Särskilda bestämmelser för behandling av

personuppgifter på dataskyddsförordningens område Vissa bestämmelser i dataskyddslagen ska tillämpas för

personuppgiftsbehandlingen vid Rättsmedicinalverket

Vårt förslag: För behandling av personuppgifter vid Rättsmedi-cinalverket ska följande bestämmelser i dataskyddslagen vara tillämpliga:

1. 1 kap. 4 § första stycket om förhållandet till tryck- och yttran-defriheten,

En datalag för Rättsmedicinalverket SOU 2017:80

2. 2 kap. 1, 3 och 4 §§ om rättslig grund,

3. 3 kap. 1–3 §§, 5 §, 6 § första stycket och 7 § om känsliga person-uppgifter,

4. 3 kap. 11 § om behandling för arkivändamål av personupp-gifter som rör lagöverträdelser,

5. 5 kap. 1 § första stycket och 2 § om undantag från rätten till information och tillgång till personuppgifter,

6. 6 kap. 1 §, 2 § första och andra styckena och 3–5 §§ om till-synsmyndighetens handläggning och beslut,

7. 7 kap. 1, 3 och 4 §§ om administrativa sanktionsavgifter, 8. 8 kap. 1 § om skadestånd, och

9. 8 kap. 2–6 §§ om överklagande.

Vårt förslag till lag gäller, såvitt avser den behandling som äger rum inom dataskyddsförordningens tillämpningsområde, i stället för data-skyddslagen. Det finns dock anledning att låta en del bestämmelser i dataskyddslagen vara tillämpliga även för behandlingen av person-uppgifter vid RMV. Bestämmelser med motsvarande innebörd är antingen inte aktuella på brottsdatalagens område, eller så finns lik-artade regleringar i brottsdatalagen. I det första fallet krävs enligt vår bedömning inte någon kompletterande bestämmelse för RMV:s del och i det andra fallet gäller brottsdatalagens reglering, eftersom vårt förslag till lag gäller utöver brottsdatalagen.

Av 1 kap. 4 § första stycket dataskyddslagen framgår att bestäm-melserna i dataskyddsförordningen och dataskyddslagen inte ska tillämpas i den utsträckning det skulle strida mot bestämmelserna om tryck- och yttrandefrihet i tryckfrihetsförordningen eller ytt-randefrihetsgrundlagen. För att inte ge upphov till osäkerhet kring vad som gäller, bör denna bestämmelse göras tillämplig även vid per-sonuppgiftsbehandling vid RMV. Någon motsvarande bestämmelse på brottsdatalagens område behövs enligt Utredningen om 2016 års dataskyddsdirektiv inte (se SOU 2017:29, s. 181).

Dataskyddslagens 2 kap. 1, 3 och 4 §§ innehåller bestämmelser om rättslig grund. Vi har i avsnitt 6.5.9 konstaterat att dessa bestäm-melser ska gälla även för RMV:s behandling av personuppgifter.

SOU 2017:80 En datalag för Rättsmedicinalverket

Bestämmelser om känsliga personuppgifter finns i 3 kap. data-skyddslagen. I samma kapitel finns vissa bestämmelser gällande be-handling av personuppgifter som rör lagöverträdelser. Vi har i av-snitt 6.5.10 redogjort för att vissa av bestämmelserna i 3 kap. ska vara tillämpliga även vid personuppgiftsbehandlingen vid RMV.

