer i den brottsbekämpande verksamheten. Vi har bl.a. därför kommit till slutsatsen att en motsvarande ordning när det gäller personuppgiftsbehandling i antidopningsarbetet inte bör införas.
11.5. Dataskyddsombud
Förslag: RF och andra organ som är etablerade i Sverige och som
utför antidopningsarbete på uppdrag av en signatär av världsantidopningskoden ska utse dataskyddsombud för sin behandling av personuppgifter i antidopningsarbetet.
Enligt artikel 37.1 i dataskyddsförordningen ska myndigheter och offentliga organ som behandlar personuppgifter under alla omständigheter utnämna dataskyddsombud. Detsamma gäller för andra aktörer vars kärnverksamhet består av behandling av personuppgifter som på grund av sin karaktär, sin omfattning och/eller sina ändamål kräver regelbunden och systematisk övervakning av de registrerade i stor omfattning. För det fall kärnverksamheten består av behandling
i stor omfattning av känsliga personuppgifter eller uppgifter om lagöverträdelser m.m. ska också ett dataskyddsombud utses. I andra fall får eller, om så krävs enligt unionsrätten eller medlemsstaternas nationella rätt, ska ett dataskyddsombud utnämnas (artikel 37.4).
Termen dataskyddsombud definieras inte i dataskyddsförordningen, men i artikel 38 och 39 regleras ombudets ställning och uppgifter. Enligt artikel 39 ska ett dataskyddsombud ha till uppgift att informera personuppgiftsansvariga, personuppgiftsbiträden och anställda om skyldigheterna enligt förordningen och andra unions- eller medlemsstatsreglerade dataskyddsbestämmelser. Ombudet ska också bl.a. övervaka efterlevnaden av förordningen och samarbeta med tillsynsmyndigheten. I artikel 37.6 stadgas att dataskyddsombudet får ingå i den personuppgiftsansvariges eller personuppgiftsbiträdets personal eller utföra uppgifterna på grundval av ett tjänsteavtal.
I 1 kap. 8 § dataskyddslagen anges att den som fullgör uppgift som dataskyddsombud enligt artikel 37 i dataskyddsförordningen inte obehörigen får röja det som han eller hon vid fullgörandet av sina uppgifter har fått kännedom om. Det föreligger således tystnadsplikt för ett dataskyddsombud. Bestämmelsen gäller för privata aktörer. I det allmännas verksamhet gäller i stället bestämmelserna i offentlighets- och sekretesslagen (2009:400).
Artikel 29-gruppen har antagit riktlinjer om dataskyddsombud. Riktlinjerna har godkänts av Europeiska dataskyddsstyrelsen. I riktlinjerna anges att en bedömning av huruvida en behandling sker i stor omfattning ska göras utifrån antalet registrerade, mängden uppgifter eller omfånget av de uppgifter som behandlas, behandlingens varaktighet eller beständighet och den geografiska omfattningen av behandlingen. Som exempel på storskalig behandling nämns behandling av patientuppgifter på sjukhus, reseuppgifter rörande individer som reser kollektivt, kunduppgifter hos bank eller försäkringsbolag, beteendebaserad reklam med hjälp av en sökmotor samt trafik- och lokaliseringsuppgifter hos telefonoperatörer eller internetleverantörer. Som exempel på uppgifter som inte behandlas i stor omfattning anges patientuppgifter hos en läkare och uppgifter om lagöverträdelser hos en advokat. Huruvida en behandling sker regelbundet ska enligt riktlinjerna bedömas utifrån om behandlingen sker pågående eller förekommer vid vissa tidsintervaller eller under en särskild tidsperiod. En regelbunden behandling ska vara återkommande eller
upprepande vid vissa tidpunkter, konstant eller periodvist förekommande. Systematisk behandling tar sikte på pågående behandling enligt ett system. Systematisk behandling kan även innebära att behandlingen är ordnad på förhand, organiserat eller metodiskt, som en del av en generell plan för insamling av uppgifter eller utförs som en del av en strategi. (Se WP 243 rev.01 s. 7 ff.)
RF är den svenska nationella antidopningsorganisationen enligt världsantidopningskoden och utför därför huvuddelen av idrottens antidopningsarbete i Sverige. Antidopningsarbetet får anses vara en del av RF:s kärnverksamhet. Arbetet kräver på grund av sin karaktär och omfattning en övervakning av enskilda som är både regelbunden och systematisk samt sker i stor omfattning. Vidare innebär RF:s antidopningsarbete att känsliga personuppgifter behandlas i stor omfattning. Enligt vår mening faller därför RF in under de organ som enligt artikel 37.1 i dataskyddsförordningen ska utse dataskyddsombud. RF har också utsett ett sådant ombud.
IDTM är, som beskrivits i avsnitt 3.3.4 och 7.2.1, ett i Sverige etablerat företag som bl.a. utför dopningstester i enlighet med världsantidopningskodens regler på uppdrag av signatärer av koden. Huruvida IDTM behandlar personuppgifter i antidopningsarbetet på ett sådant sätt att företaget på grund härav är skyldigt att utse dataskyddsombud blir främst beroende av en bedömning av om företagets kärnverksamhet kräver regelbunden och systematisk övervakning av enskilda i stor omfattning. Enligt vår bedömning är det osäkert om IDTM, som utför antidopningsarbetet i enlighet med kundernas önskemål, uppfyller kraven i artikel 37.1 på systematik och behandling i stor omfattning. Det är alltså inte givet att IDTM faller in under skyldigheten att utse dataskyddsombud enligt dataskyddsförordningen. Dock kan det konstateras att företaget i antidopningsarbetet behandlar personuppgifter, däribland känsliga sådana, i en inte ringa omfattning, vilket talar för att företaget ändå bör utse dataskyddsombud. IDTM har också utsett ett sådant ombud.
De föreningar och förbund som är anknutna till RF kan enligt vår mening inte anses behandla personuppgifter i antidopningsarbetet på ett sådant sätt och i en sådan omfattning att de på grund härav omfattas av skyldigheten enligt dataskyddsförordningen att utse dataskyddsombud. Inte heller andra aktörer som utför antidopningsarbete i Sverige i enlighet med världsantidopningskoden och därmed omfattas av vår lag kan i detta arbete anses behandla personuppgifter
i sådan skala att de på grund härav omfattas av en skyldighet enligt dataskyddsförordningen att utse dataskyddsombud.
Visserligen följer det av dataskyddsförordningen, som sagts ovan, att RF ska utse dataskyddsombud. Av pedagogiska skäl kan det dock vara lämpligt att låta detta framgå direkt av den föreslagna lagen. Som vi konstaterat inledningsvis (avsnitt 6.3) kan den omständigheten att lagen riktar sig till privaträttsliga aktörer tala för att en särskild tydlighet bör eftersträvas i regleringen. En bestämmelse om att dataskyddsombud ska utses får vidare anses vara ett sådant specifikt krav på åtgärder för att säkerställa en laglig och rättvis behandling som enligt artikel 6.2 får fastställas i nationell rätt. För skyddet av den enskildes personliga integritet är det enligt vår mening lämpligt att det uttryckligen framgår att det ska finnas ett dataskyddsombud för den behandling av personuppgifter som utförs av den nationella antidopningsorganisationen. En sådan nationell reglering förordas också i EU-kommissionens rapport om antidopningsarbetet (se Anti-Doping & Data Protection, An evaluation of the anti-doping laws and practices in the EU Member States in light of the General Data Protection Regulation, s. 21 och 121). Vi föreslår därför att en bestämmelse härom förs in i lagen om dataskydd i idrottens antidopningsarbete.
Vidare är det vår uppfattning att lagen bör innehålla ett krav på att även serviceföretaget IDTM, eller liknande organ som i framtiden kan komma att etableras i Sverige, ska utse dataskyddsombud. Den behandling av personuppgifter som sker av sådana privata aktörer i idrottens antidopningsarbete är enligt vår mening av sådan ingripande karaktär att det finns anledning att i lagen införa ytterligare skyddsåtgärder för att säkerställa en laglig och rättvis behandling av personuppgifterna. Därför föreslår vi att lagen ska innehålla ett krav på att även dessa aktörer ska utse dataskyddsombud.
När det gäller övriga aktörer i idrottens antidopningsarbete, som enligt vår bedömning inte omfattas av skyldigheten enligt dataskyddsförordningen att utse dataskyddsombud, finner vi inte att det finns tillräckliga skäl att införa krav på dataskyddsombud som går längre än förordningen. Vi vill dock påpeka att det alltid kan vara bra för ett organ att utse ett dataskyddsombud. Ett sådant ombud torde ofta få särskilda kunskaper om personuppgiftsfrågor och kan ge god service åt enskilda för att de ska kunna ta tillvara sin rätt. Dataskyddsombudet kan också bidra till kunskapsspridningen och kan skapa förtroende hos berörda idrottsutövare.
11.6. Andra skyddsåtgärder
Bedömning: Ytterligare skyddsåtgärder är inte nödvändiga i lagen.
