Folkehelseinstituttet har lagret personopplysninger fra kriminalsaker i strid med lovverket, fastslår Personvernnemnda.
Av Truls Petersen i tidsskriftet GENialt
– Personlig synes jeg denne saken er ekstremt viktig. Jeg er overrasket over at den ikke fikk mer oppmerksomhet i mediene, sier Personvernnemndas leder Eva Jarbekk til GENialt.
Vedtaket, som kom i juni, slår fast at Folkehelseinstituttet (FHI) behandler personopplysninger når de gjør DNA-analyser eller rettspatologiske undersøkelser for blant annet politiet. Personopplysningsloven krever at den som behandler og oppbevarer slike opplysninger, enten må ha et selvstendig grunnlag for dette i loven, eller en databehandleravtale med oppdragsgiver som dekker den behandlingen og lagringen som foregår. FHI manglet begge deler, går det fram av Personvernnemndas vedtak. Det må ryddes i disse forholdene innen utgangen av 2013, om nødvendig ved at dataene slettes.
FHI og Kripos må inngå en revidert avtale, og Personvernnemnda gir retningslinjer for hvordan en slik avtale skal utformes. Hovedregelen er at FHI skal slette alle personopplysninger idet et oppdrag er utført, det vil si idet en DNA-profil og en sakkyndigrapport er levert politiet. Kripos kan likevel gi FHI rett til å lagre visse opplysninger videre under forutsetning av at dette presiseres i en ny avtale. Vedtaket angir i hvilke tilfeller lagringsretten kan gis. En grunnregel er at Kripos ikke kan gi videre fullmakter enn de selv har.
Les mer om DNA-analyser på Bioteknologinemndas temasider.
Manglende rutiner
Bakgrunnen for saken er en uenighet mellom Datatilsynet og det tidligere Rettsmedisinsk institutt, som var underlagt Universitetet i Oslo fram til 1. juli 2011. Da ble organisasjonen overtatt av Folkehelseinstituttet, som også arvet diskusjonen med Datatilsynet.
12. november 2010 gjennomførte Datatilsynet en kontroll hos Rettsmedisinsk institutt. I en foreløpig rapport beskrev Datatilsynet «store mangler» ved instituttets internkontrollsystem og informasjonssikkerhet, i tillegg til alvorlige brudd på grunnkrav ved behandling av personopplysninger. Datatilsynet fant at Rettsmedisinsk institutt, som ikke hadde egen arkiveringsrett, likevel hadde lagret personopplysninger av svært sensitiv karakter om frikjente, fornærmede og vitner. Dette arkivet inneholdt dessuten mer enn hva Kripos som oppdragsgiver har rett til å lagre. Datatilsynet krevde at Rettsmedisinsk institutts registre måtte slettes, og at databehandleravtalen måtte revideres.
Datatilsynet fikk tilsendt en revidert databehandleravtale, men mente denne var utilstrekkelig. Etter at Rettsmedisinsk institutt ble en del av Folkehelseinstituttet, fortsatte saken. FHI var enig med Datatilsynet i at avtalen fra 2010 var mangelfull, men uenig med flere punkter i Datatilsynets pålegg. I januar i år sendte FHI en klage på vedtaket til Personvernnemnda, som er et klageorgan for vedtak fattet av Datatilsynet.
Saksdokumentene viser at partene har vært uenige i tolkingen av sentrale prinsipper for FHIs arbeid.
Hensynet til en forsvarlig rettsprosess
Én diskusjon gjaldt pålegget om at FHI skal slette sine opplysninger idet «formålet med oppdraget er oppnådd» eller «oppdraget er utført». Hva betyr det? FHI var uenig med Datatilsynet, og hevdet at oppdraget ikke kan sies å være avsluttet før saken er henlagt eller det foreligger rettskraftig dom.
FHI mente generelt at risikoen for at sensitiv informasjon kan komme på avveie, må veies opp mot hensynet til en forsvarlig rettsprosess. For den som er mistenkt, anklaget eller dømt i en sak, kan vern mot sletting av viktige data ifølge instituttet være like viktig som vern mot oppbevaring. Mistanke om feil, mangler eller forbytting av bevis, eller ny analyseteknologi, kan gjøre det aktuelt å konsultere bevisene på nytt.
Se Folkehelseinstituttets film om DNA-analyser og undersøkelse av biologiske spor i straffesaker
Juridisk gråsone
Definisjonen av når oppdraget er utført, får konsekvenser for hvilken lov som regulerer prosessen. I oppdragsperioden er det straffeprosessloven og påtaleinstruksen som gjelder. Idet oppdraget er utført, gjelder personopplysningsloven. Det er tilsyn med etterlevelse av personopplysningsloven som er Datatilsynets mandat. FHIs argument ville innebære at straffepleieloven bør gjelde til dom er avsagt eller saken er henlagt.