Av 5 kap. 1 § första stycket dataskyddslagen framgår att den registrerades rätt till information och tillgång till personuppgifter enligt artiklarna 13–15 i dataskyddsförordningen inte gäller sådana uppgifter som den personuppgiftsansvarige inte får lämna ut till den registrerade enligt lag eller annan författning eller enligt beslut som har meddelats med stöd av författning. Dataskyddslagen anger vidare i 2 § samma kapitel att bestämmelser om den registrerades rätt till tillgång till personuppgifter i artikel 15 i dataskyddsförordning-en inte gäller personuppgifter i löpande text som inte har fått sin slut-liga utformning när begäran gjordes eller som utgör minnesanteck-ningar eller liknande. Detta gäller dock inte om personuppgifterna har lämnats ut till tredje part, behandlas enbart för arkivändamål av allmänt intresse eller statistiska ändamål, eller har behandlats under längre tid än ett år i löpande text som inte fått sin slutliga utform-ning. På dataskyddsdirektivets område finns bestämmelser med huvudsakligen motsvarande innehåll i 4 kap. 5–7 §§ brottsdatalagen.

Dataskyddslagens bestämmelser bör tillämpas även vid behandling av personuppgifter inom dataskyddsförordningens tillämpnings-område vid RMV.

Bestämmelser om tillsynsmyndighetens handläggning och beslut finns i 6 kap. dataskyddslagen. Av 1 § framgår att de befogenheter som tillsynsmyndigheten har enligt artikel 58.1–3 i dataskyddsför-ordningen gäller även vid tillsyn över efterlevnaden av bestämmel-serna i dataskyddslagen och andra författningar som kompletterar dataskyddsförordningen. Artikel 58.1 preciserar tillsynsmyndighet-ens utredningsbefogenheter, medan artikel 58.2 reglerar vilka korri-gerande befogenheter en tillsynsmyndighet ska ha och artikel 58.3 anger att varje tillsynsmyndighet ska ha vissa särskilt preciserade be-fogenheter att utfärda tillstånd och ge råd. Bestämmelserna i artikel 58 om tillsynsmyndighetens befogenheter gäller endast tillsynen över tillämpningen av förordningens bestämmelser. För att tillsynsmyn-digheten ska kunna vidta åtgärder vid sin tillsyn över nationella bestämmelser som kompletterar förordningen krävs en uttrycklig bestämmelse härom. Dataskyddslagens reglering av detta bör ges

En datalag för Rättsmedicinalverket SOU 2017:80

tillämpning även för RMV:s del och en hänvisning bör således tas in i vårt förslag till lag om behandling av personuppgifter vid RMV.

Av 6 kap. 2 § första och andra styckena dataskyddslagen framgår vidare att tillsynsmyndigheten under vissa förutsättningar ska ansöka hos allmän förvaltningsdomstol om att en åtgärd enligt artikel 58.2 i dataskyddsförordningen ska vidtas. Motsvarande bestämmelse finns i 5 kap. 15 § brottsdatalagen. Bestämmelsen i 6 kap. 2 § första och andra styckena dataskyddslagen bör gälla även för RMV:s del.

Dataskyddslagen innehåller dessutom i 6 kap. 3–5 §§ vissa bestäm-melser om kommunikation, delgivning och besked angående hand-läggningen av ett klagomål. Även dessa bestämmelser bör vara tillämp-liga när det gäller personuppgiftsbehandling vid RMV.

För vissa överträdelser av dataskyddsförordningen gäller att (se artikel 83) tillsynsmyndigheten ska säkerställa att påförande av admi-nistrativa sanktionsavgifter i varje enskilt fall sker effektivt, propor-tionellt och på ett sätt som verkar avskräckande. Av 7 kap. 1 § data-skyddslagen framgår att sanktionsavgift får tas ut av en myndighet vid överträdelser av artikel 83.4, 83.5 och 83.6 i dataskyddsförord-ningen. Vid överträdelser som avses i artikel 83.4 ska avgiften bestäm-mas till högst 10 miljoner kr och annars till högst 20 miljoner kr.

Sådan sanktionsavgift får inte (se 7 kap. 3 § dataskyddslagen) beslutas, om den som avgiften ska tas ut av inte har fått tillfälle att yttra sig enligt 6 kap. 3 § samma lag inom fem år från den dag då överträdel-sen ägde rum. En sanktionsavgift som beslutas enligt dataskydds-förordningen eller enligt dataskyddslagen tillfaller staten (se 7 kap.