Det finns andra åtgärder som är av vikt för skyddet av enskildas personliga integritet och som vi därför vill uppmärksamma även om de inte föranleder några lagförslag från vår sida. En sådan fråga är de registrerades rätt till tydlig och lättförståelig information om behandlingen av deras personuppgifter. Som tidigare sagts regleras den personuppgiftsansvariges skyldighet att självmant tillhandahålla den registrerade information om behandlingen av personuppgifter av artiklarna 13 och 14 i dataskyddsförordningen. Artikel 15 reglerar den registrerades rätt att på begäran få tillgång till de personuppgifter som behandlas och viss särskilt angiven information. I artikel 12 anges att informationen ska lämnas i en koncis, klar och tydlig, begriplig och lätt tillgänglig form. Språket som används ska vara klart och tydligt. Informationen ska lämnas skriftligt eller i någon annan form. När så är lämpligt kan den lämnas elektroniskt. Om den registrerade begär det kan informationen tillhandahållas muntligt, förutsatt att den registrerades identitet bevisats på annat sätt. I 5 kap.1 och 2 §§dataskyddslagen finns intaget undantag från artiklarna 13–15 i dataskyddsförordningen.
Enskildas rätt att få del av tydlig och lättförståelig information följer således direkt av dataskyddsförordningen. Vilken information som ska lämnas inskränks dock i dataskyddslagen. Det hade visserligen varit möjligt att reglera enskildas rätt till tydlig och lättförståelig information också i den av oss föreslagna lagen. En sådan bestämmelse skulle dock för fullständighetens skull kräva en hänvisning till den närmare regleringen i dataskyddsförordningen och dataskyddslagen. Vi har inte sett att det finns tillräckliga skäl att föra in en sådan bestämmelse i den föreslagna lagen och lämnar därför inte något sådant förslag.
Andra åtgärder som är lämpliga att vidta för att skydda enskildas personuppgifter i antidopningsarbetet avser kryptering av överförd information och funktioner för autentisering. När känsliga personuppgifter kommuniceras via internet, såsom sker i antidopningsarbetet, är det lämpligt att uppgifterna är krypterade vid överföringen på ett sådant sätt att endast den avsedda mottagaren kan ta del av uppgifterna. Behandling av personuppgifter i e-postsystem utgör
en särskild risk i sig eftersom det kan vara svårt att se till att endast behöriga får del av uppgifterna. Detta gäller särskilt vid kommunicering via mobila enheter. Sådan behandling bör därför undvikas alternativt bör den överförda informationen krypteras. Vidare bör stark autentisering av personer, t.ex. via e-legitimation, krävas i situationer där någon loggar in i ett system över öppet nät och tar del av personuppgifter som behandlas i antidopningsarbetet.
Det följer redan av dataskyddsförordningen att den personuppgiftsansvarige ska vidta lämpliga tekniska och organisatoriska åtgärder för att säkerställa en säkerhetsnivå som är lämplig i förhållande till risken i samband med personuppgiftsbehandlingen (se avsnitt 11.1 ovan). Även om de här angivna frågorna är viktiga ur integritetssynpunkt lämpar sig en detaljreglering avseende tekniska åtgärder enligt vår mening mindre väl för en författningsreglering, i vart fall i lag. Vi har därför inte lämnat något förslag heller i denna del.
12. Sekretess
12.1. Sekretess i idrottens antidopningsarbete
Idrottens antidopningsarbete utförs av enskilda rättssubjekt, såsom ideella föreningar och aktiebolag. Exempelvis är RF, som utför huvuddelen av idrottens antidopningsarbete i Sverige, en ideell förening. Aktörerna omfattas inte av offentlighetsprincipen som ger allmänheten och medierna rätt till insyn i verksamheten. De handlingar som förekommer i idrottens antidopningsarbete hos dessa aktörer är därmed inte allmänna och bestämmelserna om handlingssekretess och tystnadsplikt i offentlighets- och sekretesslagen (2009:400, OSL) är inte heller tillämpliga.
Dataskyddslagen innehåller i 1 kap. 8 § en bestämmelse om tystnadsplikt för dataskyddsombud, som är tillämplig även i idrottens antidopningsarbete. I övrigt saknas författningsreglering om sekretess eller tystnadsplikt för uppgifter som behandlas i idrottens antidopningsarbete.
Bestämmelser om sekretess har däremot tagits in i världsantidopningskoden. Exempelvis anges i artikel 14.1.5 att signatärerna av koden ska behandla mottagen information om misstänkt dopning konfidentiellt till dess att den har offentliggjorts. Av artikel 5.6 framgår att insamlad vistelseinformation ska behandlas strikt konfidentiellt. Detsamma gäller enligt artikel 9.3 i den internationella standarden för medicinsk dispens för en ansökan om sådan dispens från dopningsreglerna. Av artikel 11.2 i den internationella standarden för dopningskontroll och utredning framgår också att insamlad underrättelseinformation ska behandlas konfidentiellt. I världsantidopningskoden anges därutöver att varje signatär ska införa bestämmelser om sekretess i sin egen verksamhet (se kommentaren till artikel 14.1.5).
Bestämmelser om sekretess för antidopningsverksamheten har tagits in i RF:s stadgar. Av 13 kap. 8 § följer till en början att sekretess gäller inom RF:s antidopningsverksamhet för uppgift som avser planering av kontroller och genomförda kontroller samt dopningsärenden, om det inte står klart att uppgiften kan röjas utan att verksamheten eller den person uppgiften gäller lider men. Huvudregeln är alltså att dessa uppgifter inte är offentliga. Regleringen påminner om konstruktionen med s.k. omvända skaderekvisit i offentlighets- och sekretesslagen. För andra uppgifter inom antidopningsverksamheten gäller sekretess om det kan antas att verksamheten eller den uppgiften rör lider men om uppgiften röjs. I dessa fall är alltså huvudregeln att uppgifterna är offentliga. Den valda regleringen påminner om de s.k. raka skaderekvisiten i offentlighets- och sekretesslagen. Av samma paragraf i RF:s stadgar framgår vidare att sekretessen enligt bestämmelsen inte utgör hinder för Dopingkommissionen att lämna information till berört specialidrottsförbund, internationellt specialidrottsförbund och till WADA. För sådan information gäller motsvarande sekretess hos det mottagande organet. I bestämmelsen anges också att Dopingkommissionen får besluta att lämna information till Polismyndigheten, Åklagarmyndigheten och Tullverket.
De angivna sekretessbestämmelserna har av RF också tagits in i Idrottens antidopingreglemente (artikel 14.1.6). Där finns även en bestämmelse som motsvarar artikel 14.1.5 i världsantidopningskoden (se artikel 14.1.5 i Idrottens antidopingreglemente).
12.2. Behovet av författningsreglering
Bedömning: Det föreligger inte något behov av en förändrad
sekretessreglering. RF bör dock se över 13 kap. 8 § i RF:s stadgar.
Sekretess i antidopningsverksamheten
Som angetts ovan tillämpas inte offentlighetsprincipen i idrottens antidopningsarbete. Någon allmän rätt till insyn i antidopningsarbetet föreligger alltså inte. Enligt vår mening är därför de privaträttsliga
reglerna om sekretess, tillsammans med den av oss föreslagna dataskyddsregleringen, tillräckliga för att säkerställa skyddet av uppgifter om enskilda och om kontroller i idrottens antidopningsarbete.
Utlämnande av uppgifter som rör antidopningsarbetet
Det förekommer att uppgifter lämnas ut från organen inom antidopningsarbetet till myndigheter som omfattas av offentlighets- och sekretesslagen. Exempelvis lämnas uppgifter ut från RF till Dopinglaboratoriet vid Karolinska Universitetssjukhuset. Ett sådant utlämnande är tillåtet enligt de av oss föreslagna ändamålsbestämmelserna (för ändamålet att planera, koordinera och handlägga dopningskontroller, se avsnitt 8.2). Även ett mottagande av RF av personuppgifter från Dopinglaboratoriet omfattas av det ändamålet. Det får dock anses oklart om ett utlämnande av uppgifter som rör en dopningskontroll från RF till Dopinglaboratoriet är helt förenlig med 13 kap. 8 § i RF:s stadgar. Man kan nämligen knappast påstå att ett sådant utlämnande innebär att den berörda personen inte lider något men av utlämnandet och paragrafen innehåller inte något undantag för den här aktuella utlämnandesituationen. Vi förordar att paragrafen ses över i berört avseende av RF.
I verksamheten vid Dopinglaboratoriet råder sekretess för uppgift om enskilds hälsotillstånd eller andra personliga förhållanden enligt 25 kap. 1 § OSL. Sekretessen gäller om det inte står klart att uppgiften kan röjas utan att den enskilde eller någon närstående till denne lider men. I 8 kap. 1 § OSL föreskrivs att uppgift för vilken sekretess gäller inte får röjas för en enskild eller för andra myndigheter, om inte annat anges i offentlighets- och sekretesslagen eller i lag eller förordning som offentlighets- och sekretesslagen hänvisar till. För att ett utlämnande ska kunna ske från Dopinglaboratoriet till RF eller ett annat organ inom antidopningsarbetet krävs det alltså att det finns någon tillämplig sekretessbrytande bestämmelse. Någon särskild sekretessbrytande bestämmelse som är tillämplig för detta utlämnande finns inte i offentlighets- och sekretesslagen. I 10 kap. OSL finns dock vissa generella sekretessbrytande bestämmelser. En sådan är 10 kap. 2 § som innebär att sekretess inte hindrar att en myndighet lämnar ut uppgifter till bl.a. enskilda om det är nödvändigt för att myndigheten ska kunna fullgöra sin verksamhet. Det avgörande
är alltså det intresse som den utlämnande myndigheten, Karolinska Universitetssjukhuset, har av att lämna ut uppgiften. Dopinglaboratoriet vid Karolinska Universitetssjukhuset är ett av WADA ackrediterat dopningslaboratorium. För att laboratoriet ska kunna fullgöra sina uppgifter enligt världsantidopningskoden är det nödvändigt att lämna ut de svar som framkommit vid en analys av ett dopningsprov till det organ som har efterfrågat analysen. Sekretessen hindrar således inte att uppgifter om analysresultat lämnas ut från Dopinglaboratoriet till RF eller annat organ som begärt analys.
