Home

PVN-2013-01 RMI internkontroll og informasjonssikkerhet

Datatilsynets referanse: 
10/01114-40/Cbr

Personvernnemndas avgjørelse av 19. juni 2013 (Eva I E Jarbekk, Arve Føyen, Ørnulf Rasmussen, Gisle Hannemyr, Anne Forus, Ann R Sætnan, Hans Marius Graasvold)

1 Innledning

Personvernnemnda har ved oversendelse fra Datatilsynet mottatt klage på Datatilsynets vedtak om pålegg mot Folkehelseinstituttet vedrørende sletting av personopplysninger fra oppdragsvirksomheten.

2 Saksgang

Datatilsynet gjennomførte en kontroll hos Rettsmedisinsk institutt, Universitetet i Oslo (RMI) den 12. november 2010. Formålet med kontrollen var å undersøke om instituttets behandling av personopplysninger i forbindelse med DNA-analyser og rettspatologiske undersøkelser var i overensstemmelse med personopplysningslovens bestemmelser. Kontrollen fant sted med hjemmel i personopplysningslovens § 42 tredje ledd nr. 3.

Funnene ble beskrevet i en foreløpig kontrollrapport.  Datatilsynet fant mangler ved virksomhetens internkontrollsystem og informasjonssikkerhet. I tillegg fant tilsynet at det forelå brudd på personopplysningslovens grunnkrav ved behandling av personopplysninger. RMI, som oppdragstaker og databehandler, hadde gått ut over de fullmaktene som instituttets oppdragsgivere eller lovgiver har gitt for virksomhetens behandling av personopplysninger.  Manglende etterlevelse av lovens bestemmelser har ført til at store mengder personopplysninger av svært sensitiv karakter blir oppbevart ved instituttet, til tross for at det ikke foreligger rettslig grunnlag for oppbevaringen.

Den 28. mars 2011 ble Universitetet i Oslo, som behandlingsansvarlig for virksomheten ved RMI, varslet om at Datatilsynet ville gi en rekke pålegg vedrørende virksomheten ved instituttet. Disse var i hovedsak knyttet til universitetets ivaretakelse av de systematiske krav til internkontroll og informasjonssikkerhet, og dets plikt til å slette opplysninger som det ikke har rettslig grunnlag for å behandle. Den 13. mai 2011 mottok Datatilsynet universitetets tilsvar til varselet.

Den 18.januar 2012 fattet Datatilsynet vedtak overfor Folkehelseinstituttet, basert på en endelig kontrollrapport. Vedtak ble delvis påklaget av Folkehelseinstituttet i brev av 23. februar 2012. Instituttet klaget konkret på pålegg 2, 3 og 5, vedrørende sletting av personopplysninger fra oppdragsvirksomheten.

Datatilsynet har vært i dialog med Folkehelseinstituttet, Kripos og Politidirektoratet i tiden etter klagen. Formålet har vært å få Folkehelseinstituttet og politiet til å avklare og formalisere ansvarsforholdene for den behandlingen som Folkehelseinstituttet gjør på vegne av politiet, herunder å inngå avtaler som er nødvendige for at instituttet skal kunne behandle opplysningene på deres vegne. Resultatet av dette arbeidet er beskrevet i Politidirektoratets brev til Datatilsynet av 12. november 2012. Datatilsynet kan ikke se at det er iverksatt tiltak som medfører endringer eller klarhet i de faktiske omstendighetene som lå til grunn for tilsynets vedtak.

Saken ble oversendt Personvernnemnda 30.1.2013, som mottok saken 6.2.2013. Klager ble orientert om dette i brev fra nemnda datert 6.2.2013, med frist til uttalelse innen 20.2.2013.

Personvernnemnda mottok en uttalelse fra Folkehelseinstituttet datert 18.2.2013 med ny databehandleravtale med Kripos vedlagt, også den datert 18.2.2013.

Personvernnemnda mottok et brev fra Kripos datert 20.2.2013 (også vedlagt den nye databehandleravtale mellom Folkehelseinstituttet og Kripos) og et brev fra Riksadvokaten, datert 21.2.2013.

Personvernnemnda kontaktet Datatilsynet i brev av 8.3.2013 med spørsmål om den nye databehandleravtalen mellom Kripos og Folkehelseinstituttet medførte at noen av de varslede påleggene bortfaller. Nemnda ba også om en nærmere presisering av hvordan problemstillingen vedrørende biologisk materiale er en del av Datatilsynets vedtak.

Personvernnemnda mottok samme dag, 8.3.2013, et brev fra Datatilsynet datert 5.3.2013, som kommenterer brevene fra Folkehelseinstituttet, Kripos og Riksadvokaten.

Nemnda besluttet å stille noen oppfølgingsspørsmål til Folkehelseinstituttet i brev av 26.3.2013. Brevet ble besvart 15.4.2013. Datatilsynet kommenterte Folkehelseinstituttets svarbrev i brev av 19.4.2013.

Kripos kom med utfyllende opplysninger i saken i brev av 22.5.2013.

3 Faktum

Datatilsynet fattet følgende pålegg etter kontroll hos Folkehelseinstituttet (FHI), rettet mot den rettsmedisinske virksomheten i tidligere Rettsmedisinsk institutt (RMI):

  1. FHI må etablere avtaler med databehandler(e) i samsvar med personopplysningsloven § 15.
  2. FHI må bringe til opphør behandlinger av personopplysninger for personprøver ved DNA analyser som går ut over hva instituttet har rettslig grunnlag for etter straffeprosessloven §§ 158 flg., eller hva som er avtalt med Kripos i databehandleravtale. Opplysninger skal slettes i samsvar med personopplysningsloven § 28. Eventuell avslutning må gjennomføres forsvarlig og i samarbeid med Kripos.
  3. FHI må bringe til opphør behandling av personopplysninger som gjennomføres på vegne av oppdragsgivere (forvaltningsorgan og domstoler) uten avtale etter personopplysningsloven § 15, og hvor instituttet ikke har selvstendig behandlingsgrunnlag. Opplysninger skal slettes i samsvar med personopplysningsloven § 28. Dette med mindre behandlingen reguleres i avtaler i samsvar med personopplysningsloven § 15. Eventuell avslutning må gjennomføres forsvarlig og i samarbeid med oppdragsgiver.
  4. FHI må klargjøre ansvarsforholdene knyttet til helseregisterloven, for behandling av helseopplysninger som finner sted i forbindelse med kimerismetesting. Avklaring av ansvar følger av krav om internkontroll etter helseregisterloven § 17. Dersom det avklares at instituttet ikke er databehandlingsansvarlig må behandlingene opphøre med mindre det etableres avtaler i samsvar med helseregisterloven § 18.
  5. FHI må bringe til opphør lagring av personopplysninger fra rettspatologiske undersøkelser etter at analyseoppdrag er avsluttet. Opplysninger skal slettes i samsvar med personopplysningsloven § 28. Dette med mindre oppbevaringen reguleres gjennom databehandleravtaler. Eventuell avslutning må gjennomføres forsvarlig og i samarbeid med justismyndighetene.