4 § dataskyddslagen). De nu aktuella bestämmelserna i dataskydds-lagen förefaller väl avpassade även för RMV:s behandling av per-sonuppgifter och bör således gälla även enligt vårt förslag till lag.

Artikel 82 i dataskyddsförordningen ger varje person som har lidit materiell eller immateriell skada till följd av en överträdelse av förordningen rätt till ersättning från den personuppgiftsansvarige eller personuppgiftsbiträdet för den uppkomna skadan. Genom en bestämmelse i 8 kap. 1 § dataskyddslagen görs rätten till ersättning enligt artikel 82 i förordningen tillämplig även vid överträdelser av dataskyddslagen och andra författningar som kompletterar förord-ningen. Denna bestämmelse i dataskyddslagen bör gälla även för personuppgiftsbehandling vid RMV.

Bestämmelser om vad som gäller för överklagande finns i 8 kap.

2–6 §§ dataskyddslagen. Dessa bestämmelser bör gälla även för

SOU 2017:80 En datalag för Rättsmedicinalverket

personuppgiftsbehandling vid RMV och en hänvisning till dessa bestämmelser ska därför tas in i vårt förslag till lag.

Tillgången till personuppgifter

Vårt förslag: Tillgången till personuppgifter ska begränsas till det som varje tjänsteman behöver för att kunna fullgöra sina arbets-uppgifter.

Registerförfattningar innehåller regelmässigt en bestämmelse som begränsar medarbetarnas tillgång till personuppgifter. En skyldig-het för den personuppgiftsansvarige att se till att tillgången till personuppgifter begränsas till vad varje tjänsteman behöver för att kunna fullgöra sina arbetsuppgifter framgår av 3 kap. 6 § brottsdata-lagen. Denna bestämmelse gäller för RMV:s behandling av person-uppgifter inom brottsdatalagens tillämpningsområde.

Dataskyddsförordningen innehåller inte någon uttrycklig sådan bestämmelse. Att tillgången till personuppgifter bör begränsas fram-går dock indirekt bl.a. av artikel 25.2 i förordningen, som anger att den personuppgiftsansvarige ska genomföra lämpliga tekniska och organisatoriska åtgärder för att begränsa omfattningen av person-uppgiftsbehandling.

RMV behandlar, som vi tidigare nämnt, stora mängder känsliga personuppgifter och det finns en risk att behandling av sådana upp-gifter innebär ett intrång i den personliga integriteten. Ett sätt att i så stor utsträckning som möjligt minska denna risk, är att begränsa den krets av personer som har tillgång till personuppgifter. En stämmelse med innebörd att tillgången till personuppgifter ska be-gränsas till det som varje tjänsteman behöver för att kunna fullgöra sina arbetsuppgifter ska därför införas. Därigenom åstadkoms för RMV också överensstämmelse mellan vad som gäller för person-uppgiftsbehandling på det område där brottsdatalagen är tillämplig och det område där personuppgiftsbehandlingen styrs av dataskydds-förordningen. Närmare riktlinjer för hur tillgången till personupp-gifter bör avgränsas kan lämpligen regleras på lägre normgivningsnivå.

Vi berör denna fråga i avsnitt 6.5.12.

En datalag för Rättsmedicinalverket SOU 2017:80

En anmälningsskyldighet för dataskyddsombudet

Vårt förslag: Dataskyddsombudet ska, även på det område som omfattas av dataskyddsförordningens bestämmelser, anmäla till tillsynsmyndigheten om den personuppgiftsansvarige bryter mot bestämmelser för behandling av personuppgifter och rättelse inte vidtas.

Bland den personuppgiftsansvariges skyldigheter finns också ett krav på att utse ett dataskyddsombud, som motsvarar den funktion som enligt gällande svensk rätt fylls av ett personuppgiftsombud.