Det kan vidare förekomma att uppgifter som behandlas i antidopningsverksamheten lämnas ut från RF till Polismyndigheten, Åklagarmyndigheten eller Tullverket. Ett sådant utlämnande kan ske med stöd av den av oss föreslagna sekundära ändamålsbestämmelsen (11 § i lagförslaget). Ett utlämnande till Polismyndigheten, Åklagarmyndigheten eller Tullverket är vidare förenligt med RF:s interna sekretessbestämmelser.
Det ovan anförda innebär att det enligt vår mening inte föreligger något behov av någon förändrad sekretessreglering för att idrottens antidopningsarbete ska kunna utföras. Dock bör, som sagts ovan, RF se över 13 kap. 8 § i RF:s stadgar. Det föreligger inte heller skäl att införa någon särskild författningsreglering om sekretess för att säkerställa skyddet av enskildas uppgifter i idrottens antidopningsarbete.
13. Konsekvenser
13.1. Inledning
Vårt huvuduppdrag har varit att analysera och redovisa vilka konsekvenser dataskyddsförordningen medför i fråga om personuppgiftsbehandling vid antidopningsarbete inom idrotten. Våra analyser och slutsatser framgår av betänkandets övervägandeavsnitt och av våra författningsförslag. Vi har därutöver en skyldighet enligt 14–15 a §§kommittéförordningen (1998:1474) att redovisa konsekvenserna av våra förslag. I våra kommittédirektiv anges också att ekonomiska och andra konsekvenser som följer av de lämnade förslagen ska redovisas. Om förslagen kan förväntas leda till kostnadsökningar för det allmänna ska vi föreslå hur dessa ska finansieras. Vi ska vidare redovisa förslagens konsekvenser för den personliga integriteten.
13.2. Konsekvenser för aktörerna inom idrottens antidopningsarbete
Bedömning: Våra förslag kommer att innebära visst behov av ut-
bildning och information. Förslagen bedöms inte leda till kostnadsökningar för det allmänna.
Utredningens förslag består av en lag om dataskydd i idrottens antidopningsarbete. Lagen utgör ett komplement till dataskyddsförordningen och är tillämplig för sådan personuppgiftsbehandling som sker i det antidopningsarbete som utförs inom idrotten på grund av världsantidopningskoden. Den aktör som främst berörs av förslagen är RF, som är den svenska nationella antidopningsorganisationen enligt världsantidopningskoden och som därmed utför huvuddelen av antidopningsarbetet i Sverige. Därutöver berör förslagen i viss mån
specialidrottsförbund och idrottsföreningar som är anknutna till RF. I dagsläget är 71 nationella specialidrottsförbund medlemmar i RF. Dessa är på lokal nivå uppdelade i ca 20 000 idrottsföreningar. Förbund och föreningar som är anslutna till RF omfattas dock endast av våra förslag i den mån de behandlar personuppgifter i ett antidopningsarbete, vilket vi bedömer endast förekommer i mindre utsträckning. Det finns även ett fåtal specialidrottsförbund och anknutna idrottsföreningar i Sverige som inte ingår i RF men som tillhör internationella specialidrottsförbund som är signatärer av världsantidopningskoden. Även dessa berörs av förslagen i den mån de behandlar personuppgifter i ett antidopningsarbete som utförs på grund av koden. Förslagen omfattar även den personuppgiftsbehandling som sker när andra signatärer av världsantidopningskoden än RF, såsom internationella specialidrottsförbund och andra länders nationella antidopningsorganisationer, behandlar personuppgifter i Sverige i samband med att de utför dopningskontroller här. Lagen kommer också att vara tillämplig för organ som utför antidopningsarbete på uppdrag av en signatär av världsantidopningskoden. För närvarande finns det ett privat företag, IDTM, som är etablerat i Sverige och som utför dopningstester i enlighet med världsantidopningskodens regler på uppdrag av signatärer av koden. Det finns därutöver ett fåtal företag som internationellt utför antidopningsarbete på uppdrag av signatärer av världsantidopningskoden och som därmed kan omfattas av våra förslag i den mån de behandlar personuppgifter i Sverige.
Syftet med lagförslaget är att möjliggöra att personuppgifter kan behandlas inom idrottens antidopningsarbete på ett ändamålsenligt sätt och att samtidigt skydda fysiska personer mot att deras personliga integritet kränks vid sådan behandling. Genom den förslagna lagen införs en rättslig grund enligt artikel 6.3 i dataskyddsförordningen för behandlingen av personuppgifter i idrottens antidopningsarbete. Det införs även en viss möjlighet för aktörerna i idrottens antidopningsarbete att behandla personuppgifter om lagöverträdelser. Förslagen innebär därutöver inte några förändringar i förhållande till den direkt tillämpliga dataskyddsförordningen, utan innehåller snarare förtydliganden i förhållande till den gällande ordningen. Förslagen innebär inte heller att några egentliga förändringar behöver göras i det antidopningsarbete som utförs inom idrotten som en följd av världsantidopningskoden.
Ny lagstiftning kräver regelmässigt utbildningsinsatser och information. Som tidigare angetts innebär dock den föreslagna regleringen främst ett förtydligande av den redan gällande dataskyddsförordningen. Enligt vår bedömning kommer därför behovet av utbildning och information vara begränsat. Därtill kommer att lagstiftningen får anses vara mer lättillämpad än vad som är fallet i dag när någon särskild registerförfattning inte föreligger för behandlingen av personuppgifter i idrottens antidopningsarbete. Förslagen bör därför främst vara till fördel för de aktörer som omfattas av lagen.
RF:s antidopningsarbete finansieras genom ett riktat statligt bidrag. Enligt vår mening kommer de utbildningsinsatser som behöver utföras att rymmas inom befintligt anslag. Förslagen bedöms således inte leda till kostnadsökningar för det allmänna. Inte heller för övriga aktörer inom idrottens antidopningsarbete bedömer vi att förslagen kommer att innebära några beaktansvärda kostnadsökningar.
Som ovan sagts är det endast ett privat företag etablerat i Sverige som i dagsläget kommer att beröras av våra författningsförslag. Enligt vår bedömning kommer förslagen inte att påverka företagets arbetsförutsättningar, konkurrensförmåga eller villkor i övrigt.
13.3. Konsekvenser för skyddet av enskildas personliga integritet
Bedömning: Förslagen innebär ett stärkt skydd för enskildas per-
sonliga integritet.
För att idrottens antidopningsarbete ska kunna utföras krävs behandling av personuppgifter. Enligt vår mening utgör förslagen en lämplig avvägning mellan behovet av en ändamålsenlig reglering för behandlingen av personuppgifter i idrottens antidopningsarbete och behovet av skydd för den enskildes personliga integritet. Den behandling av personuppgifter som tillåts enligt lagen begränsas till vad som är nödvändigt för att antidopningsarbetet ska kunna utföras i enlighet med världsantidopningskodens krav. Förslagen reglerar också i vilken mån känsliga personuppgifter och uppgifter om lagöverträdelser får behandlas i detta arbete. Vidare omfattar förslagen ett flertal skyddsåtgärder som har till syfte att skydda enskilda vid behand-
lingen av deras personuppgifter, såsom tillgångsbegränsningar, gallringsregler och krav på dataskyddsombud. Till detta kommer att förslagen i sig medför att det blir tydligt på vilket sätt personuppgifter alls får behandlas i idrottens antidopningsarbete. Enligt vår bedömning kommer förslagen därför att stärka skyddet för enskildas personliga integritet.
13.4. Konsekvenser för brottsligheten och det brottsförebyggande arbetet
Bedömning: Förslagen kan få positiva konsekvenser för bekämp-
ningen av dopningsrelaterad brottslighet.
Den föreslagna lagen innebär att personuppgifter som behandlas i idrottens antidopningsarbete får lämnas till Polismyndigheten, Åklagarmyndigheten eller Tullverket om det är nödvändigt för att tillhandahålla information som behövs i brottsbekämpande verksamhet. Förslagen kan därmed innebära positiva effekter för bekämpningen av dopningsrelaterad brottslighet. Några effekter på brottsligheten i sig kan knappast förväntas.
13.5. Konsekvenser i övrigt
Bedömning: Förslagen förväntas inte få några andra konsekvenser.
Våra förslag innebär inte några konsekvenser för sysselsättning och offentlig service i olika delar av landet. Förslagen bedöms inte heller få några konsekvenser för jämställdheten eller miljön. Enligt vår bedömning kommer förslagen inte heller att få några andra sådana konsekvenser som anges i kommittéförordningen än dem som redogjorts för i detta avsnitt.
14. Ikraftträdande
Förslag: Den föreslagna regleringen ska träda i kraft den 1 juli 2020.
Med hänsyn till den tid som går åt för remissförfarande, fortsatt beredning inom Regeringskansliet, inhämtande av lagrådsyttrande och riksdagsbehandling bör den föreslagna regleringen tidigast kunna träda i kraft den 1 juli 2020. Det är angeläget att skynda på ikraftträdandet med hänsyn till behovet av en rättslig grund för behandlingen av personuppgifter i idrottens antidopningsarbete. Några övergångsbestämmelser är inte nödvändiga.