Personvernnemnda støttet Datatilsynet i dette spørsmålet. I saksdokumentene peker imidlertid begge parter på at dette er en juridisk gråsone.
Utvidet lagringsrett
FHI argumenterte videre for at lagringsretten i visse tilfeller bør strekkes lenger enn til dom er avsagt. Instituttet la særlig vekt på hensynet til rettsikkerheten i forbindelse med gjenopptakelsessaker, og pekte på at det i slike saker kan være spesielt relevant å få vurdert bevisene på nytt. I alvorlige saker, slik som mord, gir straffeprosessloven hjemmel til å lagre prøver og analyser etter at dom er avsagt, av hensyn til mulig gjenopptakelse. FHI viste til konkrete saker, som Torgersen-saken, Liland-saken og Birgitte Tengs-saken. Uskyldig dømte kan ifølge instituttet risikere å miste muligheten til å få vurdert bevisene på nytt hvis FHIs grunnlagsmateriale er slettet i mellomtiden. FHI påpekte at oppdrag på vegne av Den rettsmedisinske kommisjon er økende.
Personvernnemndas svar var at det er Kripos som har ansvar for å lagre viktige bevis og dokumenter i en sak. FHI kan imidlertid gis samme lagringsrett som Kripos i en databehandleravtale.
Selvstendig arkivplikt?
FHI pekte også på at de som sakkyndige har plikt til å dokumentere sin virksomhet i et sakarkiv, og påberopte seg en selvstendig arkivplikt etter arkivloven. Her dreide det seg om saksdokumenter som er innhentet og generert under saksbehandlingen, særlig i forbindelse med rettspatologiske undersøkelser og sakkyndighetsarbeid for Den rettsmedisinske kommisjon. Instituttet viste også til hensynet til fremtidig historisk forskning.
Personvernnemnda avviste at FHI har en slik arkivplikt. Vedtaket gir likevel ett unntak. Det dreier seg om lagring av ferdige DNA-profiler i form av en tallkode. På visse vilkår har FHI en selvstendig rett til å lagre slike profiler som de har utarbeidet. Unntaket gjelder utelukkende for å dokumentere egen virksomhet (profilene kan blant annet ikke brukes til forskning). Den som samtykker til å avgi DNA-prøve, skal informeres om at profilen blir lagret på ubestemt tid.
Er DNA-profilen en personopplysning?
Datatilsynet la til grunn at en DNA-profil må regnes som en personopplysning. FHI var uenig, og hevdet at konsekvensen av tilsynets tolkning ville bety at alt biologisk materiale må anses som en personopplysning. Datatilsynets svar på dette var at man må skille mellom det biologiske materialet og opplysninger som utledes av materialet, og at sistnevnte etter omstendighetene uten tvil kan omfattes av personopplysningsbegrepet.
Vedtaket i Personvernnemda viser at nemnda støttet Datatilsynet også på dette punktet.
– Har startet arbeidet
Divisjonsdirektør Bjørn Magne Eggen ved Folkehelseinstituttet sier det var behov for en gjennomgang av rutinene:
– Den prosessen vi har hatt med Datatilsynet og Personvernnemnda har bidratt til avklaring på viktige områder, sier Eggen til GENialt.
– Vi har startet arbeidet med å få på plass de nødvendige databehandleravtalene, i tråd med vedtaket fra Personvernnemnda og pålegg fra Datatilsynet. Avtalene vil omfatte de personopplysningene vi oppbevarer, uansett når disse er fra. Dette innebærer at også sletterutinene vil gjelde tidligere saker, sier Eggen.
Cecilie Rønnevik, fagdirektør i Datatilsynet, sier til GENialt at det er Kripos som har ansvar for at avtalen er i orden, men at de kan komme til å foreta nye kontroller.
—
Omstridt monopol
Ordningen med at kun Folkehelseinstituttet kan gjøre DNA-analyser på oppdrag for politiet, har blitt kritisert. I april 2013 foreslo stortingsrepresentanter fra Høyre at flere aktører skal kunne analysere DNA i straffesaker for å «sikre bedre rettsikkerhet og kvalitet i etterforskning». Forslaget hadde støtte av Fremskrittspartiet og Krf, men forslaget ble ikke vedtatt etter at Arbeiderpartiet, SV og Senterpartiet gikk imot.
