Behövs det en särskild författning om behandling av personuppgifter om behandling av personuppgifter

vid Rättsmedicinalverket?

6.3.1 Registerlagar innehåller särregler för vissa myndigheter och verksamheter

I svensk rätt finns en etablerad regleringsmodell på området för persondataskydd. Grundläggande regler ges i en generellt tillämplig lag – enligt gällande rätt personuppgiftslagen – och specifika undan-tag eller andra särbestämmelser tas ofta in i särskilda lagar eller för-ordningar, som kallas registerförfattningar. Det huvudsakliga syftet med registerförfattningar är att reglera inrättandet och användningen av viktigare register eller andra personuppgiftssamlingar inom den offentliga sektorn.

En bakomliggande tanke med denna modell för att lagstifta kring personuppgiftsbehandling är att de registerförfattningar som till-skapas, ska innehålla bestämmelser som är så pass detaljerade och i så hög grad utformade utifrån de behov som finns på respektive tillämpningsområde, att det inte är möjligt att ersätta dessa särbe-stämmelser med mer allmänt utformade generella regleringar. Det grundläggande integritetsskyddet finns således i den allmänna lagstift-ningen, medan specialbestämmelserna finns i en registerförfattning.

En fördel med att särregler som avviker från det generella inte-gritetsskyddet förs in i en särskild författning, är att behovet av att

En datalag för Rättsmedicinalverket SOU 2017:80

införa sådana bestämmelser därigenom noga övervägs i den ordning som gäller för författningsgivning (se prop. 1997/98:44, s. 41).

Ett bakomliggande skäl till att införa en registerförfattning på ett visst område kan vara att en sådan författning kan ge ett bättre integritetsskydd för särskilt känsliga register eller andra samlingar av personuppgifter. En registerförfattning kan därutöver vara moti-verad när en nödvändig behandling av personuppgifter inte är tillåten enligt personuppgiftslagen. Genom särbestämmelser i en register-författning införs då lagstöd för en myndighet att behandla sådana personuppgifter. Ytterligare ett skäl för att införa registerförfatt-ningar kan vara att personuppgiftslagen visserligen reglerar ett visst förhållande, men lagens bestämmelser kan leda till tolkningsproblem.

Genom en registerförfattning kan tydligare bestämmelser införas, i stället för de mer allmänt hållna generella bestämmelserna i person-uppgiftslagen. En registerförfattning som är anpassad för en viss myndighets verksamhet kan därigenom göra det enklare att få kun-skap om vilka regler som avgör vilken behandling av personuppgifter som är tillåten. Detta gäller för såväl rättstillämpare som enskilda personer vars personuppgifter, faktiskt eller potentiellt, behandlas vid myndigheten. Dessutom kan det finnas anledning att införa en registerförfattning som i förhållande till personuppgiftslagen, av inte-gritetsskäl, begränsar möjligheterna till behandling av uppgifter, sär-skilt när det är fråga om känsliga uppgifter (se SOU 2015:39, s. 72).

Långt ifrån alla myndigheters behandling av personuppgifter reg-leras dock genom en registerförfattning. Någon klar uppgift om hur stor andel av den offentliga sektorns samlade personuppgiftsbehand-ling som inte är särreglerad finns inte, men i vart fall kan det kon-stateras att den personuppgiftsbehandling som inte regleras i någon registerförfattning är omfattande (se SOU 2015:39, s. 93).

Ett flertal av de myndigheter som lämnar uppdrag till RMV har, som vi tidigare nämnt (se avsnitt 6.2), emellertid registerförfatt-ningar som är tillämpliga på respektive myndighets behandling av personuppgifter. Således gäller för Polismyndigheten polisdatalagen (2010:361), för Åklagarmyndigheten åklagardatalagen (2015:433) och för domstolarna domstolsdatalagen (2015:728). För Migrations-verkets vidkommande regleras behandlingen av personuppgifter i utlänningsdatalagen (2016:27) och på socialtjänstområdet, där bl.a.

rättsgenetiska ärenden om faderskapsfastställelse och rättskemiska

SOU 2017:80 En datalag för Rättsmedicinalverket

ärenden om drogfrihetsanalyser kan ha sitt ursprung, gäller lagen (2001:454) om behandling av personuppgifter inom socialtjänsten.

Systemet med en generellt tillämplig lag om behandling av person-uppgifter och särskilda registerförfattningar har i olika sammanhang kritiserats. Kritiken har bl.a. bestått i att de registerförfattningar som finns i många avseenden inte har samordnats med varandra, vilket har resulterat i ett spretigt regelverk, med skiftande lagstiftnings-teknik och terminologi som inte är enhetlig. Det finns en risk att sådana brister kan leda till oklarheter vid rättstillämpningen och inne-bära svårigheter för enskilda eller rättstillämpare att få en överblick över gällande rätt. Sådana svårigheter skulle i sin tur kunna medföra att skyddet för den enskildes personliga integritet kan bli lidande.

För en rättstillämpande myndighet är det vid behandling av person-uppgifter dessutom nödvändigt att, förutom en eventuell registerlag, beakta bl.a. 2 kap. tryckfrihetsförordningen om allmänna handlingars offentlighet, eventuella sekretessbestämmelser i offentlighets- och sekretesslagen (2009:400, OSL) och viss förvaltningsrättslig lagstift-ning (se SOU 2015:39, s. 110 f.).

6.3.2 Det finns ett behov av en särskild reglering av behandlingen av personuppgifter vid Rättsmedicinalverket

Vår bedömning: Behandlingen av personuppgifter vid Rätts-medicinalverket bör regleras av särskilda bestämmelser, som är av-passade efter verksamheten som bedrivs vid verket. En särskild författning om behandling av personuppgifter vid Rättsmedi-cinalverket bör därför införas.