Folkehelseinstituttet har påklaget pålegg nr. 2, 3 og 5.

4 Klagers anførsler

Folkehelseinstituttet er enig med Datatilsynet i at hensynet til personvern må veie tungt når man skal vurdere hvor lenge ulike instanser i rettspleien skal kunne oppbevare informasjon, spor og biologisk materiale i forbindelse med sivile og strafferettslige saker. Generelt er det vanskelig å begrense lagring av sensitive data for å forhindre at data kommer på avveie eller blir brukt til andre formål enn de er tiltenkt. Samtidig må hensynet til en forsvarlig rettsprosess tillegges stor vekt – ikke bare fordi dette er en forutsetning for en moderne rettsstat, men også fordi det er et viktig gode for enkeltindividet. For den som blir mistenkt, anklaget eller dømt for en straffbar handling, kan vern mot sletting av viktige data i saken være like viktig som vern mot oppbevaring av slike data, ikke bare ut fra et menneskerettshensyn, men også ut fra et personvernhensyn. Dette prinsippet gjenspeiles også i lovgivningen hvor det går klart frem at personopplysningsloven ikke gjelder for saker som behandles eller avgjøres i medhold av rettspleielovene.

Men spørsmålet er likevel hvor grensen skal gå mellom disse kryssende hensynene. FHI er enig med Datatilsynet i at Folkehelseinstituttet bare har hjemmel for å oppbevare informasjon, spor og biologisk materiale så lenge en forsvarlig rettspleie krever det. Men på hvilket tidspunkt inntrer dette, og hvilken lov som skal ha forrang mellom personvernloven og rettspleielovene? Er det personvernloven som skal avgjøre når rettspleielovenes hjemmelsområde slutter, eller er det rettspleielovene som skal avgjøre når personvernlovens virkeområde begynner?

Datatilsynet hevder at personvernlovens virkeområde inntrer i det øyeblikket Folkehelseinstituttet leverer fra seg et analysesvar eller en sakkyndig uttalelse. Folkehelseinstituttets oppdragsgivere som forvalter rettspleielovene, hevder at rettspleiens hjemmelsområde tidligst slutter når det foreligger en rettskraftig dom eller henleggelse. Denne uenigheten er grunnen til at Folkehelseinstituttet benytter muligheten til å anke Datatilsynets pålegg inn for Personvernnemnda. Folkehelseinstituttet har ikke selvstendig kompetanse til å avgjøre om det er personvernloven eller de behov som følger av rettspleielovene som skal være førende for instituttets lagringspraksis. Folkehelseinstituttet ønsker ikke å lagre informasjon lengre enn det samfunnet ønsker ut fra et personvernhensyn og har ikke behov for å lagre data lengre enn det oppdragsgiverne ber om. Men Folkehelseinstituttet ønsker heller ikke å slette informasjon som samfunnet og instituttets oppdragsgivere vil at instituttet skal ta vare på ut fra et rettspleiehensyn.

Slik FHI ser det, og slik FHI tolker sine oppdragsgivere, vil det kunne ha negative konsekvenser for rettspleien hvis FHI etterkommer enkelte av Datatilsynets pålegg. Risikoen for at det skal oppstå feil, forbytting og mangler knyttet til bevismateriale, vil øke hvis FHI skal slette data for hver gang FHI leverer fra seg en analyse eller et sakkyndig oppdrag, for deretter å måtte gjenopprette dem ut fra den informasjonen ulike instanser i rettspleien har tatt vare på, når disse ønsker Folkehelseinstituttets assistanse på ny for å avklare tvil som måtte oppstå under rettsprosessen. På samme måte vil uskyldig dømte miste muligheten til å få gjenopptatt sin sak og få revurdert bevismateriale hvis det grunnlagsmaterialet FHI har tatt vare på til nå, er blitt slettet i mellomtiden. En sletting vil også gjøre det vanskelig for den rettsmedisinske kommisjon å vurdere kvaliteten på de sakene kommisjonene er satt til å ta stilling til. Disse konsekvensene er ikke tilstrekkelig utredet, og FHI mener saken ikke kan anses som fullstendig opplyst i og med at verken Riksadvokaten, Kripos eller politiet er formelt sett hørt i saken i tråd med forvaltningslovens § 17.

FHI mener at Datatilsynet i sine vurderinger har lagt for ensidig vekt på behovet for å slette data, og at Datatilsynets ønske om å sikre personvern kan ivaretas på en langt bedre måte ved å iverksette tiltak som sikrer at data blir oppbevart og brukt på en sikker måte.

FHI påklager derfor pålegg nr 2, 3 og 5.

Klager har anført at pålegg nr 2 bestrides fordi det av hensyn til rettspleielovene er nødvendig å ta vare på de elementene av DNA-analysene som trengs for å kunne foreta en sikker personidentifisering inntil det foreligger en rettskraftig dom eller henleggelse. De dataene som oppbevares i selve DNA-registeret er ikke tilstrekkelige til å oppnå dette formålet. Så lenge behandlingen av personopplysninger skjer i tilknytning til oppdrag for politi- og påtalemyndigheten, vil dette være hjemlet i straffeprosessloven og påtaleinstruksen. Det innebærer at de nødvendige opplysningene i hvert enkelt analyseoppdrag må oppbevares så lenge den tilknyttede DNA-profil er registrert i DNA-registeret.

FHI er uenig med Datatilsynet i at en DNA-profil alltid vil være å anse som en personopplysning. En slik lovfortolkning vil kunne ha vidtrekkende konsekvenser fordi det jo i sin ytterste konsekvens vil innebære at alt biologisk materiale som er egnet til å kartlegge DNA, er å anse som en personopplysning. FHI mener at begrepet personopplysning må forbeholdes personopplysninger i tradisjonell forstand.

