Ds 2013:22 Behandlingen av personuppgifter vid Statens kriminaltekniska laboratorium

Relevanta dokument
Polisens tillgång till signalspaning i försvarsunderrättelseverksamhet (Ds 2011:44)

Handlägges.Q"(4.e...

Remiss av promemorian Ds 2014:30 Informationsutbyte vid samverkan mot grov organiserad brottslighet

Tillsyn mot elimineringsdatabasen vid Statens kriminaltekniska laboratorium

Snabbare lagföring (Ds 2018:9)

Betänkandet EU:s direktiv om sanktioner mot arbetsgivare (SOU 2010:63)

SOU 2014:67 Inbyggd integritet inom Inspektionen för socialförsäkringen

Promemorian Vissa frågor om vapenlagen (Ds 2010:6)

Stockholm den 8 augusti 2014

Datainspektionen lämnar följande synpunkter.

Yttrande över promemorian Införande av vissa internationella standarder i penningtvättslagen

Utdrag ur protokoll vid sammanträde Utvidgad användning av DNA-tekniken inom brottsbekämpningen

Remiss av betänkande digitalforvaltning.nu (SOU 2017:23)

Transporter av frihetsberövade (SOU 2011:7) och Transporter av frihetsberövade en konsekvensanalys (Statskontoret, rapport 2011:28)

Postadress Telefon E-post Organisationsnummer Box 22523, Stockholm

Remissyttrande över departementspromemorian Behandling av personuppgifter i polisens brottsbekämpande verksamhet (Ds 2007:43)

Tillsyn enligt polisdatalagen (2010:361) och personuppgiftslagen (1998:204) av Polismyndighetens personuppgiftsbehandling i fingeravtrycksregistret

En omarbetad utlänningsdatalag Anpassning till EU:s dataskyddsförordning (Ds )

Polismyndighetens nya allmänna spaningsregister

Stockholm den 28 april 2015

Nämnden bedömer att den granskade personuppgiftsbehandlingen är förenlig med PDL:s bestämmelser.

Beslut efter tillsyn enligt personuppgiftslagen (1998:204) PuL

Samråd om registrering av beslutsoförmögna i det nationella kvalitetsregistret Senior Alert

Taxi och samåkning i dag, i morgon och i övermorgon (SOU 2016:86)

Säkerhetspolisens användning av s.k. misstankemärkning i it-systemet för bearbetning och analys

Genomförande av Inspire-direktivet i svensk lagstiftning; förslag till ny miljöinformationslag och förordning m.m.

Förslag till föreskrifter och allmänna råd om behandling av personuppgifter och journalföring i hälso- och sjukvården

RemitteringsPM - förordningsändringar i anledning av en ny vägtrafikdatalag och en ny lag om fordons registrering och brukande

Polismyndighetens behandling av personuppgifter i underrättelseverksamheten

Promemorian Uppgifter på individnivå i en arbetsgivardeklaration

Vägtrafikregisterutredningens betänkande (SOU 2010:76) Transportstyrelsens databaser på vägtrafikområdet integritet och effektivitet

Betänkandet Uppgiftslämnarservice för företagen (SOU 2015:33)

Yttrande Diarienr Ert diarienr N2014/1095/TE. Näringsdepartementet Transportenheten STOCKHOLM

Tillsyn enligt personuppgiftslagen (1998:204); behandling av personuppgifter för kontroll av anställda

Betänkandet Allmänna handlingar i elektronisk form offentlighet och integritet (SOU 2010:4)

Remiss av betänkandet 2014 års utlänningsdatalag (SOU 2015:73)

Förlängd övergångstid för tillämpning av vissa bestämmelser i polisdatalagen

1 Promemorians huvudsakliga innehåll... 7

Beslut efter tillsyn enligt patientdatalagen (2008:355) rutiner för registrering i Senior Alert.

Sammanfattning Riksdagens ombudsmän, JO, har beretts tillfälle att lämna synpunkter i rubricerat ärende.