15. Författningskommentar
15.1. Förslaget till lag om dataskydd i idrottens antidopningsarbete
Syftet med lagen
1 § Syftet med denna lag är att möjliggöra att personuppgifter kan behandlas inom idrottens antidopningsarbete på ett ändamålsenligt sätt och att skydda fysiska personer mot att deras personliga integritet kränks vid sådan behandling.
I paragrafen anges det övergripande syftet med lagen. Övervägandena finns i avsnitt 7.1.
Syftet med lagen är tudelat. Det ena syftet är att möjliggöra att personuppgifter kan behandlas inom idrottens antidopningsarbete på ett ändamålsenligt sätt. Lagens andra syfte är att skydda fysiska personer mot att deras personliga integritet kränks vid den behandling av personuppgifter som sker inom idrottens antidopningsarbete.
Idrottens antidopningsarbete
2 § Med idrottens antidopningsarbete avses i denna lag sådant antidopningsarbete som utförs på grund av världsantidopningskoden (World Anti-
Doping Code) eller de internationella standarder som kompletterar koden.
I paragrafen definieras begreppet idrottens antidopningsarbete. Övervägandena finns i avsnitt 7.2.1.
Med begreppet idrottens antidopningsarbete menas i lagen sådant antidopningsarbete som utförs på grund av den världsantidopningskod som har antagits av Världsantidopningsbyrån WADA eller de internationella standarder som tillhör koden. Världsantidopnings-
koden syftar till att tillförsäkra alla idrottsutövare deras grundläggande rätt att delta i en idrott fri från dopning och på så sätt främja god hälsa och rättvisa för idrottsutövare. Ett ytterligare syfte med världsantidopningskoden är att harmonisera antidopningsarbetet inom idrotten på internationell och nationell nivå.
Det är i första hand de organ som har undertecknat världsantidopningskoden, alltså signatärer av koden, som är bundna av koden. Som exempel kan en nationell antidopningsorganisation (NADO), ett internationellt specialidrottsförbund eller en tävlingsarrangör vara signatär av koden. Men även andra än signatärer kan utföra antidopningsarbete på grund av koden, se 3 och 4 §§.
Världsantidopningskoden innehåller regler som signatärerna av koden är skyldiga att följa. Den reglerar t.ex. vad som utgör en dopningsförseelse. Koden innehåller vidare bestämmelser om bl.a. dopningskontroller, vistelserapporteringar, resultathantering och utredning av dopningsförseelser. Till världsantidopningskoden hör ett antal internationella standarder, för närvarande sex stycken, som är obligatoriska att tillämpa för signatärerna av världsantidopningskoden. En internationell standard avser medicinsk dispens från dopningsreglerna, en annan standard avser dopningskontroller och utredning. Ytterligare en standard avser skydd av privatlivet och personuppgifter. I den senare standarden anges att den inte är tillämplig för det fall den bryter mot inhemsk lagstiftning.
Världsantidopningskoden och dess tillhörande standarder ställer krav på att signatärerna av koden ska utföra ett antidopningsarbete och anger t.ex. hur en dopningskontroll ska gå till. Signatärerna får dock själva närmare bestämma när och var dopningstester ska utföras samt vilka idrottsutövare som ska dopningskontrolleras. För att utföra dopningskontroller kan signatärerna använda sig av s.k. serviceföretag, se 4 §. I Sverige finns i dag ett sådant företag etablerat.
Hänvisningen till världsantidopningskoden och de tillhörande standarderna är dynamisk och avser alltså koden och de kompletterande standarderna i den vid varje tidpunkt gällande lydelsen.
Lagens tillämpningsområde
3 § Denna lag ska tillämpas då personuppgifter behandlas i idrottens antidopningsarbete som utförs av
1. Sveriges Riksidrottsförbund samt föreningar och förbund som är anknutna till Sveriges Riksidrottsförbund,
2. andra föreningar och förbund i Sverige som är anknutna till ett internationellt specialidrottsförbund som är signatär av världsantidopningskoden, samt
3. annan signatär av världsantidopningskoden än Sveriges Riksidrottsförbund om personuppgifterna behandlas i Sverige.
Paragrafen reglerar tillsammans med 4 § lagens materiella och territoriella tillämpningsområde. Övervägandena finns i avsnitt 7.2.1. Ytterligare bestämmelser om lagens tillämpningsområde finns i 5 §.
I paragrafen anges att lagen ska tillämpas då personuppgifter behandlas i idrottens antidopningsarbete. Vad som menas med idrottens antidopningsarbete i lagen framgår av 2 §. Definitioner av begreppen behandling och personuppgifter finns i artikel 4 i dataskyddsförordningen. Lagen är bara tillämplig vid behandling av personuppgifter inom antidopningsverksamheten och inte vid personuppgiftsbehandling för intern administration som avser löne- och ekonomiadministration samt andra personalfrågor. I den interna administrationen får normalt dataskyddsförordningen tillämpas.
Den behandling av personuppgifter som avses i första punkten är i första hand den som förekommer inom det antidopningsarbete som utförs av Sveriges Riksidrottsförbund (RF). RF är signatär av världsantidopningskoden och Sveriges nationella antidopningsorganisation. Lagen är tillämplig för exempelvis den verksamhet som sker vid Dopingkommissionen och Antidopingavdelningen i RF, men den kan även omfatta sådan personuppgiftsbehandling som sker av en kontrollfunktionär i samband med en dopningskontroll samt av RF:s dömande instanser; Dopingnämnden och Riksidrottsnämnden. Lagen är även tillämplig för sådan behandling av personuppgifter som sker vid antidopningsarbete som utförs av RF:s medlemsorganisationer. Sådant antidopningsarbete som utförs av specialidrottsförbund och idrottsföreningar som är anknutna till RF omfattas därmed av lagen utan att de är signatärer av världsantidopningskoden. RF och dess medlemsorganisationer är alla etablerade i Sverige och bedriver sin
verksamhet här. Lagen är tillämplig för den behandling av personuppgifter som aktörerna utför i antidopningsarbetet oavsett var behandlingen sker, alltså även om den utförs utanför Sverige. För lagens tillämpning har det ingen betydelse vilka idrottsutövares personuppgifter som behandlas inom antidopningsarbetet.
Av andra punkten framgår att lagen är tillämplig även för sådan personuppgiftsbehandling som sker vid antidopningsarbete som utförs av föreningar och förbund i Sverige som inte tillhör RF men som indirekt är bundna av världsantidopningskoden, eftersom de tillhör ett internationellt specialidrottsförbund som är signatär av koden. Lagen är således tillämplig för den personuppgiftsbehandling som sker när exempelvis Svenska Bodybuilding- och Fitnessförbundet utför antidopningsarbete i enlighet med världsantidopningskoden. Lagen är tillämplig oavsett var behandlingen av personuppgifter sker, alltså även om den utförs utanför Sverige.
Av tredje punkten framgår att lagen också är tillämplig när personuppgifter behandlas i antidopningsarbete som utförs av en annan signatär av världsantidopningskoden än RF, om behandlingen utförs i Sverige. Lagen är således tillämplig för den behandling av personuppgifter som sker i Sverige när t.ex. andra länders nationella antidopningsorganisationer, internationella specialidrottsförbund eller tävlingsarrangörer som är signatärer av världsantidopningskoden utför dopningskontroller här.
För de aktörer som omfattas av punkterna 1 och 2 är lagen tillämplig oavsett var personuppgiftsbehandlingen utförs. I dessa avseenden följer alltså lagen den s.k. etableringslandsprincipen. För de organisationer som avses i punkten 3 är lagen endast tillämplig när personuppgiftsbehandlingen utförs i Sverige.
4 § Utöver vad som följer av 3 § ska denna lag tillämpas då personuppgifter behandlas i idrottens antidopningsarbete som utförs på uppdrag av en signatär av världsantidopningskoden av
1. organ som är etablerat i Sverige, samt
2. organ som inte är etablerat i Sverige, om personuppgifterna behandlas i Sverige.
Paragrafen, som kompletterar 3 §, behandlar lagens materiella och territoriella tillämpningsområde. Övervägandena finns i avsnitt 7.2.1.
I bestämmelsen regleras i vad mån lagen är tillämplig för behandling av personuppgifter i sådant antidopningsarbete som utförs på uppdrag av en signatär av världsantidopningskoden. Av första punk-
ten framgår att lagen är tillämplig då personuppgifter behandlas i
idrottens antidopningsverksamhet av ett organ som är etablerat i Sverige och som utför antidopningsarbete på uppdrag av en signatär av världsantidopningskoden. Bestämmelsen träffar i dagsläget den personuppgiftsbehandling som utförs av serviceföretaget International Doping Tests & Management AB IDTM, med säte i Sverige, när det utför antidopningsarbete på uppdrag av RF eller någon annan signatär av världsantidopningskoden. Liknande organ kan dock framgent dyka upp. Bestämmelsen skulle språkligt sett även kunna träffa Dopinglaboratoriet vid Karolinska Universitetssjukhuset, då sjukhuset får uppdrag av t.ex. RF. Det framgår dock av 8 § att lagen inte omfattar sådan personuppgiftsbehandling som utförs vid Dopinglaboratoriet med stöd av patientdatalagen (2008:355). För sådana aktörer som är etablerade i Sverige är lagen tillämplig oavsett var behandlingen av personuppgifter sker. En uppdragstagare anses etablerad i Sverige om den har ett verksamhetsställe här i landet. Med verksamhetsställe avses enligt dataskyddsförordningen en stabil struktur där en reell och faktisk verksamhet utförs. Det kan t.ex. vara fråga om ett dotterbolag eller en filial, men den rättsliga formen för en sådan struktur bör inte vara en avgörande faktor (jfr skäl 22).