Ansatte ved Folkehelseinstituttet blir rutinemessig oppnevnt og opptrer som sakkyndig, jf. straffeprosessloven §§ 138 og 237. Folkehelseinstituttet mener at oppdrag som rettsoppnevnt sakkyndig normalt vil være knyttet til de enkelte forutgående analyseoppdrag på vegne av politi- og påtalemyndighet, selv om den sakkyndige oppnevnes av domstolen. FHI mener at det sakkyndige oppdraget er en så integrert del av straffesaken i hele dens utstrekning at straffeprosessloven også hjemler Folkehelseinstituttets behandling av personopplysninger i en sammenhengende periode frem til saken er endelig avsluttet. Dette er også et standpunkt som deles av Riksadvokaten, som også anfører at objektivitetsprinsippet som gjelder for politi og påtalemyndighet også kommer til anvendelse for sakkyndige. Dette forutsetter at personopplysningene kan behandles frem til straffesaken er avsluttet.

Hvilke opplysninger som kan behandles som en del av det sakkyndige oppdraget vil blant annet være betinget av når dette anses som avsluttet. Folkehelseinstituttet mener at Datatilsynet har trukket for snevre rammer rundt hva som omfattes av det sakkyndige oppdraget.

Folkehelseinstituttet vil også peke på at instituttet skal stå til rådighet for Den rettsmedisinske kommisjon, når det er avgitt sakkyndige vurderinger. Dette fremgår av strpl. § 146. Kommisjonen må ha tilgang til det skriftlige materialet som den rettsmedisinske erklæringen bygger på, for å kunne foreta en tilfredsstillende kontroll. Dette er ikke gjennomførbart dersom opplysningene må slettes før saken er ferdig behandlet og avsluttet i rettsapparatet eller hos påtalemyndigheten. Spørsmålet om lagring faller derfor etter FHIs mening utenfor personopplysingsloven, og må avgjøres av oppdragsgiver innenfor politi- og påtalemyndighet.

FHI viser også til brev fra Kripos til Riksadvokaten 19.05.11, hvor det fremgår at Kripos som var oppdragsgiver mener at FHI ikke skal slette opplysninger knyttet til DNA-profiler så lenge de er registrert i DNA-registeret eller er aktuelle i en pågående sak. Samtidig skal ikke FHI som analyseinstitusjon besitte flere opplysninger enn det politiet har juridisk rett til å oppbevare. Dette er imidlertid ikke til hinder for at Kripos av praktiske årsaker kan finne det formålstjenlig å be analyseinstitusjonen om å ta vare på mer informasjon enn det som lagres i DNA-registeret, gitt at dette er nødvendig av hensyn til rettspleielovene og gitt at politiet har lov til å ta vare på det.

FHI er imidlertid enig med Datatilsynet i at det behov for å se nærmere på rutinene for å oppbevare referanseprøver som er avgitt frivillig. De som har avgitt disse prøvene, vil på et hvilket som helst tidspunkt kunne trekke tilbake samtykket og kreve umiddelbar sletting. Konsekvensene av Datatilsynets generelle pålegg om å slette opplysningene, må imidlertid utredes nærmere. I mange tilfeller er det ønskelig for det etterforskningsarbeidet som pågår før saken er endelig avsluttet, å oppbevare resultatene fra slike analyser for å kunne avklare mistanker som måtte oppstå underveis i en rettsprosess. Folkehelseinstituttet mener derfor at analyser fra regulære referanseprøver også bør kunne oppbevares inntil det foreligger henleggelse eller rettskraftig dom – med mindre den enkelte referanseperson krever dem slettet før dette tidspunktet – gitt at det er strafferettslig behov for det. Dette synet deles av Kripos.

Vurderingen av om det foreligger et strafferettslig behov, er det bare politi og påtalemyndighet som kan gjøre. Det kan for eksempel være større behov for å ta vare på prøver fra vitner med særlig tilknytning, fornærmede og pårørende, enn prøver fra personer som man av ulike grunner ønsker å sjekke ut av en sak. Folkehelseinstituttet vil naturligvis følge de vurderinger politi og påtalemyndighet til en hver tid foretar om dette.

For øvrig vil Folkehelseinstituttet også vurdere nøye de mange konstruktive personvernfremmende tiltakene som Kripos omtaler i sitt brev.

Når det gjelder pålegg nr 3, vil dette bli etterkommet delvis. FHI er enig med Datatilsynet i at de oppdragene knyttet til familiegenetikk faller inn under personopplysningsloven. FHI vil derfor etablere databehandleravtaler for de oppdragene seksjon for familiegenetikk utfører for offentlige organer og privatpersoner. Unntak fra dette er oppdrag for domstoler i sivile saker. Slike saker reguleres av tvisteloven og faller derfor innenfor rettspleielovenes og utenfor personopplysningslovens virkeområde.

Pålegg nr 5 påklages. På samme måte som for DNA-analysene mener FHI at man i henhold til rettspleielovene ikke bare har rett til, men også plikt til å oppbevare resultater fra rettspatologiske undersøkelser så lenge det er prosessuelle behov for det. FHI er uenig med Datatilsynet i at personopplysningsloven inntrer det øyeblikket FHI leverer fra seg en analyse eller en sakkyndig uttalelse. Det inntrer tidligst når det foreligger rettskraftig dom, slik også Riksadvokaten hevder i sitt brev. I alvorlige saker, for eksempel mord, gir rettspleielovene hjemmel til å oppbevare rapporter med underliggende dokumentasjon så lenge det kan være aktuelt å kreve saken gjenopptatt. Det vises til Birgitte Tengs-saken, Liland-saken og Torgersen-saken.

Felles for mange av gjenopptakelsesbegjæringene er at det har oppstått tvil om de sakkyndige uttalelsene som ble gitt da dommen ble felt. Slik tvil kan oppstå fordi det kommer til nye momenter i saken, men også fordi kunnskapsutviklingen på de områdene som ligger til grunn for de sakkyndige uttalelsene, har gjort det nødvendig å se den tidligere bevisførselen i et annet lys. Det man tidligere trodde var sikre funn, er ikke lenger så sikre, og det man tidligere ikke kunne påvise, har man kanskje fått en ny test for. Derfor vil det være viktig for rettssikkerheten til dømte i alvorlige straffesaker at alle sakens opplysninger blir tatt vare på så lenge det kan være aktuelt å gjenoppta saken. Dette menneskerettighetshensynet bør etter FHIs mening gå foran menneskerettighetshensynet som ligger til grunn for personopplysningsloven.

I tillegg til dette hensynet, har Folkehelseinstituttet behov for å kunne oppbevare informasjon, spor og biologisk materiale også etter at det foreligger rettskraftig dom eller henleggelse for a kunne oppfylle sitt samfunnsoppdrag for påtalemyndigheten. I mange straffesaker etterspør retten informasjon om hvilke paralleller man kan trekke mellom den aktuelle saken og tidligere saker av samme karakter, eller hvor ofte et fenomen erfaringsmessig forekommer. Slik informasjon er ofte viktig for vurdering av skyldspørsmål, men denne typen spørsmål vil ikke Folkehelseinstituttets sakkyndige kunne besvare uten å ha et arkiv over sitt arbeid med tidligere saker.