Dataskyddsförordningen och dataskyddsdirektivet innehåller inte någon definition av vad som är ett dataskyddsombud. Av förslaget till brottsdatalag framgår dock att (se 1 kap. 6 §) ett dataskydds-ombud är en fysisk person som utses av den personuppgiftsansva-rige för att självständigt se till att personuppgifter behandlas för-fattningsenligt och på ett korrekt sätt.

Enligt dataskyddsförordningen ska (se artikel 37.1 a) den person-uppgiftsansvarige och personuppgiftsbiträdet utnämna ett data-skyddsombud bl.a. om behandlingen av personuppgifter genomförs av en myndighet. Motsvarande bestämmelse finns i artikel 32.1 i data-skyddsdirektivet, som anger att medlemsstaterna ska föreskriva att den personuppgiftsansvarige ska utnämna ett dataskyddsombud.

Från denna skyldighet får undantas domstolars och andra obero-ende rättsliga myndigheters dömande verksamhet. Dataskyddsdirek-tivet genomförs i denna del av 3 kap. 13 § brottsdatalagen, som anger att den personuppgiftsansvarige ska utse ett eller flera data-skyddsombud och anmäla till tillsynsmyndigheten när dataskydds-ombud utses och entledigas. RMV är, med stöd av dessa bestäm-melser i förordningen respektive brottsdatalagen, skyldig att utse ett eller flera dataskyddsombud. Något behov av en bestämmelse i vårt förslag till datalag för RMV som föreskriver en skyldighet att utse ett sådant ombud finns således inte.

Dataskyddsombudets uppgifter framgår, såvitt gäller den behand-ling av personuppgifter som äger rum inom dataskyddsförordning-ens tillämpningsområde, av artikel 39. Artikeln innehåller en upp-räkning av de uppgifter ett dataskyddsombud minst ska ha och lämnar således möjligheten öppen för medlemsstaterna att föreskriva ytterligare uppgifter för ombudet. Av artikel 38.4 framgår dessutom

SOU 2017:80 En datalag för Rättsmedicinalverket

att dataskyddsombudet ska vara tillgängligt för registrerade, efter-som nyssnämnda bestämmelse anger att den registrerade får kon-takta dataskyddsombudet med avseende på alla frågor som rör be-handlingen av dennes personuppgifter och utövandet av dennes rättigheter enligt förordningen.

På dataskyddsdirektivets område finns motsvarande bestämmel-ser huvudsakligen i artikel 34, som genomförs genom 3 kap. 14 och 15 §§ brottsdatalagen. Dataskyddsombudets uppgifter är i stort desamma inom båda regelkomplexens respektive tillämpningsom-råde. Brottsdatalagen innehåller dock en skyldighet för dataskydds-ombudet att (se 3 kap. 15 §) anmäla till tillsynsmyndigheten om den personuppgiftsansvarige bryter mot bestämmelser för behandling av personuppgifter och rättelse inte vidtas. Denna reglering i brotts-datalagen har inte sitt ursprung i dataskyddsdirektivet, utan har föreslagits av Utredningen om 2016 års dataskyddsdirektiv, med motiveringen att det är viktigt att dataskyddsombud uppmärksam-mar tillsynsmyndigheten på eventuella problem och brister, särskilt om den personuppgiftsansvarige inte rättar sig efter ombudets på-pekanden (se SOU 2017:29, s. 348). Dataskyddsombuden bör där-för, liksom personuppgiftsombuden har i dag, ha i uppdrag att anmäla eventuella överträdelser till tillsynsmyndigheten. Vi delar således uppfattningen att det är motiverat att dataskyddsombud ska ha en anmälningsskyldighet. Enligt vår mening gör detta behov sig gällande även på den behandling av personuppgifter vid RMV som faller inom dataskyddsförordningens tillämpningsområde. De personuppgifter som behandlas vid RMV är, som vi tidigare konstaterat, i många fall särskilt integritetskänsliga och det är angeläget att ett dataskydds-ombud vid myndigheten även såvitt avser behandling som har sin grund i förordningen, har en skyldighet att vända sig till tillsynsmyn-digheten. Därigenom ökar inslaget av kontroll över personuppgifts-behandlingen vid RMV och möjligheten att upptäcka och åtgärda brister vid behandlingen. På det område som omfattas av brotts-datalagen framgår anmälningsplikten av nämnda lag. Bestämmelsen i vårt förslag till lag om behandling av personuppgifter vid RMV om-fattar därför endast sådan behandling som äger rum inom dataskydds-förordningens tillämpningsområde.