Enligt andra punkten är lagen vidare tillämplig när personuppgifter behandlas i Sverige av en uppdragstagare som inte är etablerad i Sverige men som utför antidopningsarbete här på uppdrag av en signatär av världsantidopningskoden. Lagen ska således tillämpas när ett serviceföretag som inte är etablerat i Sverige behandlar personuppgifter i Sverige i antidopningsarbete som utförs enligt världsantidopningskoden på uppdrag av RF eller en annan signatär av koden. Personuppgiftsbehandling som sker vid dopningslaboratorier som är etablerade utanför Sverige omfattas inte av lagen eftersom behandlingen inte utförs i Sverige.
5 § Denna lag gäller endast om behandlingen av personuppgifter är helt eller delvis automatiserad eller om personuppgifterna ingår i eller är avsedda att ingå i en strukturerad samling av personuppgifter som är tillgänglig för sökning eller sammanställning enligt särskilda kriterier.
Paragrafen begränsar lagens tillämpningsområde till viss behandling av personuppgifter. Övervägandena finns i avsnitt 7.2.3.
I bestämmelsen anges att tillämpningsområdet för lagen är begränsat till att avse helt eller delvis automatiserad behandling av personuppgifter, men även viss manuell behandling omfattas. Så är fallet för annan behandling än automatiserad av personuppgifter som ingår i eller är avsedda att ingå i en strukturerad samling av personuppgifter som är tillgängliga för sökning eller sammanställning enligt särskilda kriterier. För automatiserad behandling krävs det inte att de personuppgifter som hanteras är del av något som kan anses utgöra ett register eller att personuppgifterna är ordnade på visst sätt. Även behandling av enstaka personuppgifter i löptext omfattas alltså av lagen när det är fråga om automatiserad behandling. Detsamma gäller för e-postmeddelanden. Motsatsen gäller för helt manuellt behandling. Minnesanteckningar som enbart förs på papper omfattas således inte av lagens tillämpningsområde. Tillämpningsområdet för lagen motsvarar i detta avseende dataskyddsförordningens.
Förhållandet till annan reglering
6 § Denna lag kompletterar Europaparlamentets och rådets förordning (EU) 2016/679 av den 27 april 2016 om skydd för fysiska personer med avseende på behandling av personuppgifter och om det fria flödet av sådana uppgifter och om upphävande av direktiv 95/46/EG (allmän dataskyddsförordning), i lagen benämnd EU:s dataskyddsförordning.
Paragrafen reglerar lagens förhållande till dataskyddsförordningen. Övervägandena finns i avsnitt 7.3.1.
Av paragrafen framgår att lagen innehåller kompletterande bestämmelser till dataskyddsförordningen. Dataskyddsförordningen är direkt tillämplig i varje medlemsstat. Det innebär att den automatiskt är en del av den svenska rättsordningen. I vissa avseenden förutsätter eller tillåter dataskyddsförordningen emellertid att det införs bestämmelser som kompletterar förordningen, antingen i form av preciseringar
eller i form av undantag. Denna lag innehåller sådana kompletterande bestämmelser som gäller inom den verksamhet som anges i 3 och 4 §§. Hänvisningen till dataskyddsförordningen är dynamisk och avser alltså förordningen i den vid varje tidpunkt gällande lydelsen.
7 § Vid behandling av personuppgifter enligt denna lag gäller lagen (2018:218) med kompletterande bestämmelser till EU:s dataskyddsförordning och föreskrifter som har meddelats i anslutning till den lagen, om inte annat följer av denna lag.
Paragrafen upplyser om hur lagen förhåller sig till dataskyddslagen och föreskrifter som har meddelats i anslutning till den lagen. Övervägandena finns i avsnitt 7.3.2.
Dataskyddslagen kompletterar dataskyddsförordningen på nationell, generell nivå. Denna lag om dataskydd i idrottens antidopningsarbete har företräde framför dataskyddslagen. Om inte annat följer av denna lag gäller dataskyddslagen.
Bestämmelser om hur personuppgifter får behandlas inom antidopningsarbetet förekommer även i idrottens interna regler, exempelvis i Idrottens antidopingreglemente, som har upprättats av RF, och i RF:s Uppförandekod för behandling av personuppgifter inom idrottsrörelsen. Bestämmelserna i dataskyddsförordningen, dataskyddslagen och denna lag om dataskydd i idrottens antidopningsarbete är alla överordnade idrottens interna regler. I händelse av kollision mellan idrottens regler och bestämmelserna i dataskyddsförordningen, dataskyddslagen eller denna lag om dataskydd i idrottens antidopningsarbete tar således bestämmelserna i de sistnämnda regelverken över.
8 § Denna lag gäller inte då personuppgifter behandlas hos Dopinglaboratoriet vid Karolinska Universitetssjukhuset med stöd av patientdatalagen (2008:355).
Paragrafen klargör lagens förhållande till patientdatalagen (2008:355). Övervägandena finns i avsnitt 7.2.1 och 7.3.3.
I de fall då personuppgifter behandlas med stöd av patientdatalagen gäller inte förevarande lag. Personuppgiftsbehandlingen i antidopningsverksamhet vid Dopinglaboratoriet vid Karolinska Universitetssjukhuset omfattas således inte av denna lag.
Personuppgiftsansvar
9 § Varje organ som anges i 3 och 4 §§ är personuppgiftsansvarig för den behandling av personuppgifter som organet utför i idrottens antidopningsarbete.
Paragrafen reglerar personuppgiftsansvaret inom idrottens antidopningsarbete. Övervägandena finns i avsnitt 7.4.
Enligt bestämmelsen är varje organ som omfattas av 3 och 4 §§ personuppgiftsansvarig för den behandling av personuppgifter som organet utför i idrottens antidopningsarbete. De organ som avses är i första hand RF samt de föreningar och förbund som är anknutna till RF. Även föreningar och förbund i Sverige som inte är anknutna till RF men som är anknutna till ett internationellt specialidrottsförbund som är signatär av världsantidopningskoden omfattas, samt andra signatärer av världsantidopningskoden än RF om personuppgifterna behandlas i Sverige. Vidare omfattas serviceföretag som är etablerade i Sverige och som utför antidopningsarbete på uppdrag av en signatär av världsantidopningskoden. Även organ som inte är etablerade i Sverige men som på uppdrag av en signatär av koden utför ett antidopningsarbete här och i detta arbete behandlar personuppgifter omfattas. Bestämmelsen har ett pedagogiskt syfte och ska inte ses som något avsteg från dataskyddsförordningens bestämmelser om personuppgiftsansvar.
Med uppgiften som personuppgiftsansvarig följer vissa skyldigheter direkt enligt dataskyddsförordningen. Den personuppgiftsansvarige ska t.ex. se till att behandlingen av personuppgifter sker på ett korrekt och säkert sätt (artikel 5.2), att oriktiga uppgifter rättas (artikel 16) och att den registrerade ersätts för skada som en rättsstridig behandling av personuppgifter har medfört (artikel 82). Ytterligare bestämmelser om den personuppgiftsansvariges skyldigheter i samband med behandling av personuppgifter finns i kapitel IV i dataskyddsförordningen. Bland annat regleras hur säkerheten i samband med behandlingen av personuppgifter ska garanteras.
Om en uppgift lämnas ut från en personuppgiftsansvarig till något annat organ som är personuppgiftsansvarigt i antidopningsarbetet blir mottagaren ansvarig för sin behandling av uppgiften. När uppgifter lämnas ut kan alltså personuppgiftsansvaret för en och samma uppgift komma att ligga hos flera organ. Vart och ett av dessa ansvarar för sin behandling av uppgiften.
Det kan finnas personuppgiftsbiträden åt en personuppgiftsansvarig. Exempelvis kan ett bolag som åtagit sig att utföra den tekniska driften av personuppgiftsbehandlingen för en personuppgiftsansvarigs räkning vara att se som ett personuppgiftsbiträde. I dataskyddsförordningen finns bestämmelser som reglerar vad som gäller när en personuppgiftsansvarig anlitar ett personuppgiftsbiträde (se artikel 28 och 29). I denna lag finns dock inga särskilda föreskrifter om personuppgiftsbiträden.
Ändamål
10 § Personuppgifter får behandlas i idrottens antidopningsarbete om det är nödvändigt för att
1. handlägga ansökningar om medicinsk dispens,
2. planera, koordinera och administrera vistelserapporteringar,
3. planera, koordinera och handlägga dopningskontroller,
4. handlägga ärenden om dopningsförseelser, och
5. inhämta, bearbeta, analysera och delge information som gäller möjliga förseelser mot världsantidopningskoden.
Endast Sveriges Riksidrottsförbund får behandla personuppgifter enligt första stycket 5. Andra organ som denna lag är tillämplig på får dock behandla personuppgifter om det är nödvändigt för att tillhandahålla information som Sveriges Riksidrottsförbund behöver i sin verksamhet enligt första stycket 5.
Paragrafen reglerar de ändamål för vilka personuppgifter får behandlas enligt lagen. Övervägandena finns i avsnitt 8.2.