Rettspatologi er en høyt spesialisert medisinsk fagdisiplin som krever vedvarende fagutvikling og kvalitetskontroll. På samme måte som for alle andre medisinske fagspesialiteter, er det derfor også ut fra faglige hensyn behov for å ta vare på informasjon om det arbeidet som er utført, slik at dette kan bli systematisert, analysert og gjenstand for læring. I tillegg til at instituttet naturligvis har et selvstendig ansvar for å kunne dokumentere sin virksomhet ovenfor andre som måtte ha behov for og rett til innsyn.

FHI mener også at rettspatologene har plikt til å ta vare på sine nedtegnelser og vurderinger om enkeltpersoner uavhengig av det som følger av rettspleielovene. De har som leger plikt til å føre journal for sitt arbeid. Det vises til helsepersonelloven §§ 39 og 40, jf § 36 og pasientjournalforskriften §§ 8 flg. Det foreligger selvstendig hjemmelsgrunnlag for å oppbevare rettspatologenes nedtegnelser i tillegg til det hjemmelsgrunnlaget som følger av rettspleielovene.

FHI bemerker at Datatilsynets pålegg er gitt med hjemmel i en lov som overlapper hjemmelsgrunnlaget for andre lover. FHI mener at det er et juridisk gråsoneområde mellom personvernloven og rettspleielovene, og at det trengs en klargjøring av grenseflatene mellom disse. Når man skal foreta en slik klargjøring, er det imidlertid nødvendig å vurdere alle konsekvenser – både positive og negative – ved de avgrensningene man gjør. Derfor blir det galt at Datatilsynet skal foreta en lovfortolkning som ensidig tar hensyn til det ene lovområdet.

Hvis FHI skulle bli nødt til å gjennomføre Datatilsynets pålegg slik de nå er formulert, vil dette etter Folkehelseinstituttets mening få store og uforutsigbare konsekvenser for rettspleien. I tillegg til betydelige økonomiske merkostnader vil de praktiske ulempene endringen vil medføre, svekke og ikke styrke personvernet for dem som blir berørt. Datatilsynets pålegg vil i praksis føre til at det vil bli en betydelig flyt av informasjon mellom ulike instanser gjentatte ganger over en lengre tidsperiode. Instituttet er i kontakt med ulike instanser 8-10 ganger i løpet av en rettsprosess før saken er avsluttet. Det innebærer at instituttet vil måtte levere fra seg, slette, motta og gjenopprette informasjon like mange ganger før saken er henlagt eller det foreligger rettskraftig dom.

Dataene knyttet til rettsmedisinske analyser finnes ikke i ett enkelt dokument som kan overføres i sin helhet, men som mange små informasjonsbiter i mange ulike administrative systemer. Rapportene FHI sender over, består av et uttrekk av de elementene som blir regnet som de viktigste for saken slik den fremstår i øyeblikket. Grunnlagsdataene i ubearbeidet form vil være helt uegnet til bruk i rettsapparatet, og derfor er man avhengig av at analyseresultatene blir fortolket og satt inn i en sammenheng, slik de blir når den sakkyndige avgir sine vurderinger.

Hvis man skulle overføre alle disse dataene til den enkelte oppdragsgiver hver gang man avga et prøvesvar, og deretter gjenopprette dem neste gang samme instans eller en annen instans ønsket en utdyping, klargjøring eller revurdering av svaret, ville dette medføre risiko for at enkelte dataelementer på et eller annet tidspunkt ville kunne bli uteglemt slik at dokumentasjonen utilsiktet ble ufullstendig, forvekslet slik at saksgrunnlaget ble forvrengt, ødelagt slik at data ble borte eller lekket slik at data kom på avveie.

Ut fra et personvernhensyn vil det etter Folkehelseinstituttets mening være like viktig å sikre at de dataene som er lagret om en person, er korrekte og fullstendige, som å sikre at de ikke blir lagret unødvendig lenge, så lenge de blir lagret på en trygg måte. FHI kan derfor ikke se at det å gjennomføre Datatilsynets pålegg uten en konsekvensanalyse vil tjene personvernet for de som berøres av dette.

Endelig anfører FHI at det er uenig med Datatilsynet i fortolkningen av arkivloven. I henhold til arkivlovens § 1 har Folkehelseinstituttet plikt til å oppbevare saksdokumenter som er innkommet og generert under saksbehandlingen. FHI mener at instituttet generelt, og instituttets rettsmedisinske virksomhet spesielt, klart faller inn under formålet til arkivloven. Bevaringsplikten fremgår også av forskrift om offentlige arkiv §§ 3-18 flg.

I brev av 15.4.2013 anfører FHI at grunnlaget for oppbevaring av personopplysninger når det gjelder rettspatologi er straffeprosessloven. Det anføres flere alternative behandlingsgrunnlag, herunder at obdusenten/rettspatologen har selvstendig dokumentasjonsplikt, og at det arbeidet som utføres under en obduksjon, inklusive rettsmedisinske obduksjoner, ikke dokumenteres noe annet sted enn den aktuelle avdelingen; dvs. i FHI eller i sykehuset som har utført den rettsmedisinske obduksjonen.

FHIs prinsipale anførsel er at behandling av personopplysninger på vegne av påtalemyndigheten har sitt grunnlag i straffeprosessloven §§ 228, 138 og 237 og påtaleinstruksen kap. 13. Dette er da utenfor personopplysningslovens anvendelsesområde. FHI fremholder at så lenge behandlingen av personopplysninger skjer i tilknytning til oppdrag for politi- og påtalemyndigheten, vil dette være hjemlet i straffeprosessloven og påtaleinstruksen.

Under enhver omstendighet vil rettspatologiske undersøkelser falle utenfor personopplysningslovens anvendelsesområde, jf. personopplysningsloven § 2 nr 1. Rettsmedisinske obduksjoner vil ikke omhandle personopplysninger som kan knyttes til en levende fysisk enkeltperson. Også dette har konsekvenser for vurderinger opp mot personvernopplysningsloven.

Etter FHIs mening må det være de prosessuelle og rettssikkerhetsmessige behov som avgjør når lagringskravet opphører etter straffeprosessloven. Personopplysningslovens virkeområde inntrer først når straffeprosesslovens virkeområde opphører og eventuelt annet behandlingsgrunnlag ikke foreligger.