Ansökan om undantag från förbudet i 21 personuppgiftslagen (1998:204)

Polismyndigheten i Uppsala län Box UPPSALA. Datainspektionen meddelar följande BESLUT

Medverkan av tjänsteleverantörer i ärenden om uppehålls- och arbetstillstånd (SOU 2016:36)

Personuppgiftsansvar för behandling av personuppgifter i det centrala kriminalunderrättelseregistret, KUR

Tillsyn enligt personuppgiftslagen (1998:204) Utökat elektroniskt informationsutbyte

Synpunkter med anledning av regeringens uppdrag till Myndigheten för samhällskydd och beredskap om nödlarmsystemet ecall i Sverige

Remiss av förslag till EU-direktiv om skydd för personer som rapporterar om överträdelser av unionsrätten

Beslut efter tillsyn enligt personuppgiftslagen (1998:204) PuL

Ansökan om undantag från förbudet i 21 personuppgiftslagen (1998:204)

Datalagring och integritet (SOU 2015:31)

Beslag och husrannsakan ett regelverk för dagens behov (SOU 2017:100)

Remiss av departementspromemorian En anpassning till dataskyddsförordningen inom Miljö- och energidepartementets verksamhetsområde (Ds 2017:54)

Tillsyn av behandlingen av personuppgifter i allmänhetens terminal m.m.

Beslut efter tillsyn enligt personuppgiftslagen (1998:204) PuL

Beslut efter tillsyn enligt personuppgiftslagen (1998:204) PuL

Postadress Telefon E-post Organisationsnummer Box 22523, Stockholm

Polismyndigheten i Östergötlands läns behandling av personuppgifter i underrättelseverksamheten

Svensk författningssamling

Betänkandet låt fler forma framtiden! (SOU 2016:5)

Brottsdatalag kompletterande lagstiftning (SOU 2017:74)

Nämnden är kritisk till att Polismyndigheten inte har genomfört någon logguppföljning avseende de granskade uppgiftssamlingarna.

Beslut efter tillsyn enligt patientdatalagen (2008:355) rutiner för registrering i Senior Alert.

Remiss: Transportstyrelsens framställan om ändringar i lagen (2001:558) och förordningen (2001:650) om vägtrafikregister.

Svensk författningssamling

Polismyndigheternas behandling av känsliga personuppgifter

Tillsyn enligt personuppgiftslagen (1998:204) av Göteborgs universitet (Svensk nationell datatjänst)

Delbetänkande av Jaktlagsutredningen: Vildsvin och viltskador om utfordring, kameraövervakning och arrendatorers jakträtt (SOU 2014:54)

Tillsyn enligt personuppgiftslagen (1998:204) Polismyndighetens behandling av personuppgifter i belastningsregistret och misstankeregistret

Tillsyn enligt personuppgiftslagen (1998:204) användning av s.k. elektroniska nycklar hos ett bostadsbolag

Tillsyn enligt personuppgiftslagen (1998:204) Behandling av personuppgifter i e-post

Tillsyn enligt personuppgiftslagen (1998:204) Behandling av personuppgifter i e-post

Tillsynsbeslut mot Försvarsmakten avseende behandlingen av personuppgifter i IT-stöden PRIO och ReachMee

Till statsrådet och chefen för Justitiedepartementet

Polismyndighetens behandling av personuppgifter i mappstrukturer vid region Öst

Yttrande över betänkandet Ny dataskyddslag Kompletterande bestämmelser till EU:s dataskyddsförordning

Tillsyn enligt personuppgiftslagen (1998:204) kontroll av anställda

Ökad insyn i fristående skolor (SOU 2015:82) Sammanfattning. Utbildningsdepartementet Stockholm

Överskottsinformation från hemlig rumsavlyssning

Ombud: N.N N.N Danowsky & Partners Advokatbyrå KB Box STOCKHOLM

Datum Vår referens Sida Dnr: (10)

Säkerhetspolisens behandling av känsliga personuppgifter i fristående databaser

Tullverket Box STOCKHOLM

Beslut efter tillsyn enligt personuppgiftslagen (1998:204)

REMISSVAR 1 (8)

Uppföljning av tidigare granskning avseende Rikspolisstyrelsens behandling av personuppgifter i penningtvättsregistret

Betänkandet Skyddet för den personliga integriteten - Kartläggning och analys (SOU 2007:22)

Behandlingen av personuppgifter i Rikskriminalpolisens register över spaningsfilmer

Tillsynsbeslut; omdömen om elever

Betänkandet Skyddet för den personliga integriteten Bedömningar och förslag (SOU 2008:3)

Dåvarande Rikspolisstyrelsens register över spaningsfilmer.