I första stycket anges för vilka ändamål personuppgifter får behandlas enligt lagen. Bestämmelsen bildar den yttre ramen för när behandling av personuppgifter alls är tillåten enligt lagen. Personuppgifter får behandlas bara om det är nödvändigt för något av de angivna ändamålen (se dock 11 §). Nödvändighetsrekvisitet innebär att personuppgiftsbehandlingen ska behövas för att själva verksamheten ska gå att fullgöra på ett effektivt sätt. I kravet på nödvändighet ligger att personuppgifter inte får behandlas om syftet med behandlingen kan uppnås med andra medel, t.ex. genom att anonymisera uppgifterna (jfr prop. 2017/18:232 s. 117). Med behandling avses såväl insamling som vidarebehandling av de insamlade uppgifterna inklusive sådant utlämnande till andra organ inom idrottens antidopningsarbete som krävs för att uppfylla bestämmelserna i världsantidopningskoden
och de till koden hörande internationella standarderna. En och samma behandling kan ske för mer än ett ändamål.
Under bestämmelsen faller även behandling för planering, uppföljning och utvärdering av antidopningsverksamheten. Planering, uppföljning och utvärdering anses vara en integrerad del av själva verksamheten som inte behöver regleras särskilt (se prop. 2004/05:164 s. 179 och prop. 2009/10:85 s. 116).
Enligt punkt 1 får personuppgifter behandlas för att handlägga ansökningar om medicinsk dispens från dopningsreglerna. Med handläggning avses alla åtgärder som behöver vidtas i enlighet med bestämmelserna i världsantidopningskoden och den internationella standarden för medicinsk dispens från det att ett ärende inleds till dess att det avslutas. Inom ändamålsbestämmelsens tillämpningsområde faller exempelvis mottagande av uppgifter, diarieföring, kommunicering, protokollföring, sökning efter relevant praxis, upprättande av beslut och expediering. Även den behandling som sker när information om beslutet lämnas ut till andra signatärer enligt bestämmelserna i världsantidopningskoden och den tillhörande internationella standarden omfattas således av bestämmelsen.
Vistelserapportering utförs av de idrottsutövare som uppnår en så pass hög idrottslig prestationsnivå att de regelbundet bör dopningstestas. Enligt punkt 2 får personuppgifter behandlas om det är nödvändigt för att planera, koordinera och administrera vistelserapporteringar. Bestämmelsen omfattar sådan behandling som sker när RF eller de internationella och nationella specialidrottsförbunden väljer ut vilka idrottsutövare eller lag som ska åläggas att vistelserapportera samt när publicering sker av de uppgifterna. Vidare innefattas sådan rapportering som ska ske till WADA om vilka idrottsutövare som vistelserapporterar.
Enligt punkt 3 får personuppgifter behandlas om det är nödvändigt för att planera, koordinera och handlägga dopningskontroller. Härmed omfattas all behandling som sker i samband med en dopningskontroll. Även sådan behandling som sker vid planering och koordinering av dopningskontroller, inklusive utlämnande av uppgifter till andra organ i antidopningsarbetet, omfattas. Sådan behandling som sker av idrottsutövares vistelserapporter i samband med planering och koordinering av dopningskontroller faller också in under bestämmelsen. Vidare innefattas den behandling som sker vid utlämnande av
uppgifter från en dopningskontroll till ett dopningslaboratorium och vid mottagande av resultatet från laboratoriet.
I tillämpningsområdet för ändamålsbestämmelsen ingår även behandling av uppgifter i idrottsutövares biologiska pass. Med biologiskt pass avses en medicinsk profil som innehåller resultaten av en idrottsutövares urin- och blodvärden vid lämnade dopningsprov. Inom tillämpningsområdet faller införandet av uppgifter som kommer från en dopningskontroll i den medicinska profilen, som finns i WADA:s databas ADAMS, samt sådant utlämnande och mottagande av uppgifter gällande den medicinska profilen som sker enligt världsantidopningskoden och tillhörande standarder.
I punkt 4 anges att personuppgifter får behandlas om det är nödvändigt för att handlägga ärenden om dopningsförseelser. Inom tillämpningsområdet för ändamålsbestämmelsen faller exempelvis mottagande av uppgifter, diarieföring, kommunicering, protokollföring, sökning efter relevant praxis, upprättande av beslut och expediering. Även den behandling som sker när information lämnas ut till andra signatärer enligt bestämmelserna i världsantidopningskoden och tillhörande internationella standarder omfattas av bestämmelsen.
Enligt punkt 5 får personuppgifter vidare behandlas om det är nödvändigt för att inhämta, bearbeta, analysera och delge information som gäller möjliga förseelser mot världsantidopningskoden. Punkten reglerar RF:s underrättelseverksamhet. Med det avses arbete med insamling, bearbetning och analys av information i syfte att förhindra eller upptäcka förseelser mot världsantidopningskoden när det ännu inte finns misstankar om att en viss konkret förseelse har begåtts (jfr formuleringar på det brottsbekämpande området i t.ex. prop. 2017/18:232 s. 430). Med att delge information avses i sammanhanget informationslämning från underrättelseenheten till bl.a. de operativa enheterna i antidopningsarbetet. Bestämmelsen omfattar även utlämnande av uppgifter till andra aktörer inom idrottens antidopningsarbete enligt bestämmelserna i världsantidopningskoden och tillhörande internationella standarder. För det fall den information som inhämtas utmynnar i att någon blir konkret misstänkt för dopning kan en utredning inledas. Uppgifterna behandlas då enligt ändamålet i punkt 4.
Det är endast RF som utför ett underrättelsearbete enligt världsantidopningskoden i Sverige. I andra stycket slås det fast att det bara är RF som får behandla personuppgifter i ett sådant underrättelsearbete. Andra organ som omfattas av lagen, t.ex. idrottsföreningar och specialidrottsförbund som är anknutna till RF, får dock behandla personuppgifter om det är nödvändigt för att tillhandahålla information som RF behöver i underrättelsearbetet.
11 § Personuppgifter som behandlas enligt 10 § får även behandlas om det är nödvändigt för att tillhandahålla information som behövs i brottsbekämpande verksamhet hos Polismyndigheten, Åklagarmyndigheten eller Tullverket.
Paragrafen anger att de uppgifter som behandlas enligt 10 § även får behandlas för andra ändamål. Övervägandena finns i avsnitt 8.3.
Enligt bestämmelsen får uppgifter som behandlas inom idrottens antidopningsarbete behandlas även för att lämna ut information som behövs i brottsbekämpande verksamhet hos Polismyndigheten, Åklagarmyndigheten eller Tullverket. Bestämmelsen öppnar en möjlighet för aktörerna i antidopningsarbetet att lämna ut uppgifter om misstänkta dopningsrelaterade brott till de myndigheter som bekämpar den aktuella brottsligheten. Någon skyldighet att lämna ut uppgifter finns dock inte. När det gäller frågan om sekretess hos RF för uppgifter som får lämnas ut till aktuella myndigheter, se 13 kap. 8 § i RF:s stadgar. Enligt den bestämmelsen kan Dopingkommissionen utan hinder av sekretess lämna ut uppgifter till myndigheterna.
Känsliga personuppgifter
12 § Inga andra personuppgifter som avses i artikel 9.1 i EU:s dataskyddsförordning (känsliga personuppgifter) än sådana som rör hälsa, genetiska uppgifter eller biometriska uppgifter för att entydigt identifiera en fysisk person får behandlas med stöd av artikel 9.2 g i samma förordning.
Paragrafen reglerar vilka känsliga personuppgifter som får behandlas i idrottens antidopningsarbete med stöd av artikel 9.2 g i dataskyddsförordningen. Övervägandena finns i avsnitt 8.5.
De personuppgifter som avses i artikel 9.1 i EU:s dataskyddsförordning, och som i lagen benämns känsliga personuppgifter, är personuppgifter som avslöjar ras eller etniskt ursprung, politiska åsikter,
religiös eller filosofisk övertygelse eller medlemskap i fackförening samt genetiska uppgifter, biometriska uppgifter för att entydigt identifiera en fysisk person, uppgifter om hälsa och uppgifter om en fysisk persons sexualliv eller sexuella läggning. Av bestämmelsen framgår att endast sådana känsliga personuppgifter som rör hälsa, genetiska uppgifter samt biometriska uppgifter får behandlas.
Uppgifter om lagöverträdelser
13 § Personuppgifter som avses i artikel 10 i EU:s dataskyddsförordning får behandlas endast för de ändamål som anges i 10 § första stycket 4 och 5.
Paragrafen anger att uppgifter om lagöverträdelser får behandlas i idrottens antidopningsarbete i vissa fall. Övervägandena finns i avsnitt 8.6.
Bestämmelsen reglerar när personuppgifter som avses i artikel 10 i EU:s dataskyddsförordning får behandlas. För att bestämmelsen ska uppfylla kravet i artikel 10 på lämpliga skyddsåtgärder för registrerade vars uppgifter inte behandlas under kontroll av en myndighet, har bestämmelsen begränsats till att avse behandlingar som sker för de ändamål som anges i 10 § första stycket 4 och 5, dvs. för att handlägga ärenden om dopningsförseelser och för att inhämta, bearbeta, analysera och delge information som gäller möjliga förseelser mot världsantidopningskoden.
Tillgång till personuppgifter
14 § Tillgången till personuppgifter ska begränsas till vad var och en behöver för att kunna fullgöra sina arbetsuppgifter.
Paragrafen reglerar tillgången till personuppgifter. Övervägandena finns i avsnitt 11.2.