For at FHI skal kunne utføre sitt samfunnsoppdrag for påtalemyndigheten, trenger instituttet å oppbevare informasjon også etter at den aktuelle saken er rettslig konkludert (rettskraftig dom, ev. henlagt). I mange straffesaker etterspør retten informasjon om hvilke paralleller man kan trekke mellom den aktuelle saken og tidligere saker av samme karakter, eller hvor ofte et fenomen erfaringsmessig forekommer. For å besvare slike spørsmål på en fyllestgjørende måte og ut fra norske forhold, er det arkivet som de rettspatologisk sakkyndige har over arbeidet med tidligere saker, av uvurderlig betydning. Dette erfaringsgrunnlaget blir tillagt betydelig verdi både i arbeid med enkeltsaker og av retten.

Rettspatologi er en høyt spesialisert medisinsk fagdisiplin som krever vedvarende utvikling og kvalitetskontroll. Det er sterke faglige behov for å ta vare på informasjon om det arbeidet som er utført, slik at dette kan bli systematisert, analysert og gjenstand for læring. I tillegg har instituttet et selvstendig ansvar for å dokumentere sin virksomhet overfor andre som måtte ha behov for og rett til innsyn.

En rettsmedisinsk obduksjon utføres på vegne av påtalemyndigheten, og det utarbeides alltid en rapport over funn, vurderinger og konklusjoner. Straffeprosessloven gir ikke bare hjemmel, men også plikt til å oppbevare informasjon. Det innebærer at de nødvendige opplysningene i hvert enkelt oppdrag må oppbevares, inklusive notater, skisser, bilder mv. som ikke inngår i obduksjonsrapporten. Dette gjelder også for personopplysninger som FHI har mottatt og behandlet som en del av det sakkyndige oppdraget, som kopi av pasientjournaler fra tiden før vedkommende døde.

Ansatte ved FHI blir rutinemessig oppnevnt og opptrer som sakkyndig, jf. straffeprosessloven §§ 138 og 237. Et oppdrag som rettsoppnevnt sakkyndig vil normalt alltid være knyttet til det enkelte forutgående oppdrag (rettsmedisinsk obduksjon med sakkyndigrapport) utført av FHI på vegne av politi­ og påtalemyndighet, selv om den sakkyndige oppnevnes av domstolen.

FHI vil også peke på at instituttet skal stå til rådighet for Den rettsmedisinske kommisjon når det er avgitt sakkyndige vurderinger og at sakkyndigrapporter i bl.a. rettspatologi alltid skal sendes til Den rettsmedisinske kommisjon, jf. strpl. § 146. Kommisjonen må ha tilgang til det underlagsmaterialet som den rettsmedisinske sakkyndigrapporten bygger på, for tilfredsstillende å kunne foreta en hensiktsmessig kontroll. Disse spørsmål er også drøftet i NOU 2001:12, «Rettsmedisinsk sakkyndighet i straffesaker». Det legges stor vekt på dokumentasjon, kvalitetssikring og akkreditering. Plikten til å foreta rettslige obduksjoner ble lovfestet allerede i 1751. Den rettsmedisinske kommisjon ble opprettet i 1900. Rettsmedisinere har siden da hatt plikt til å sende inn avskrift av sakkyndigerklæringen, jf . strpl. § 147:

"Enhver som tjenestegjør som sakkyndig i rettsmedisinske spørsmål, skal straks sende den rettsmedisinske kommisjon avskrift av den skriftlige erklæring som han gir retten eller påtalemyndigheten ... "

Dette forutsetter en korresponderende dokumentasjonsplikt hos den sakkyndige. Den rettsmedisinske kommisjon hadde 7883 saker i 2011, jf. Årsmelding for Den rettsmedisinske kommisjon 2011.

Etter at to-instans reformen i rettsapparatet ble innført, kommer saken ofte opp på nytt for lagmannsretten. Forut for ny rettsrunde hender det at rettsmedisineren mottar forespørsel om tilleggsuttalelse med et nytt mandat der spesielle spørsmålsstillinger presiseres. Med slike anmodninger følger ofte mange dokumenter: Avhør, tekniske undersøkelser etc. De nye mandatene besvares skriftlig og presenteres ved behandlingen i lagmannsretten. Alt materiale arkiveres ved FHI. Også ved hovedforhandlingen i lagmannsretten gjør rettsmedisineren notater. Etter at dom er falt, mottas kopi av dommen. Dersom dommen blir kjent ugyldig på grunn av saksbehandlingsfeil, blir det en ny runde med mulighet for nye eller utdypende mandater, besvarelse av disse, notater fra hovedforhandlingen og kopi av den nye dommen. I en slik omfattende sak kan sakarkivet inneholde flere fulle mapper med alle dokumentene som er nevnt ovenfor. Medisinske journaler blir som regel returnert til sykehusene, men man beholder som regel kopi av korte sammenfatninger (epikriser).

Sakarkivet i rettspatologi består av et elektronisk arkiv som går tilbake til 1984, samt et papirarkiv som går tilbake til 1856. Det elektroniske sakarkivet inneholder navn på den undersøkte med personnummer og adresse, instituttets løpenummer, rekvirent og rekvirentens saksnummer. Dersom politiet har vært til stede ved obduksjon eller klinisk rettsmedisinsk undersøkelse, er navnet på polititjenestepersoner angitt. Videre er det oppgitt navnet på den eller de rettsmedisinerne som utførte undersøkelsen.

Den elektroniske rapporten består av sammenfatning og konklusjon samt selve rapporten uten vedlegg. Bildedokumentasjon fra undersøkelsen er i noen tilfeller lagret elektronisk sammen med rapporten.

I det elektroniske arkivet finnes foruten obduksjonsrapporter, klinisk rettsmedisinske undersøkelser, åstedsundersøkelser, rekonstruksjoner og sakkyndige rapporter/erklæringer rekvirert av påtalemyndigheten. Det elektroniske arkivet ligger på en sikker server i et lukket nett. Rettsmedisinerne, sekretærene og utvalgte ingeniører i avdelingen har tilgang.

I papirarkivet oppbevares alle dokumenter i sakene. FHIs oppdragsgivere mottar kun foreløpige obduksjonsrapporter, den endelige obduksjonsrapporten samt skriftlige tilleggsrapporter. De eneste vedleggene er ev. kopi av rettstoksikologisk undersøkelse og av ev. nevropatologisk undersøkelse, dersom hjernen er undersøkt særskilt. Andre underdokumenter vedlegges ikke. Disse finnes kun oppbevart i sakarkivet. Papirarkivet oppbevares i et avlåst rom der kun legene, sekretærene og noen få utvalgte ingeniører har adgang.