Tillsyn enligt personuppgiftslagen (1998:204) behandling av personuppgifter vid rutinkontroll av förares innehav av taxiförarlegitimation

Tillsyn enligt personuppgiftslagen (1998:204) VA Syds personuppgiftsbehandling inom avfallshanteringsverksamheten

Kompletterande promemoria: Kameraövervakning vid åteljakt efter vildsvin

Behandlingen av personuppgifter i Länskriminalpolisen i Västra Götalands uppgiftssamlingar med spaningsfilmer

Beslut efter tillsyn enligt personuppgiftslagen (1998:204)

Svensk författningssamling

Beslut efter tillsyn enligt personuppgiftslagen (1998:204) av Fitness24Seven

Tillsyn enligt personuppgiftslagen (1998:204) mot IOGT-NTO behandling av uppgifter i medlemsregister

Tillsyn av behandlingen av personuppgifter i allmänhetens terminal m.m.

Tillsyn enligt polisdatalagen (2010:361) och personuppgiftslagen (1998:204) avseende Polismyndighetens användning av kroppsburna kameror

Transkript:

Yttrande Diarienr 2013-07-11 555-2013 Ert diarienr Ju2013/3085/L4 Justitiedepartementet 103 33 STOCKHOLM Ds 2013:22 Behandlingen av personuppgifter vid Statens kriminaltekniska laboratorium Sammanfattning Datainspektionen anser att Statens kriminaltekniska laboratoriums (SKL) behandling av personuppgifter inom den forensiska verksamheten i stort bör regleras i en särskild lag (registerförfattning). Det beror bland annat på att det vid SKL behandlas personuppgifter av integritetskänslig natur avseende ett stort antal personer. Vidare har registreringen av de personuppgifter som behandlas vid SKL i allt väsentligt föranletts av brott och de sökningar och sammanställningar som är möjliga kan därför likställas med de som görs i polisens brottsbekämpande verksamhet (vilka regleras uttömmande i den särskilda registerlagen polisdatalagen (2010:361)). Mot bakgrund av att det vid SKL inte bedrivs brottsbekämpande verksamhet i vedertagen mening bör personuppgiftsbehandlingen vid laboratoriet inte regleras i polisdatalagen (2010:361), utan i en egen registerförfattning. SKL kommer att utgöra en del av den nya Polismyndigheten och bedriver redan idag en verksamhet som är tätt knuten till polisens. Uppgifter som behandlas vid SKL ska enligt Datainspektionen inte kunna föranleda spaningsuppslag (forensiska uppslag) till polisen efter den tidpunkt då motsvarande uppgifter skulle ha gallrats hos polisen eller då uppgifterna inte längre får vara åtkomliga i polisens brottsbekämpande verksamhet. Det är viktigt att SKL:s forskningsverksamhet och de aktiviteter som utförs inom ramen för brottsbekämpningen (undersökningsärenden och forensiska uppslag) hålls åtskilda från varandra genom tydliga bestämmelser för behandlingen av personuppgifter (avseende ändamål och tillåten Postadress: Box 8114, 104 20 Stockholm E-post: datainspektionen@datainspektionen.se Besöksadress: Drottninggatan 29, plan 5 Telefon: 08-657 61 00 Webbplats: www.datainspektionen.se Telefax: 08-652 86 52