Av paragrafen följer att aktörerna inom idrottens antidopningsarbete är skyldiga att se till att behörigheten att behandla personuppgifter begränsas till vad var och en behöver för att kunna utföra sina arbetsuppgifter. Syftet med begränsningen är att förstärka skyddet för den personliga integriteten genom att uppgifterna sprids till en så liten krets som möjligt. Bestämmelsen förutsätter att loggningssystem
finns och att uppföljande kontroller då och då görs av vilken tillgång till uppgifter som medarbetarna haft.
Dataskyddsombud
15 § Sveriges Riksidrottsförbund samt andra organ som är etablerade i
Sverige och utför antidopningsarbete på uppdrag av en signatär av världsantidopningskoden ska utse dataskyddsombud för sin behandling av personuppgifter i idrottens antidopningsarbete.
I paragrafen finns en bestämmelse om dataskyddsombud. Övervägandena finns i avsnitt 11.5.
Av paragrafen framgår att RF är skyldigt att utse dataskyddsombud för sin behandling av personuppgifter i antidopningsarbetet. Kravet omfattar inte de föreningar och förbund som är anknutna till RF. Dock ska enligt bestämmelsen även andra organ som är etablerade i Sverige och som utför antidopningsarbete på uppdrag av en signatär av världsantidopningskoden utse dataskyddsombud. Bestämmelsen träffar i dagsläget serviceföretaget IDTM, men kan i framtiden omfatta fler aktörer. Bestämmelser om utnämning av dataskyddsombud samt om ombudets ställning och uppgifter finns i artiklarna 37–39 i dataskyddsförordningen.
Längsta tid som personuppgifter får behandlas
16 § Personuppgifter får inte behandlas under längre tid än vad som är nödvändigt med hänsyn till ändamålet med behandlingen.
Paragrafen reglerar hur länge personuppgifter får behandlas för ändamål inom lagens tillämpningsområde. Övervägandena finns i avsnitt 10.2.
I bestämmelsen föreskrivs att personuppgifter inte får behandlas under längre tid än vad som är nödvändigt med hänsyn till ändamålet med behandlingen. Det som avses är ändamålet i det enskilda fallet. Behovet av att fortsätta att behandla uppgifterna måste prövas kontinuerligt. Om det är tillräckligt att behandla avidentifierade uppgifter, dvs. uppgifter som inte går att koppla samman med en person,
är det inte längre tillåtet att behandla personuppgifterna. Bestämmelsen har till syfte att motverka ett slentrianmässigt bevarande av uppgifter i antidopningsarbetet och ska läsas tillsammans med gallringsbestämmelserna i den till världsantidopningskoden tillhörande standarden för skydd av privatlivet och personuppgifter. Bestämmelsen är tillämplig för samtliga aktörer inom idrottens antidopningsarbete.
17 § Personuppgifter som behandlas för ändamål som anges i 10 § första stycket 5 får inte behandlas längre än tre år efter utgången av det kalenderår då uppgifterna behandlades första gången. Om en ny uppgift beträffande samma persons anknytning till dopningsverksamhet behandlas före utgången av tidsfristen, får de personuppgifter som redan finns om personen fortsätta att behandlas så länge någon av uppgifterna får behandlas.
Paragrafen reglerar hur länge personuppgifter får behandlas i underrättelseverksamhet inom den ram som sätts av huvudregeln i 16 §. Oavsett vilken bedömning som görs av nyttan med behandlingen får personuppgifter alltså inte behandlas längre än vad som anges i denna paragraf. Övervägandena finns i avsnitt 10.3.
Bestämmelsen är tillämplig för RF som utför underrättelsearbetet enligt världsantidopningskoden i Sverige. Av bestämmelsen följer att personuppgifter inte får behandlas i underrättelseverksamheten under längre tid än tre år. Fristen räknas från utgången av det kalenderår då uppgifterna behandlades för första gången. Med första behandling avses den första hanteringen av en personuppgift i underrättelsearbetet. Tidpunkten torde oftast sammanfalla med den tidpunkt då en personuppgift förs in i RF:s informationshanteringssystem för underrättelseinformation. Fristen för hur länge personuppgifter får behandlas ska endast påverkas av om ytterligare personuppgifter om samma persons anknytning till dopningsverksamhet behandlas i underrättelsearbetet. Andra uppgifter som tillförs, t.ex. uppgifter om ändrade bostadsförhållanden eller annat som inte har betydelse för antidopningsverksamheten, påverkar alltså inte hur länge personuppgifterna får behandlas. Med personuppgifter avses såväl direkta som indirekta personuppgifter, dvs. inte bara uppgifter som direkt tar sikte på en person, t.ex. namn och utseende, utan också uppgifter om fordon, adresser m.m. som kan knytas till en person. Om en ny uppgift beträffande samma person behandlas före utgången av tidsfristen, får
de personuppgifter som redan finns om personen fortsätta att behandlas så länge någon av uppgifterna får behandlas.
Kommittédirektiv 2018:31
Dataskyddsförordningen – behandling av personuppgifter vid antidopningsarbete inom idrotten
Beslut vid regeringssammanträde den 26 april 2018
Sammanfattning
En särskild utredare ska utreda vissa frågor om antidopningsarbete inom idrotten. Syftet är att säkerställa att förordning (EU) 2016/679 om skydd för enskilda personer med avseende på behandling av personuppgifter och om det fria flödet av sådana uppgifter och om upphävande av direktiv 95/46/EG (allmän dataskyddsförordning), nedan kallad EU:s dataskyddsförordning, följs.
Utredaren ska bl.a. – undersöka vilka konsekvenser dataskyddsförordningen medför i
fråga om personuppgiftsbehandling vid antidopningsarbete inom idrott, – analysera behovet av särskilda bestämmelser om personuppgifts-
behandling vid antidopningsarbete inom idrott, – överväga behovet av reglering om behandling av särskilda kategorier
av personuppgifter och personuppgifter som rör lagöverträdelser, – bedöma om det finns behov av författningsreglerade bestämmel-
ser om sekretess och tystnadsplikt, och – lämna sådana författningsförslag som är behövliga och lämpliga.
Uppdraget ska redovisas senast den 28 februari 2019.
Arbetet mot dopning inom idrotten
Världsantidopningsbyrån
Den viktigaste plattformen för samordning och harmonisering av antidopningsarbetet inom idrotten är Världsantidopningsbyrån (WADA), där representanter för internationell idrott och världens regeringar sedan bildandet 1999 arbetar tillsammans i kampen mot dopning. Inom ramen för sitt världsantidopningsprogram har WADA antagit en världsantidopningskod som sedan 2004 är det regelverk som stora delar av den organiserade idrotten ska rätta sig efter. Den nu gällande världsantidopningskoden kommer att revideras i november 2019.
Idrottens antidopningsarbete i Sverige
I Sverige sköts antidopningsarbetet i dag inom idrotten framför allt av Sveriges Riksidrottsförbund (Riksidrottsförbundet). Inom sin antidopningsverksamhet behandlar Riksidrottsförbundet personuppgifter, vilket enligt reglerna genomförs med stöd av ett särskilt samtycke som genom medlemskapet i Riksidrottsförbundet lämnas skriftligen av den vars personuppgifter behandlas. Riksidrottsförbundet har genomfört världsantidopningskoden i sitt regelverk bl.a. genom att anta Idrottens Antidopingreglemente. Antidopningsarbetet bedrivs genom kontrollverksamhet, juridisk verksamhet, information och utbildning, forskning och utveckling, nationell och internationell samverkan samt kvalitetssäkring. Det är en förutsättning att idrottens antidopningsverksamhet även framöver är förenlig med världsantidopningskodens bestämmelser och arbetets organisering måste utgå ifrån detta.
Internationella åtaganden
Sverige har anslutit sig till Europarådets antidopningskonvention från 1989 som ratificerats av 50 stater inklusive Sverige. Konventionen är öppen för alla stater och innehåller riktlinjer för t.ex. lagstiftning, finansiering och utbildning. Sverige har även undertecknat konventionens tilläggsprotokoll som bl.a. lägger fast riktlinjer för utvärdering av konventionens efterlevnad.
Härutöver har Sverige även ratificerat Unescos internationella konvention mot dopning inom idrotten från 2005 som syftar till att främja förebyggande insatser och bekämpning av dopning inom idrotten. En av konventionens viktigare beståndsdelar är att konventionsstaterna i sitt nationella antidopningsarbete åtar sig att följa världsantidopningskodens principer.
Integritetsfrågor och dataskydd
Ett effektivt arbete mot dopning inom idrotten inbegriper ett flertal moment som kan innebära en risk för att den enskildes personliga integritet kränks. En särskild integritetsfråga gäller hur personuppgifter behandlas vid antidopningsarbetet.
Regler om dataskydd
Reglering om dataskydd inom EU
Den allmänna regleringen om behandling av personuppgifter inom EU finns i dag i Europaparlamentets och rådets direktiv 95/46/EG av den 24 oktober 1995 om skydd för enskilda personer med avseende på behandling av personuppgifter som i Sverige huvudsakligen genomförts genom personuppgiftslagen (1998:204). Direktivet syftar till att garantera en hög och i alla medlemsstater likvärdig skyddsnivå när det gäller enskilda personers fri- och rättigheter med avseende på behandling av personuppgifter samt att främja ett fritt flöde av personuppgifter mellan medlemsstaterna i EU.
