Elektroniskt utlämnande av personuppgifter

Vårt förslag: Personuppgifter får lämnas ut elektroniskt på annat sätt än genom direktåtkomst, om det inte är olämpligt.

Vår bedömning: Några bestämmelser som möjliggör direkt-åtkomst till personuppgifter vid Rättsmedicinalverket bör inte införas i lagen.

Personuppgifter hanteras vid RMV i stor utsträckning i elektronisk form. I takt med utvecklingen av modern teknik har möjligheten till olika slags elektroniskt utlämnande av personuppgifter ökat och bidragit till effektivitetsvinster vid framför allt myndigheters kom-munikation sinsemellan, men också vid myndigheters kontakter med enskilda.

Dataskyddsförordningen och dataskyddsdirektivet innehåller inte några bestämmelser om elektroniskt utlämnande av personuppgifter.

Det gör inte heller brottsdatalagen eller dataskyddslagen. Något hinder mot sådant utlämnade finns dock inte. Elektroniskt utläm-nande av personuppgifter utgör en behandling av uppgifterna. En förutsättning för att ett utlämnande får ske, är således att reglerna om behandling av personuppgifter följs.

Med elektroniskt utlämnande avses såväl s.k. direktåtkomst som annat utlämnande i elektronisk form, t.ex. via e-post, usb-minne eller dvd-skiva. Direktåtkomst innebär att en mottagare har direkt till-gång till någon annans register eller databas och därigenom på egen hand kan ta del av information. Direktåtkomst förekommer vid en del av de myndigheter, bl.a. i rättskedjan, som lämnar uppdrag till RMV. För RMV:s del gäller dock att verket inte gör någon infor-mation tillgänglig genom direktåtkomst. Det finns således inte något behov av bestämmelser som möjliggör detta och vårt lagförslag bör därför inte heller innehålla någon sådan regel.

En mycket stor del av det material som RMV behandlar finns i elektroniskt format och personuppgifter lämnas i dag ut elektroniskt

En datalag för Rättsmedicinalverket SOU 2017:80

på annat sätt än genom direktåtkomst. Så är exempelvis fallet med olika slags rättskemiska analyssvar, men även andra uppdrag redo-visas ofta i elektronisk form. Sådan elektronisk kommunikation är regelmässigt kostnadseffektiv, för både avsändare och mottagare, jämfört med att skicka uppgifter med brev. RMV bör även fortsätt-ningsvis kunna lämna ut personuppgifter i elektronisk form. Något hinder mot att så sker finns, som vi tidigare konstaterat, inte i den EU-rättsliga dataskyddsregleringen och inte heller i de svenska för-fattningar som anknyter till de unionsrättsliga bestämmelserna. En fråga att ta ställning till är därför om vårt förslag till lag bör inne-hålla en bestämmelse om elektroniskt utlämnande och, i så fall, hur en sådan bestämmelse bör utformas.

Vid RMV förekommer i stor utsträckning integritetskänsliga personuppgifter. Elektronisk överföring av sådana uppgifter bör noga övervägas. Riskerna med att överföra uppgifter elektroniskt, vilket bl.a. kan bestå i en ökad fara att uppgifter sprids eller att någon annan än den avsedda mottagaren får del av uppgifterna, måste vägas mot RMV:s och mottagarnas behov av effektiva arbetssätt. Enligt vår mening uppnås en ändamålsenlig avvägning mellan dessa intressen genom en reglering som gör det möjligt för RMV att lämna ut upp-gifter elektroniskt, men som samtidigt innehåller en begränsning av när så får ske. Flera av de registerförfattningar som är tillämpliga vid de myndigheter som är RMV:s huvudsakliga uppdragsgivare inne-håller, eller föreslås innehålla, en bestämmelse av innebörd att elektro-niskt utlämnande får ske, om det inte är olämpligt (se SOU 2017:74).

Motsvarande bestämmelse bör införas även för RMV:s del.

Vid lämplighetsbedömningen bör beaktas bl.a. vem mottagaren är och vilken säkerhet personuppgifterna kan antas få hos mottagaren.

När det gäller utlämnande till andra myndigheter bör ett utlämnan-de normalt sett kunna ske. Även utlämnanutlämnan-de till enskilda, fysiska eller juridiska personer, ska vara möjligt.

Det har föreslagits att uttrycket utlämnande på medium för auto-matiserad behandling bör utmönstras och att uttrycket utlämnande i elektronisk form i stället ska användas (se Informationshanterings-utredningens slutbetänkande Myndighetsdatalag, SOU 2015:39, s. 442). Ett sådant uttryck kan emellertid missuppfattas, eftersom även direktåtkomst är en form av elektroniskt utlämnande. Utred-ningen om 2016 års dataskyddsdirektiv har dock gett uttryck för att ett modernare uttryckssätt är att föredra och att det, eftersom

SOU 2017:80 En datalag för Rättsmedicinalverket

registerförfattningarna på brottsdatalagens område ses över, är lämp-ligt att göra en sådan förändring nu. Även i fortsättningen bör dock, menar utredningen, göras tydlig skillnad mellan elektroniskt utläm-nande i form av direktåtkomst och elektroniskt utlämutläm-nande på annat sätt. Mot den bakgrunden har utredningen föreslagit bestämmelser som anger att personuppgifter får lämnas ut elektroniskt på annat sätt än genom direktåtkomst om det inte är olämpligt (se SOU 2017:74, s. 375). Vårt förslag till datalag för RMV bör använda samma termi-nologi.

6.5.12 Föreskrifter

Vårt förslag: Regeringen eller den myndighet som regeringen bestämmer kan med stöd av 8 kap. 7 § regeringsformen meddela föreskrifter om begränsningar av

1. möjligheten att använda vissa uppgifter vid sökning, och 2. möjligheterna att lämna ut personuppgifter elektroniskt.

På dataskyddsförordningens område kan sådana föreskrifter också meddelas när det gäller tillgången till personuppgifter.

Några av de bestämmelser vi föreslår i Rättsmedicinalverkets datalag kan, med stöd av 8 kap. 7 § regeringsformen, kompletteras av reger-ingen eller den myndighet som regerreger-ingen bestämmer. Det gäller föreskrifter om begränsningar av möjligheten att använda vissa sök-begrepp och av möjligheterna att lämna ut personuppgifter elektro-niskt. För den behandling av personuppgifter vid RMV som styrs av dataskyddsförordningens bestämmelser, kan föreskrifter också med-delas när det gäller tillgången till personuppgifter. Bestämmelser med denna innebörd bör tas in i vårt förslag till lag.

En datalag för Rättsmedicinalverket SOU 2017:80

6.5.13 Särskilda bestämmelser för behandling av