behandling). Detsamma gäller SKL:s privata uppdragsverksamhet som inte ska kunna flyta in i laboratoriets aktiviteter på det brottsbekämpande området. För att åstadkomma detta räcker inte en tillämpning av finalitetsprincipen i personuppgiftslagen (1998:204) (PuL). Det räcker slutligen inte med att gallringen av de integritetskänsliga uppgifter som behandlas vid SKL helt och hållet överlåts till laboratoriet och där avgörs utifrån de behov som verksamheten har i olika avseenden. Risken med en sådan ordning är att integritetsintresset får vika alldeles för lätt i förhållande till effektiviteten. Upprättandet av den idag oreglerade elimineringsdatabasen är ett sådant exempel. Datainspektionen har vidare synpunkter på förslaget när det gäller den personuppgiftsbehandling som sker för att stärka kvaliteten i den forensiska DNA-verksamheten (elimineringsdatabasen). Inspektionen tillstyrker dock att elimineringsdatabasen lagregleras. Synpunkterna består i första hand i att elimineringsdatabasen, såsom förslaget har utformats, inte endast kommer att kunna användas för att förstärka kvaliteten i DNA-verksamheten. Förslaget öppnar också upp för att DNA-profiler i elimineringsdatabasen om det är av särskild betydelse för utredningen ska kunna användas som ett i praktiken fjärde DNA-register i den brottsbekämpande verksamheten vid allvarliga brott. Datainspektionen har vidare synpunkter på promemorians förslag beträffande de åtgärder som ska vidtas när det erhålls en överensstämmelse (träff) mellan ett nytt brottsplatsspår och en DNA-profil i elimineringsdatabasen. Inspektionen anser att en kontamineringsutredning endast ska syfta till att höja kvaliteten i den forensiska verksamheten och att några uppgifter om vem som det har getts träff på i elimineringsdatabasen inte ska delges med en pågående brottsutredning. Mot den bakgrunden föreslår Datainspektionen att förslaget till 6 i förordningen om elimineringsdatabasen samt förslaget till 4 kap. 6 a polisdatalagen (2010:361) ändras i syfte att höja skyddet för den personliga integriteten och upprätthålla elimineringsdatabasens funktion som ett kvalitetshöjande verktyg. Datainspektionen anser slutligen att förslaget om uppskjuten gallring i 4 kap. 7 a tredje stycket polisdatalagen (2010:361) bör ändras så att gallring ska ske genast efter det att ett samtycke har återkallats (avser de fall där inte obligatorisk registrering sker). En sådan lösning skulle enligt Datainspektionen vara mer ändamålsenlig i avvägningen mellan effektivitet Sida 2 av 11

och integritet i ljuset av att det krävs samtycke för att överhuvudtaget registrera dessa personer. Ett alternativ till omedelbar gallring efter återkallelse av samtycke är att det förs in 3 i förslaget till förordning om elimineringsdatabasen (dvs. författningsregleras), att den information som den registrerade erhåller i samband med registrering särskilt ska avse det förhållandet att ett återkallat samtycke ändå innebär att personens DNA-profil kommer att finnas kvar i elimineringsdatabasen i upp till ett år efter återkallandet. När det gäller frågorna som behandlas i promemorian avseende obligatorisk registrering av vissa befattningshavare, anser Datainspektionen att den delen av promemorian, även om integritetsfrågor i vid mening aktualiseras, i första hand har bäring på arbetsrättsliga aspekter. Personuppgiftsbehandlingen inom den forensiska verksamheten i stort Vid SKL behandlas personuppgifter som är av integritetskänslig natur; i allt väsentligt handlar det om uppgifter som har med brott att göra. Dessutom bedrivs det skilda verksamheter vid laboratoriet, bl.a. forensiska undersökningar på uppdrag av brottsbekämpande myndigheter, uppdragsverksamhet med privata aktörer, forsknings- och statistikverksamhet, samt framtagande av forensiska uppslag. Datainspektionen anser att SKL:s forskningsverksamhet bör hållas åtskild från det arbete som sker på brottsbekämpningens område. När det t.ex. gäller arbetet med forensiska uppslag synes verksamheten ligga mycket nära traditionellt polisarbete (se bl.a. den beskrivning och målsättning som anges i SKL:s rapport Underrättelse- och spaningsinformation till Polisen Hantering av forensiska uppslag (SKL Rapport 2011:01)). I förslaget till ny polisorganisation föreslås att SKL ska utgöra en nationell avdelning inom den nya Polismyndigheten (se bl.a. SOU 2012:33, sid 273 ff.). I polisens brottsbekämpande verksamhet finns uttömmande regler om personuppgiftsbehandlingen i polisdatalagen (2010:361) (PDL). Att en till polisen så nära anknuten verksamhet som den vid SKL skulle behandla personuppgifter med PuL:s regler om finalitet i kombination med ett par bestämmelser i PDL samt interna föreskrifter skulle enligt Datainspektionen innebära risker för ett alldeles för bristfälligt skydd för den personliga integriteten. Upprättandet av den sedan flera år existerande elimineringsdatabasen vid SKL är ett sådant exempel. Sida 3 av 11