Den 27 april 2016 antogs EU:s dataskyddsförordning. Förordningen utgör en ny generell reglering för personuppgiftsbehandling inom EU och ersätter det nuvarande dataskyddsdirektivet när den börjar tillämpas den 25 maj 2018. Det huvudsakliga syftet med förordningen är att ytterligare harmonisera och effektivisera skyddet för personuppgifter för att förbättra den inre marknadens funktion och öka enskildas kontroll över sina personuppgifter. Dataskyddsförordningen är direkt tillämplig i medlemsstaterna men både förutsätter och möjliggör kompletterande nationella bestämmelser av olika slag.
Svensk reglering om dataskydd
Riksdagen har beslutat om en ny lag med kompletterande bestämmelser till EU:s dataskyddsförordning (lagen [2018:218] med kompletterande bestämmelser till EU:s dataskyddsförordning, dataskyddslagen. Se propositionen Ny dataskyddslag (prop. 2017/18:105). Lagen innehåller bl.a. bestämmelser om att dataskyddsförordningen med vissa undantag ska gälla även utanför sitt egentliga tillämpningsområde, t.ex. i verksamhet som rör nationell säkerhet.
Uppdraget
Allmänna riktlinjer för uppdraget
EU:s dataskyddsförordning kommer att utgöra den generella regleringen för personuppgiftsbehandling inom EU. I egenskap av förordning har den allmän giltighet och är bindande och direkt tillämplig i medlemsstaterna. Utgångspunkten är att en EU-förordning inte ska genomföras nationellt. Det kan dock konstateras att dataskyddsförordningen både förutsätter och medger nationella bestämmelser som kompletterar delar av förordningen genom specificeringar eller undantag.
Regeringen anser att det finns behov av att undersöka vilka konsekvenser dataskyddsförordningen medför i fråga om personuppgiftsbehandling vid antidopningsarbete inom idrotten. En utgångspunkt för utredaren ska vara att det för närvarande är Riksidrottsförbundet som hanterar större delen av idrottens antidopningsarbete i Sverige, men också myndigheter och privata aktörer arbetar mot dopning i samhället. I arbetet mot dopning sker behandling av personuppgifter.
Utredaren ska utifrån EU:s dataskyddsförordning och dataskyddslagen analysera och redovisa konsekvenserna av den nya dataskyddsregleringen för den personuppgiftsbehandling som utförs i antidopningsarbete. Vid bedömningen ingår även att beakta överföring av personuppgifter till tredjeland eller internationella organisationer. Om utredaren i sin analys kommer fram till att bestämmelser behövs för att säkerställa att det finns stöd för personuppgiftsbehandling som är nödvändig och som sker vid antidopningsarbete i idrotten, ska utredaren lämna fullständiga författningsförslag.
Utredaren ska i sitt arbete bl.a. beakta betänkandet Anti- dopning Sverige (SOU 2011:10) och remissvar på betänkandet (S2015/00034/FS). Utredaren ska också beakta den redogörelse för personuppgiftsbehandling inom Riksidrottsförbundet som beskrivs i promemorian Antidopningavdelningens hantering av personuppgifter (S2017/01357/FS) samt rapporten publicerad av EU-kommissionen, Antidopning och dataskydd – en utvärdering av antidopningslagar och praxis i EU:s medlemsstater mot bakgrund av den allmänna dataskyddsförordningen (S2017/05693/FS).
Regeringen anser att det är angeläget att säkerställa att det finns stöd för personuppgiftsbehandlingen inom det nuvarande antidopningsarbetet. Behovet av ytterligare kompletterande reglering vad avser personuppgiftsbehandling bör därför skyndsamt utredas. Med hänsyn till den begränsade utredningstid som lämnas avgränsas utredningsuppdraget till att säkerställa att det finns stöd för den personuppgiftsbehandling som är nödvändig inom nuvarande antidopningsverksamhet samtidigt som ett starkt skydd för den personliga integriteten upprätthålls.
Den särskilda utredaren ska – undersöka vilka konsekvenser dataskyddsförordningen medför i
fråga om personuppgiftsbehandling vid antidopningsarbete inom idrott, – analysera behovet av särskilda bestämmelser om personuppgifts-
behandling vid antidopningsarbete inom idrott, och – lämna behövliga och lämpliga författningsförslag.
Behandling av vissa kategorier av personuppgifter vid antidopningsarbete
EU:s dataskyddsförordning innehåller ett förbud mot att behandla särskilda kategorier av personuppgifter. Med särskilda kategorier av personuppgifter avses uppgifter som avslöjar ras eller etniskt ursprung, politiska åsikter, religiös eller filosofisk övertygelse eller medlemskap i fackförening och behandling av genetiska uppgifter, biometriska uppgifter för att entydigt identifiera en fysisk person, uppgifter om hälsa eller uppgifter om en fysisk persons sexualliv eller sexuella läggning (artikel 9.1).
Från förbudet finns flera undantag, exempelvis vid personuppgiftsbehandling av hänsyn till allmänt intresse (artikel 9.2). För att vissa av undantagen ska vara tillämpliga krävs att grunden för sådana behandlingar kommer till uttryck i unionsrätten eller i nationell rätt.
Vid antidopningsarbetet behandlas särskilda kategorier av personuppgifter, t.ex. uppgifter om hälsa. I uppdraget bör det därför bli aktuellt att överväga behovet av reglering om behandling av särskilda kategorier av personuppgifter i förhållande till artikel 9 i dataskyddsförordningen och den nationella dataskyddsregleringen.
Uppgifter om lagöverträdelser tillhör inte de särskilda kategorier av personuppgifter som omfattas av förbudet mot behandling i artikel 9 i dataskyddsförordningen, men anses ändå vara en kategori personuppgifter som förtjänar särskilt skydd. I detta sammanhang bör utredaren därför även överväga om en särskild reglering i förhållande till artikel 10 i dataskyddsförordningen och den nationella dataskyddsregleringen behövs.
En utgångspunkt för uppdraget är att det ska finnas ändamålsenliga möjligheter att behandla personuppgifter vid antidopningsarbetet samtidigt som ett starkt skydd för den personliga integriteten upprätthålls.
Utredaren ska – överväga behovet av reglering om behandling av särskilda katego-
rier av personuppgifter och personuppgifter som rör lagöverträdelser, och – lämna behövliga och lämpliga författningsförslag.
Skydd för känsliga uppgifter
För idrotten gäller Riksidrottsförbundets stadgar samt Idrottens Antidopingreglemente. Av 13 kap. 8 § Riksidrottsförbundets stadgar följer att sekretess gäller inom Riksidrottsförbundets antidopningsverksamhet för uppgift som avser planering av kontroller och genomförda kontroller samt dopningsärenden om det inte står klart att uppgiften kan röjas utan att verksamheten eller den person uppgiften gäller lider men. Vidare framgår att sekretess gäller för andra uppgifter inom antidopningsverksamheten om det kan antas att verksamheten eller den uppgiften rör lider men om uppgiften röjs. Av samma paragraf i stadgarna framgår också att vad som nu sagts inte utgör hinder
för Dopingkommissionen att lämna information till berört specialidrottsförbund och internationellt specialidrottsförbund samt WADA. För sådan information gäller motsvarande sekretess.
Utredaren ska undersöka om det behövs författningsreglerade bestämmelser om sekretess eller tystnadsplikt för att säkerställa att känsliga uppgifter i samband med antidopningsarbete åtnjuter tillräckligt skydd. I anslutning till denna fråga ska även utredaren analysera vilka uppgifter som ska få lämnas ut och till vilka. Om utredaren bedömer att det behövs bestämmelser om sekretess eller tystnadsplikt, ska fullständigt författningsförslag lämnas. Sådana förslag får inte onödigt försvåra möjligheterna att lämna ut information till polisen eller tullen i samband med brottsutredningar.
Utredaren ska – bedöma om det finns behov av författningsreglerade bestämmel-
ser om sekretess och tystnadsplikt, och – lämna behövliga och lämpliga författningsförslag.
Konsekvensbeskrivningar
Ekonomiska och andra konsekvenser av de förslag som lämnas ska redovisas. Förslagens konsekvenser ska redovisas enligt 14–15 a §§kommittéförordningen (1998:1474). Om förslagen kan förväntas leda till kostnadsökningar för det allmänna, ska utredaren föreslå hur dessa ska finansieras. Utredaren ska också redovisa förslagens konsekvenser för den personliga integriteten.
Samråd och redovisning av uppdraget
Vid anpassningen av svensk rätt till den nya EU-regleringen bör en enhetlig tolkning eftersträvas. Utredaren ska därför hålla sig informerad om och beakta relevant arbete som bedrivs inom Regeringskansliet, utredningsväsendet och EU.
Under genomförandet av uppdraget ska utredaren, i den utsträckning som bedöms lämplig, också inhämta synpunkter och upplysningar från Datainspektionen och andra myndigheter samt Riksidrottsförbund och andra organisationer som kan vara berörda av uppdraget.
Uppdraget ska redovisas senast den 28 februari 2019.
(Socialdepartementet)
Kommittédirektiv 2019:2
Tilläggsdirektiv till Utredningen om antidopning och dataskydd (S 2018:07)
Beslut vid regeringssammanträde den 14 februari 2019
Förlängd tid för uppdraget
Regeringen beslutade den 26 april 2018 att ge en särskild utredare i uppdrag att utreda vissa frågor om antidopningsarbete inom idrotten (dir. 2018:31). Enligt utredningens direktiv skulle uppdraget redovisas senast den 28 februari 2019.
Utredningstiden förlängs. Uppdraget ska i stället redovisas senast den 31 maj 2019.
(Socialdepartementet)