Vid RMV behandlas, som vi tidigare framhållit, i stor utsträckning personuppgifter som är särskilt integritetskänsliga. Det har länge varit lagstiftarens ambition att integritetskänslig registerföring ska regleras i lag, främst eftersom det därigenom finns förutsättningar att uppnå en välavvägd reglering som beaktar såväl integritets-intresset som de intressen som talar för en mer vidsträckt möjlighet att behandla personuppgifter. I samma riktning – att det i en sär-skild författning bör införas bestämmelser om RMV:s behandling av personuppgifter – talar den omständighet att de myndigheter

En datalag för Rättsmedicinalverket SOU 2017:80

som lämnar uppdrag till RMV, samtliga har registerförfattningar som reglerar behandlingen av personuppgifter. De personuppgifter som behandlas vid RMV är i stor utsträckning samma uppgifter som be-handlas vid de uppdragsgivande myndigheterna. Antingen får RMV del av uppgifterna i samband med att uppdraget lämnas till verket, eller så genereras personuppgiften vid RMV och lämnas ut till upp-dragsgivaren i samband med att RMV:s utredningsarbete är färdigt och uppdraget redovisas. Skyddet för behandling av personuppgifter bör inte vara mindre omfattande vid RMV jämfört med vad som gäller vid de uppdragsgivande myndigheterna. Att så inte är fallet kan bäst säkerställas genom en särskild reglering av personuppgifts-behandlingen vid RMV.

Som vi tidigare har redogjort för (se bl.a. avsnitt 4.4), pågår inom EU en genomgripande reform av de EU-rättsliga reglerna om person-dataskydd. Med början i maj 2018 ska dataskyddsförordningen tillämpas. Även dataskyddsdirektivet ska vara genomfört i svensk rätt under maj 2018.

Såväl förordningen som direktivet lämnar visst utrymme för medlemsstaterna att införa bestämmelser som innebär ett starkare integritetsskydd än vad respektive EU-rättsakt innehåller. Av data-skyddsdirektivet framgår att (se bl.a. skäl 15) inget hindrar med-lemsstaterna från att föreskriva starkare skyddsåtgärder än de som fastställs i direktivet för skydd av den registrerades rättigheter och friheter med avseende på behöriga myndigheters behandling av per-sonuppgifter. På dataskyddsförordningens område gäller bl.a. att (se artikel 9.4) medlemsstaterna får behålla eller införa ytterligare villkor, även begränsningar, för behandlingen av genetiska eller bio-metriska uppgifter eller uppgifter om hälsa. De personuppgifter som behandlas vid RMV är i stor utsträckning särskilt integritetskäns-liga, och innefattar bl.a. behandling av genetiska uppgifter och upp-gifter om hälsa. Det finns mot denna bakgrund anledning att över-väga om det för RMV:s del bör införas en särreglering som innebär ett mer vidsträckt skydd för den enskildes personliga integritet när uppgifter om honom eller henne behandlas vid verket. För att RMV ska kunna utföra de uppdrag som myndigheter och andra aktörer lämnar till verket, krävs dock att även mycket integritetskänsliga uppgifter kan behandlas på ett ändamålsenligt sätt. En alltför långt-gående begränsning i möjligheten att behandla personuppgifter kan mot en sådan bakgrund vara för ingripande för att kunna tillgodose

SOU 2017:80 En datalag för Rättsmedicinalverket

de behov av personuppgiftsbehandling som finns från RMV:s sida.

Även ur detta perspektiv framstår det som önskvärt att i en särskild författning om personuppgiftsbehandling vid RMV överväga sär-bestämmelser som innebär en avvägning av den enskildes intresse för integritetsskydd och verkets intresse av ändamålsenliga regler för att kunna bedriva verksamheten på ett effektivt sätt med vidmakt-hållande av god kvalitet i de utlåtanden som lämnas.

För enskilda registrerade som vill göra gällande sina rättigheter enligt det dataskyddsrättsliga regelverket är det viktigt att de tillämp-liga bestämmelserna är så begriptillämp-liga och överblickbara som möjligt.

Även för den rättstillämpande myndigheten och dess tjänstmän är det naturligtvis av stort värde att gällande rätt är så användarvänlig som möjligt, särskilt eftersom detta minskar risken för att person-uppgifter behandlas på felaktigt sätt. För RMV:s personuppgifts-behandling kommer, som vi återkommer till i avsnitt 6.4 och 6.5, dataskyddsförordningen att vara direkt tillämplig. Därutöver är den föreslagna dataskyddslagen tillämplig på myndighetens behandling av personuppgifter. Vid personuppgiftsbehandling som genomförs i vissa preciserade syften, kommer den brottsdatalag som föreslagits för att genomföra dataskyddsdirektivet i stället att vara tillämplig.

För viss behandling av personuppgifter ska dock annan särlagstiftning som innehåller bestämmelser om personuppgiftsbehandling tillämpas, som exempelvis patientdatalagen i de fall då RMV är att betrakta som vårdgivare. Genom att införa en särskild författning om behand-ling av personuppgifter vid RMV är det möjligt att klargöra för-hållandet mellan dessa regelverk och därigenom bidra till en enklare rättstillämpning och förbättra enskildas förutsättningar att ta del av gällande rätt på området.

Enligt vår mening talar övervägande skäl således för att det finns ett behov av en särskild författning som reglerar behandlingen av personuppgifter vid RMV. Av skäl som vi utvecklar i avsnitt 6.5.1 bör denna författning ges form av lag.

En datalag för Rättsmedicinalverket SOU 2017:80

6.4 Tillämpningen av EU:s dataskyddsrättsliga