Datainspektionen anser således att personuppgiftsbehandlingen vid SKL såvitt avser den forensiska verksamheten i stort bör regleras i en särskild registerförfattning. Mot bakgrund av att det vid SKL inte bedrivs brottsbekämpande verksamhet i vedertagen mening, bör reglerna inte placeras i PDL, utan i en egen registerförfattning. De problem som utredaren tar upp om t.ex. väntetider för att vid behov få till stånd författningsförändringar avseende tillåtna ändamål för behandlingen är inget som är unikt för SKL:s verksamhet. Det är dessutom inom ramen för ett lagstiftningsärende som de motstående intressen som aktualiseras vid behandling av personuppgifter ges de bästa förutsättningarna att hanteras och värderas på ett ändamålsenligt sätt. Härvid kan också tilläggas att avsikten med de ändringar som nyligen genomfördes i 2 kap. 6 regeringsformen var att stärka skyddet för enskildas personliga integritet gentemot det allmänna. I prop. 2009/10:80 (sid. 177) uttalas således att en följd av ändringarna är att lagstiftaren tvingas att tydligt redovisa vilka avvägningar som gjorts vid den proportionalitetsbedömning som ska göras. Slutligen vill Datainspektionen i denna del, med anledning av att utredaren har berört frågan, lyfta fram att frågor om gallring (som har med skyddet av den personliga integriteten att göra) inte löses med gallringsföreskrifter från Riksarkivet (där syftet är bevarande för olika ändamål som inte har med den personliga integriteten att göra). Datainspektionen har inget färdigt förslag på hur en registerförfattning för SKL bör se ut, men anser att bl.a. följande bör vara vägledande och regleras: a) SKL:s forskningsverksamhet ska hållas åtskild från dels undersökningsverksamhet och produktionen av forensiska uppslag (till polisens utrednings- och underrättelsearbete), dels från laboratoriets uppdragsverksamhet b) SKL:s uppdragsverksamhet ska hållas åtskild från övrig verksamhet vid laboratoriet och får inte användas i den verksamhet som har med brottsbekämpning att göra. c) Uppgifter ska inte få behandlas i sådan verksamhet vid SKL som har med brottsbekämpning att göra/vara åtkomliga i sådan verksamhet vid laboratoriet under längre tid än vad motsvarande uppgifter får behandlas, bevaras eller vara åtkomliga hos polisen (eller andra brottsbekämpande myndigheter). Sida 4 av 11

d) Mot bakgrund av att det vid SKL inte bedrivs brottsbekämpande verksamhet i vedertagen mening bör personuppgiftsbehandlingen vid laboratoriet inte regleras i PDL, utan i en egen registerförfattning. Elimineringsdatabasen vid SKL Användningen av elimineringsdatabasen Datainspektionen delar promemorians bedömning när det gäller de risker för kontamineringar som föreligger vid DNA-provtagning i samband med användandet av den teknik kring DNA-analys som finns idag och som innebär att det i vissa fall räcker med mycket små mängder DNA för att kunna ta fram en DNA-profil (bl.a. LT-tekniken). Datainspektionen är också väl förtrogen med det bevisvärde som SKL:s utlåtanden i DNA-analysverksamheten har i brottmålsprocessen och betydelsen för rättsäkerheten av att det forensiska arbetet vid laboratoriet bedrivs på ett rättssäkert sätt. Mot den bakgrunden anser inspektionen att en elimineringsdatabas bör ses som ett självklart hjälpmedel i SKL:s verksamhet när det gäller att kunna kvalitetssäkra det forensiska arbetet med DNA. Det som Datainspektionen tidigare har vänt sig mot (se inspektionens tillsynsärende dnr. 514-2012) är att en sådan integritetskänslig behandling av personuppgifter som att ett DNA-register upprättats, förs och används utan stöd i lagstiftning som har utformats för ändamålet. PuL:s allmänna bestämmelser är inte avsedda att och har inte förmåga att ensamt kunna hantera en sådan behandling av personuppgifter som en elimineringsdatabas innebär och som dessutom kompliceras av att databasen måste användas tillsammans med spårregistret för att vara verkningsfull. Mot den bakgrunden har Datainspektionen ansett att elimineringsdatabasen ska lagregleras särskilt. Den nuvarande elimineringsdatabasens innehåll och användning är idag helt överlämnad till Rikspolisstyrelsens och SKL:s bedömning utan några egentliga fasta gränser. Det innebär i sin tur att databasens användning i olika delar av verksamheten och förutsättningarna för registrering kan ändras genom förändringar av diverse myndighetsinterna regelverk. Mot det ska ställas övrig användning av DNA-register och verktyg i den brottsbekämpande verksamheten, som är reglerade i PDL; bland annat är alla möjligheter till samkörning av DNA-register uttömmande reglerade i den lagen. Sida 5 av 11