Det elektroniske arkivet brukes blant annet til forberedelse av rettssaker. Rettspatologen blir gjerne spurt om hvor hyppig forskjellige skader forekommer og om karakteristiske trekk ved enkelte typiske hendelsesforløp. Eksempler kan være: Hvor ofte ser dere traumatiske subaraknoidalblødninger (voldsfremkalte blødninger i de bløte hjernehinner)? Eller: Hva er typisk hendelsesforløp ved knivstikk som treffer et stort blodkar? Kan den tilskadekomne bevege seg etter knivstikket? Hvor lenge kan han overleve? Hvordan vil handlingsevnen være?

Før en rettssak vil rettspatologen ved hjelp av stikkordsøkning kunne oppdatere seg på denne typen informasjon ved bruk av det elektroniske arkivet. Dette er kodet slik at man kan søke f.eks. på traumatisk subaraknoidalblødning eller på drap med skarp gjenstand.

Ved flere anledninger har det blitt reist straffesak opptil fire år etter at obduksjonen var utført og saken var blitt henlagt. Underlagsdokumentene fantes og finnes kun i sakarkivet. Disse var avgjørende i saken, ettersom mandatet fra politi/påtalemyndighet/retten vil bli presisert som følge av forklaring fra den som er siktet/tiltalt, og fra vitner. Ved gjenopptakelsessaker er problemstillingen den samme: Underlagsdokumentene finnes ikke i oppdragsgivers arkiv og heller ikke i arkivet til Den rettsmedisinske kommisjon.

For forskning og undervisning er sakarkivet uunnværlig. Lærebok i rettsmedisin er den eneste oppdaterte læreboken faget i Norge. Det materialet som finnes i sakarkivet, er svært verdifullt bl.a. for oppdatering av læreboken, selvfølgelig avidentifisert. Rettsmedisinsk institutt har i alle år gjort opp materialer basert på sakarkivet.

Sakarkivet representerer i tillegg en enestående kilde for historisk – medisinsk historisk – og for kriminalhistorisk forsking.

I tillegg til straffeprosesslovens bestemmelser, mener FHI at helsepersonelloven også kommer til anvendelse. Det er riktig at rettspatologi ikke er helsehjelp til levende, men metodisk er det ingen forskjell på en medisinsk obduksjon og en rettsmedisinsk obduksjon.  Begge utføres av medisinsk personell med patologisk ekspertise, og begge undersøkelser skal bidra til å fastslå dødsårsak og årsakssammenhenger.

En medisinsk obduksjon rekvireres av lege av medisinske grunner, jf transplantasjonsloven § 7. Det er ingen tvil om at dette er helsehjelp og at obduksjonsrapporten er å anse som en del av pasientjournalen, jf. blant annet NOU 2011:21, «Når døden tjener livet» (s. 62 og 88).

En rettsmedisinsk obduksjon rekvireres av påtalemyndigheten iht. straffeprosessloven § 228 og påtaleinstruksen kap. 13. Det er her ikke uttrykt samme krav til dokumentasjon og kvalitetskontroll, og saksbehandlingen er ikke nærmere regulert. I gjeldende forskrift om obduksjon er det imidlertid i merknaden til § 2 sagt at selv om forskriften ikke gjelder rettslige obduksjoner, er det ingen ting i veien for at påtalemyndigheten legger prinsippene i obduksjonsforskriften til grunn, så langt disse passer.

Bortsett fra selve hjemmelsgrunnlaget for å begjære utførelse, er det liten faglig forskjell på undersøkelsene. I opp til halvparten av de rettsmedisinske undersøkelsene er dødsårsaken sykdom, og helsetjenesten har behov for å få dette dokumentert i pasientjournalen. Tilsvarende undersøker også sykehuspatologene unaturlige dødsfall hvor det ikke er begjært rettslig obduksjon, men hvor funnene fører til melding til politiet og disse kan gjøre en straffesak aktuell. Det er derfor rimelig at det stilles samme krav til håndtering. NOU 2011:21 foreslår derfor ny obduksjonslov, som også delvis skal gjelde rettsmedisinske obduksjoner.

FHI mener at rettspatologene har dokumentasjonsplikt, og at denne også kan utledes av helsepersonelloven og obduksjonsreglene.

I tillegg til obduksjoner utføres det også kliniske rettsmedisinske undersøkelser av voldsofre og gjerningspersoner, og medisinsk personell bistår ofte politiet ved åstedsundersøkelser i voldssaker. Rettsmedisinske undersøkelser av levende utføres vanligvis av allmennpraktikere, gynekologer og barneleger. Undersøkelse av torturofre er også blitt en disiplin som utføres av både rettsmedisinere og kliniske leger. Selv om dette er undersøkelser som er begjært av påtalemyndigheten, har legen dokumentasjonsplikt etter helselovgivningen, uavhengig av grunnlaget for anmodningen.

FHI har plikt til å oppbevare saksdokumenter som er innkommet og generert under saksbehandlingen, jf. arkivloven § 1. FHI mener FHI generelt, og den rettsmedisinske virksomhet spesielt, klart faller inn under formålet til arkivloven, særlig ettersom FHIs underliggende dokumentasjon ikke finnes andre steder. Bevaringsplikten fremgår også av forskrift om offentlige arkiv §§ 3-18 flg. Unntak kan følge av særlige bestemmelser om sletteplikt i straffeprosessloven. Det er FHIs syn at også sakkyndige oppdragsvirksomhet i utgangspunktet er underlagt arkivplikt.

Når det gjelder saken «S. and Marper vs. UK» - ECHR 1581 2008, så gjaldt dentidsubestemt lagring av DNA-prøver og registrering av DNA-profiler i forbindelse med lovbrudd i Storbritannia. Britisk lovgivning tillot at selv om saken ble henlagt eller tiltalte ble frifunnet, ble ikke DNA-profilene slettet fra registeret, og DNA-prøvene (det biologiske materialet fra personer) lagret på ubestemt tid.

Flertallet av Europarådets medlemsland tillater at det innhentes fingeravtrykk og DNA-prøver i forbindelse med straffesaker, men Storbritannia var det eneste medlemslandet som tillot systematisk og tidsubestemt oppbevaring av slike DNA-profiler og av den avgitte prøven som danner grunnlag for analysen. Det gjaldt for alle som avga prøver, uavhengig av status i straffesaken.

Saken involverte to personer fra Sheffield, England: Mr. S. og Michael Marper. Mr S. ble arrestert i 2001, da han var 11 år. Fingeravtrykk og DNA-prøve ble innhentet. Han ble senere frikjent. Michael Marper ble også arrestert i 2001 og siktet for trakassering av sin partner. Hans fingeravtrykk og DNA-prøver ble tatt. Saken ble senere henlagt da Marper og hans partner ble forlikt før det kom til rettslig behandling.