En datalag för Rättsmedicinalverket SOU 2017:80

Avgiftsfri information

Vårt förslag: Om någon begär information och uppgifter enligt artikel 15 i dataskyddsförordningen oftare än en gång per år, får Rättsmedicinalverket avslå begäran eller ta ut en rimlig avgift.

Av artikel 15 i dataskyddsförordningen framgår att den registrerade ska ha rätt att av den personuppgiftsansvarige få bekräftelse på huruvida personuppgifter som rör honom eller henne håller på att behandlas och i så fall få tillgång till personuppgifterna och viss när-mare preciserad information. Det är, enligt artikel 23 i förordning-en, möjligt att i unionsrätten eller i nationell rätt införa bestäm-melser som begränsar denna rätt.

På brottsdatalagens område har en motsvarande bestämmelse före-slagits i 4 kap. 12 §. Lagrummet anger att information enligt 3 § i samma kapitel, som i huvudsak motsvarar den information som ska lämnas enligt artikel 15 i förordningen, ska lämnas utan avgift en gång per år. Om någon begär information och uppgifter enligt 3 § oftare än en gång per år, får den personuppgiftsansvarige ta ut en rimlig av-gift eller avslå begäran.

Enligt vår mening bör lagen med bestämmelser om behandling av personuppgifter vid RMV innehålla en motsvarande reglering på dataskyddsförordningens område. Om någon oftare än en gång per år begär information enligt artikel 15 i dataskyddsförordningen, får Rättsmedicinalverket avslå begäran eller ta ut en rimlig avgift för att hantera begäran.

Begränsning av rätten till information

Vårt förslag: Bestämmelserna om den registrerades rätt enligt arti-kel 34 i dataskyddsförordningen att få information om en person-uppgiftsincident, gäller inte om Rättsmedicinalverket, enligt lag eller annan författning eller enligt beslut som har meddelats med stöd av författning, inte får lämna ut uppgifter till den regi-strerade.

SOU 2017:80 En datalag för Rättsmedicinalverket

Artikel 34 i dataskyddsförordningen innehåller bestämmelser om en skyldighet för den personuppgiftsansvarige att under vissa förut-sättningar informera om en personuppgiftsincident. Denna infor-mationsskyldighet får under vissa förutsättningar (se artikel 23) be-gränsas i nationell rätt.

Av 3 kap. 9–11 §§ brottsdatalagen framgår den ansvariges skyldigheter när det gäller inträffade personuppgifts-incidenter, däribland skyldigheten att lämna viss information till den registrerade. Den personuppgiftsansvarige får underlåta att lämna sådan information i den utsträckning det är särskilt föreskrivet i lag eller annan författning eller annars framgår av beslut som har med-delats med stöd av författning att uppgifter inte får lämnas ut bl.a.

av hänsyn till intresset av att förebygga, förhindra eller upptäcka brottslig verksamhet, utreda eller lagföra brott, verkställa straffrätts-liga påföljder eller upprätthålla allmän ordning och säkerhet.

RMV:s skyldighet att informera om en personuppgiftsincident bör, i den mån det är lämpligt, vara så likartad på dataskyddsför-ordningens och brottsdatalagens respektive tillämpningsområde som möjligt. En bestämmelse som begränsar RMV:s informationsplikt när det gäller personuppgiftsincidenter, bör därför införas.