Således välkomnar Datainspektionen promemorians förslag om att elimineringsdatabasen ska regleras i lag. Inspektionen har mot bakgrund av att det är fråga om behandling av personuppgifter som knyter nära an till övriga bestämmelser om DNA-register i 4 kap. PDL, i och för sig ingen erinran mot att reglerna om elimineringsdatabasen också placeras där, men vill tillägga följande. Det är viktigt att understryka att PDL är en lag som avser polisens brottsbekämpande verksamhet; dvs. en verksamhet som i vedertagen mening inte omfattar SKL. Elimineringsdatabasens användning ryms inte heller, såsom Datainspektionen ser på saken, inom de ändamål som anges i 2 kap. 7 och 8 PDL. Mot den bakgrunden, samt för att betona databasens funktion som ett redskap för kvalitetshöjning i den forensiska verksamheten (och inte som en del av den direkta brottsbekämpningen), skulle det kunna vara ändamålsenligt att placera samtliga regler om personuppgiftsbehandlingen vid SKL (dvs. både den forensiska verksamheten i stort och elimineringsdatabasen) i en och samma registerförfattning. Såsom nämnts i inledningen av detta avsnitt anser Datainspektionen att det finns ett behov av att använda en elimineringsdatabas för att stärka upp kvaliteten i den forensiska verksamheten. Även om promemorian på flera ställen lyfter fram elimineringsdatabasens kvalitetssäkrande användningsområde och betonar sitt principiella ställningstagande emot en användning av databasen i den brottsutredande verksamheten, öppnar man ändå, genom utformningen av författningsförslaget, upp för att databasen ska kunna användas för att utreda brott. I sådana fall ska det enligt promemorian krävas särskild betydelse för utredningen, samt att den aktuella DNA-profilen i spårregistret hänför sig till en utredning om brott för vilket är föreskrivet fängelse i fyra år eller mer (förslaget till 4 kap. 6 c andra stycket PDL). På sid. 138-139 i promemorian anges följande (Datainspektionens kursivering): Funktionen med registreringen i elimineringsdatabasen, skulle med den angivna ordningen, ha då glidit över från att handla inte bara om kvalitetssäkring till att också bli brottsutredande. Som vi redan inledningsvis i detta övervägandeavsnitt framhållit har vi tagit principiellt avstånd från en sådan ordning. (angående frågan om man kontinuerligt ska jämföra hela spårregistret mot elimineringsdatabasen) Lagstiftaren har dock inte sett detta som ett tillräckligt skäl, utan har tagit ställning emot att ej misstänktas DNA-profiler används i brottsutredande syfte utanför ett enskilt fall. Samma ställningstagande bör, som vi sagt, göras när Sida 6 av 11

det gäller profiler i elimineringsdatabasen. (angående hur man hanterar DNA-prov som tas av icke misstänkta med stöd av 28 kap. 12 b rättegångsbalken och förbudet mot att jämföra sådana prov med spårregistret) Det kan emellertid finnas enskilda fall där man behöver jämföra ett gammalt spår att det kan tänkas finnas enskilda fall där man behöver jämföra ett gammalt spår mot elimineringsdatabasen, t.ex. om en brottsutredning avseende ett mycket grovt brott öppnas igen och där det kan vara av särskild betydelse att få reda på om en kontaminering föreligger som kan ha lett till en felaktig registrering i det enskilda fallet. (Datainspektionens understrykning) Datainspektionen delar den uppfattning som framkommer i de tre kursiverade styckena ovan. Däremot anser inspektionen inte att det finns skäl att kunna identifiera misstänkta och åstadkomma lagföring med hjälp av en registrering i elimineringsdatabasen, något som utredaren som det får förstås också anser, men där dessa delar synes ha fallit bort i författningsförslaget till 4 kap. 6 c andra stycket PDL (jfr. utformningen av förslaget till 4 kap. 6 c andra stycket PDL med det understrukna avsnittet i föregående stycke). Datainspektionen anser att det är viktigt att det av författningens ordalydelse direkt framgår att SKL (eller någon annan) inte ska ha möjlighet att behandla uppgifter i elimineringsdatabasen i syfte att utreda brott (dvs. utanför det kvalitetssäkrande området i den forensiska verksamheten). För att åstadkomma detta anser inspektionen att promemorians förslag till 4 kap. 6 c andra stycket PDL bör tas bort, alternativt ändras på så sätt att det framgår att en jämförelse endast får ske i syfte att kontrollera om en kontaminering har skett. Ett exempel på en omskrivning av bestämmelsen är följande: Enskilda DNA-profiler i spårregistret får jämföras med profiler i elimineringsdatabasen även i andra fall än som anges i första stycket, om det är av särskild betydelse för att utreda om den DNA-profil som finns i spårregistret är kontaminerad. Om gränserna för användningen av elimineringsdatabasen tydliggörs på detta sätt behövs heller ingen avgränsning till vissa allvarliga brott, utan det kvalitetshöjande syftet kan få genomslag i samtliga fall när det är av särskild betydelse att utreda om ett visst spår i spårregistret har kontaminerats. En sådan lösning skulle också ligga i linje med det resonemang och ställningstagande som lagstiftaren har gjort beträffande DNA-provtagning av icke misstänkta i brottmål (se 28 kap. 12 b rättegångsbalken). För att Sida 7 av 11