Menneskerettighetsdomstolen kom til at det å holde DNA-prøver av personer pågrepet, men som senere er frikjent eller anklagene frafalt, var et brudd på retten til privatliv i henhold til den europeiske menneskerettskonvensjonen. Som følge av dette vedtok Storbritannia i 2010 at det biologiske materialet fra en person og som danner grunnlag for en analyse, skal destrueres. Videre er det bestemt at DNA-profilen fra en person som frifinnes eller der saken blir henlagt, skal slettes i DNA-registeret etter seks år.

Denne saken var allerede kjent og aktuell i 2005, og den ble nevnt i NOU 2005: 19, «Lov om DNA­ register til bruk i strafferettspleien». Norge har da også landet på en annen løsning enn hva Storbritannia hadde, og vi lagrer ikke mottatt prøvemateriale fra personer for DNA-profiler. Det biologiske materialet destrueres rutinemessig etter at analysen er utført. DNA-profiler fra personer oppbevares i samsvar med Påtaleinstruksen og databehandleravtalen med KRIPOS. DNA-profiler for fornærmede og referansepersoner (dvs. vitner) blir ikke overført til KRIPOS/DNA-registeret; det har heller ikke vært tillatt i Norge noen gang. Dette er prøver som avgis med samtykke, og analysesvarene blir kun benyttet i den saken samtykket gjelder.

DNA-registeret føres ved KRIPOS, og er bygget opp i tre hoveddeler, jf. påtaleinstruksen kap. 11a:

  • Identitetsregister: Her registreres straffedømte når det foreligger rettskraftig dom mv., og inntil fem år etter den registrerte er død.
  • Etterforskningsregister: Her registreres DNA av den som med skjellig grunn mistenkes for en straffbar handling som etter loven kan medføre frihetsstraff, mv. Frifinnelse eller henleggelse medfører sletteplikt. Domfellelse innebærer overføring til identitetsregisteret, ut fra strafferamme.
  • Sporregister: Her registreres DNA fra ukjent gjerningsperson mv.

Foreliggende databehandleravtale mellom KRIPOS og FHI regulerer blant annet krav til oppbevaring og sletting.

5 Datatilsynets vurdering

FHI gjennomfører ulike oppdrag på vegne av en rekke oppdragsgivere, bade privatpersoner, forvaltningsorganer, politi- og påtalemyndighet og domstoler. Behandlingen omfatter blant annet DNA-analyser og rettspatologiske undersøkelser. Datatilsynet har lagt til grunn at:

  • Folkehelseinstituttet behandler personopplysninger i forbindelse med nevnte virksomhet, og at
  • personopplysningsloven kommer til anvendelse for deler av behandlingen.
  • Folkehelseinstituttet behandler personopplysninger som databehandlere for sine oppdragsgivere, og at
  • Folkehelseinstituttet må svare som behandlingsansvarlig dersom det behandler personopplysninger utover det som med rimelighet kunne sies å være avtalt med oppdragsgiverne på vedtakstidspunktet.
  • Folkehelseinstituttet må ha et rettslig grunnlag for behandlingene, enten i form av databehandleravtaler med oppdragsgiverne (personopplysningslovens § 15) eller i et selvstendig behandlingsgrunnlag som nevnt i personopplysningsloven §§ 8 og 9 (for eksempel hjemmel i lov).
  • Folkehelseinstituttet mangler databehandleravtaler som fullt ut dekker deres behandling av personopplysninger
  • Folkehelseinstituttet mangler selvstendig behandlingsgrunnlag for å oppbevare personopplysninger som er innhentet i forbindelse med eller som stammer fra oppdragsvirksomheten. Det ble lagt til grunn at slik oppbevaring krever hjemmel i lov.

Med bakgrunn i ovennevnte vedtok Datatilsynet at personopplysninger fra oppdragsvirksomheten må slettes eller tilbakeføres til oppdragsgiver, med mindre det inngås databehandleravtaler som gir instituttet et tilfredsstillende rettslig grunnlag for fortsatt behandling av opplysningene. Tilsynet vedtok at det uansett måtte etableres databehandleravtaler for den delen av virksomheten som utvilsomt var omfattet av oppdraget.

Om personopplysningsbegrepet
I klagen anfører Folkehelseinstituttet at en DNA-profil ikke alltid vil være å anse som en personopplysning. Instituttet hevder at resultatet blir at alt biologisk materiale som er egnet til å kartlegge DNA, er å anse som en personopplysning.

Datatilsynet mener at det må skilles mellom det biologiske materialet, og opplysninger som utledes av materialet. Sistnevnte kan etter omstendighetene utvilsomt være omfattet av personopplysningsbegrepet.

En DNA-profil som er utledet av et biologisk materiale er å anse som et entydig identifikasjonsmiddel. Bruken av slike er regulert i personopplysningslovens § 12. Det må derfor kunne legges til grunn at DNA-profiler er ansett å være personopplysninger i personopplysningslovens forstand.

I denne saken er DNA-profilene uansett knyttet til andre opplysninger, både identifiserende opplysninger som navn og fødselsnummer og til opplysninger fra den saken som undersøkelsen springer ut av (for eksempel straffesak og forvaltningssak).

Datatilsynet fastholder således at det inngår personopplysninger i Folkehelseinstituttets behandling.

Om det biologiske materialet
Folkehelseinstituttet oppbevarer omfattende mengder biologiske materiale som stammer fra deres oppdragsvirksomhet, i en eller flere biobanker. Datatilsynet har for denne saken lagt til grunn at personopplysningsloven ikke gjelder for slik behandling. Tilsynet har i den forbindelse lagt avgjørende vekt på Personvernnemndas avgjørelse i sak PVN-2002-8.

Datatilsynet mener imidlertid at rettstilstand en her er uklar. Etter tilsynets vurdering kan det stilles spørsmål ved om ikke menneskerettsloven, jf EMK artikkel 8, pålegger staten en plikt til å lovregulere en så vidt omfattende og systematisk behandling av biologisk materiale som man står overfor her.

Det foreligger i dag to lovverk som særregulerer biobankvirksomhet som sådan, nemlig lov om behandlingsbiobanker og helseforskningslovens bestemmelser om forskningsbiobanker. Disse er ikke anvendelige for biobankene ved Folkehelseinstituttet, jf særlig helseforskningsloven § 2 første ledd og behandlingsbiobankloven §§ 1 og 2.

I henhold til presumpsjonsprinsippet, jf Grunnlovens § 110c, skal norsk lov tolkes slik at den kommer i overensstemmelse med folkeretten. Dette prinsippet kan legges til grunn ved fortolkningen av personopplysningslovens anvendelsesområde, og medføre at loven allikevel gjelder biologisk materiale i den utstrekning det ikke er etablert særlovgivning (eller et av de øvrige unntakene i loven kommer til anvendelse).