säkerställa att de personer som registreras i elimineringsdatabasen ska behandlas på samma som 28:12 b-fallen (dvs. inte kunna identifieras som misstänkta) och att identifiering endast sker när det är nödvändigt för att förbättra kvaliteten i den forensiska verksamheten, anser Datainspektionen att elimineringsdatabasen inte ska få innehålla uppgift om vem en viss DNAprofil avser. Identifieringsuppgifterna bör istället förvaras åtskilda från elimineringsdatabasen och åtkomsten till uppgifterna bör endast ges till ett mycket litet antal särskilt utsedda befattningshavare vid SKL. Mot den bakgrunden anser Datainspektionen att 4 kap. 6 a tredje stycket PDL i promemorians förslag ska tas bort. Hanteringen av överensstämmelser (träffar) Datainspektionen anser också att den väg som promemorian har valt när det gäller hantering av överensstämmelser (träffar) mellan ett nytt brottsplatsspår och en DNA-profil i elimineringsdatabasen innebär en glidning i riktning mot att använda elimineringsdatabasen i den direkta brottsbekämpningen. Utredaren konstaterar att träffar inte bara kan avskrivas som en arbetsrelaterad kontaminering, utan kräver någon form av utredning (spårning). Samtidigt har promemorian på ett övergripande plan, vilket framgår ovan, tagit ställning emot ett användande av elimineringsdatabasen i brottsutredningar. I förslaget till 6 i förordningen om elimineringsdatabasen föreslås att resultatet av en kontaminationsutredning ska redovisas till den som är ansvarig för den utredning som föranlett begäran om DNA-analys i undersökningsärendet. För att helt och fullt kunna säkerställa att ingen som lämnar DNA till elimineringsdatabasen ska kunna identifieras som gärningsman med hjälp av registreringen i elimineringsdatabasen (som i sådant fall i praktiken skulle kunna fungera som ett fjärde DNA-register för brottsbekämpning), behöver det enligt Datainspektionen klarläggas hur de brottsbekämpande myndigheterna och SKL ska agera i samband med överensstämmelser. Det lämpliga ur ett integritetsperspektiv vore enligt inspektionen om det stod klart för alla inblandade att en träff endast ska leda till att det redovisas till den beställande myndigheten att en överensstämmelse med elimineringsdatabasen har skett avseende det aktuella spåret och att något kvalitativt utlåtande i ärendet därför inte kan ges från SKL. Den fortsatta utredningen hos SKL ska endast syfta till att höja den framtida kvaliteten i den forensiska verksamheten vid laboratoriet. Enligt Datainspektionen handlar det i dessa fall inte om att man skyddar personer som har begått brott eller kan misstänkas för brott, utan om att Sida 8 av 11

skapa ett system som ska ges bästa möjliga förutsättningar för att över tiden höja kvaliteten i de utlåtanden som SKL levererar. En viktig del i elimineringsdatabasen kommer att vara de personer som frivilligt lämnar sina DNA-profiler till databasen. Datainspektionen bedömer att fler personer kommer att vilja lämna sitt DNA till elimineringsdatabasen om de känner sig säkra på att registreringen inte kan leda till att de kan identifieras som misstänkta i en brottsutredning med hjälp av en DNA-profil som de har lämnat i egenskap av icke misstänkta (jfr. med DNA-provtagning med stöd av 28 kap. 12 b rättegångsbalken). Sammanfattningsvis anser Datainspektionen att 6 i förslaget till förordning om elimineringsdatabasen bör ändras på så sätt att det görs klart att det enda som får redovisas till förundersökningsledaren är att en träff med en DNA-profil i elimineringsdatabasen har erhållits, samt att träffarna inte får användas för något annat ändamål än att höja kvaliteten i den forensiska verksamheten (vid SKL). Ett förslag på ändring av 6 i förordningen är följande: 6 Om en DNA-profil som tagits fram under utredning av brott överensstämmer med en DNA-profil i elimineringsdatabasen ska en kontamineringsutredning göras. En sådan utredning får endast göras i syfte att höja kvaliteten i den forensiska verksamheten. Till den som är ansvarig för den utredning som har föranlett begäran om DNA-analys i undersökningsärendet får endast redovisas att en överensstämmelse i ärendet har erhållits med en DNA-profil i elimineringsdatabasen. Några uppgifter som kan identifiera en enskild person i elimineringsdatabasen får inte överlämnas. Gallring i elimineringsdatabasen När det gäller frågan om gallring i elimineringsdatabasen har promemorian föreslagit att gallring ska ske när personuppgifterna i databasen inte längre behövs, dock senast ett år efter det att en anställning upphörde eller ett samtycke att ingå i elimineringsdatabasen återkallades (förslaget till 3 förordningen om elimineringsdatabasen). Datainspektionen anser att det med förslaget finns en risk för att registreringar som grundar sig på samtycke kommer att sparas under längre tid än vad som behövs. Anledningen till det är att det finns skäl att anta att personer som en gång lämnat sitt samtycke av olika anledningar kommer att avstå från att aktivt vidta åtgärder för att återta sitt samtycke; särskilt om detta ska göras skriftligen till Rikspolisstyrelsen/Polismyndigheten. För att kunna åstadkomma en gallring som innebär att uppgifter i Sida 9 av 11

elimineringsdatabasen verkligen tas bort när de inte längre behövs, torde SKL behöva ta fram mycket goda rutiner när det gäller att följa upp om de personer som avses i 4 kap. 6 b andra stycket PDL alltjämt behöver vara registrerade i elimineringsdatabasen. Det är också viktigt att sättet för att återkalla ett lämnat samtycke, t.ex. för en person som under en kort period utfört arbetsuppgifter vid SKL, är enkelt och lättillgängligt. Datainspektionen ställer sig också frågande till att gallring ska kunna skjutas upp i upp till ett år efter det att ett samtycke har återkallats. Eftersom en initial registrering i elimineringsdatabasen är helt beroende av ett samtycke från den registrerade (i de fall inte förutsättningar för obligatorisk registrering föreligger) är det mest rimligt och ändamålsenligt att den enskilde när som helst ska kunna återkalla sitt samtycke med den följden att gallring genast sker. Skyddet för den personliga integriteten i samband med att DNA tas och registreras från personer som inte är knutna till polisen eller SKL får enligt Datainspektionen anses väga tyngre än det faktum att vissa forensiska undersökningar kan ta lång tid och att DNA är tidsbeständigt. För det fall man ändå bedömer att det med hänsyn till DNA:s inneboende egenskaper och andra relevanta omständigheter trots allt krävs att gallringen skjuts upp en viss tid efter ett återkallande av samtycket, anser Datainspektionen att den information som ges till de registrerade särskilt ska avse detta faktum. Informationsskyldigheten bör i denna del uttryckligen framgå i författning (jfr. 3 i förslaget till förordning om elimineringsdatabasen). Som en avslutande synpunkt anser Datainspektionen att det göras ett förtydligande i förslaget till 4 kap. 7 a andra stycket PDL i syfte att göra klart vad som gäller avseende gallring för de eventuella befattningshavare vid polisen och SKL som inte omfattas av en skyldighet att lämna DNA till elimineringsdatabasen, men som ändå låter sig registreras; då efter samtycke. Förtydligandet kan lämpligen göras efter ordet laboratorium och kan förslagsvis innehålla följande: och som utgör sådana arbetstagare som avses i 6 b första stycket. Sida 10 av 11

Detta yttrande har beslutats av tf generaldirektören Britt Marie Wester i närvaro av juristerna Jonas Agnvall, Cecilia Bergman och Nicklas Hjertonsson, föredragande. Britt Marie Wester Nicklas Hjertonsson Sida 11 av 11

2025 © DocPlayer.se Sekretesspolicy | Användarvillkor | Kontakta oss