Tilsynet gjør oppmerksom på at personopplysningsbegrepet i politiregisterloven (vedtatt, men ikke trådt i kraft) omfatter biologisk materiale såfremt "materialet er analysert eller på annen måte er identifisert", politiregisterloven § 2 jf politiregisterforskriften § 1-2 nr 1.

Den delen av biobanken som FHI har på vegne av politi- og påtalemyndighet blir regulert i politiregisterlovens bestemmelser når forskriften trer i kraft. Biologisk materiale som FHI behandler på vegne av andre oppdragsgivere vil heller ikke for fremtiden være regulert, med mindre man legger til grunn at personopplysningsloven gjelder.

Om forholdet til rettspleielovene og hensynet til en forsvarlig rettspleie
I klagen viser Folkehelseinstituttet til rettspleielovene, og belyser behovet for at ulike instanser innen rettspleien besitter opplysninger og biologisk materiale fra straffesaker og sivile saker.  Folkehelseinstituttet viser også til at personopplysningsloven ikke gjelder for saker som avgjøres i medhold av rettspleielovene, jf personopplysningsforskriften § 1-3, slik at tilsynet ikke har kompetanse til å fatte vedtak i denne saken.

Datatilsynet vil understreke at denne saken angår hvorvidt det utenfor rettspleielovene (og annet eventuelt behandlingsgrunnlag for den behandlingsansvarlige) foreligger et selvstendig behandlingsgrunnlag for analyseinstitusjonen i henhold til personopplysningslovens §§ 8 og 9.

Datatilsynet har derfor heller ikke vurdert rekkevidden av rettspleielovene (eller andre behandlingsgrunnlag) for instituttets oppdragsgivere. Tilsynet har i stedet overlatt til Folkehelseinstituttet og deres oppdragsgivere å identifisere den konkrete grensen gjennom inngåelse av databehandleravtaler som angir omfanget av oppdraget.

Det forhold at personopplysninger oppstår i, eller har inngått i saker som behandles etter rettspleielovene er uansett ikke til hinder for at personopplysningsloven kommer tilanvendelse på den videre behandlingen av opplysningene, slik FHI synes å legge til grunn. I henhold til Personvernnemndas avgjørelse i PVN-2008-02 gjelder unntaket bare frem til dom er falt. Den videre behandlingen reguleres derfor uansett av personopplysningsloven (med mindre det er etablert særlovgivning som nevnt i personopplysningsloven § 5).

Folkehelseinstituttet anfører at det vil kunne få negative konsekvenser for deres oppdragsgivere, dersom instituttet etterkommer tilsynets pålegg om sletting. Til dette vil Datatilsynet bemerke at tilsynets vedtak ikke griper inn i oppdragsgivernes anledning til å instruere Folkehelseinstituttet. Inngåelse av en gyldig databehandleravtale om fortsatt oppbevaring etter at analysen er gjennomført vil medføre at opplysningene allikevel ikke skal slettes i tråd med tilsynets vedtak. Dersom oppdragsgiverne ikke har kompetanse til å inngå avtaler med slikt innhold, må de eventuelt henvende seg til lovgiver og be om at regelverket endres.

Folkehelseinstituttet bestrider at det foreligger et krav om databehandleravtaler ved behandling av personopplysninger etter rettspleielovene. Datatilsynet er enig i at det for enkelte oppdragsgiveres vedkommende kan stilles spørsmål ved om det foreligger en slik plikt.  Uten en formalisert databehandlerrelasjon mellom oppdragsgiverne og FHI står man imidlertid overfor en ren utlevering av sensitive personopplysninger mellom to selvstendige rettssubjekter. Dette kan være i strid med lovbestemt taushetsplikt for oppdragsgiverne. Uten en databehandleravtale kan oppdragstaker uansett ikke vise til rettspleielovene som rettslig grunnlag for sin behandling, og må i stedet kunne vise til et selvstendig behandlingsgrunnlag i personopplysningsloven.

Rekkevidden av databehandleroppdragene
Datatilsynet har for sitt vedtak lagt til grunn at Folkehelseinstituttet er behandlingsansvarlig for enhver behandling som går utover databehandleroppdragene, slik disse er definert i databehandleravtalene. For disse behandlingene må instituttet ha et selvstendig behandlingsgrunnlag etter personopplysningsloven §§ 8 og 9.

Denne sondringen forutsetter i praksis at omfanget av databehandleroppdraget er nærmere definert gjennom en inngått databehandleravtale, jf personopplysningsloven § 15. Under kontrollen fremkom det at FHI ikke kunne legge frem databehandleravtaler med alle sine oppdragsgivere, og at den databehandleravtalen som var inngått med KRIPOS ikke var klar på dette punktet. Avtalen omhandlet verken sletting eller arkivering av personopplysninger.

I mangel av andre holdepunkter la Datatilsynet derfor til grunn at oppdragene må anses å være avsluttet når analysen er gjennomført og resultatet er oversendt oppdragsgiver. Det kunne etter tilsynets vurdering ikke legges grunn at oppdragene omfattet en fortsatt oppbevaring av de aktuelle opplysningene hos RMI. Det ble ved vurderingen tatt hensyn til at slik oppbevaring innebærer et betydelig inngrep i den enkelte registrertes personvern, hvilket skjerper kravet til det rettslige grunnlagets (i dette tilfellet avtalens) klarhet. Datatilsynet tok også med i betraktningen at det kunne stilles spørsmål ved om de ulike oppdragsgiverne hadde rettslig kompetanse til å inngå en avtale som innebærer at opplysningene ikke slettes, og at dette burde avklares av den behandlingsansvarlige.

Med mindre noe annet nå er uttrykkelig avtalt med de behandlingsansvarlige fastholder tilsynet at databehandleroppdraget er oppfylt idet resultatene av prøveundersøkelsen er oversendt oppdragsgiver.

Folkehelseinstituttet har erklært at det vil inngå databehandleravtaler med noen av sine oppdragsgivere, i tråd med Datatilsynets vedtak. Tilsynet har ikke fått fremlagt disse, men legger til grunn at avtalene nå er inngått og tilfredsstiller personopplysningslovens krav til slike. Datatilsynet kjenner ikke til omfanget og rekkevidden av nye avtalene. Det er derfor uklart for tilsynet hvor stor andel av angjeldende opplysninger som fremdeles behandles i Folkehelseinstituttet, uten at det er klart hjemlet i databehandleravtaler.

Slik Datatilsynet ser det er det ikke nødvendig for tilsynsmyndighetene å avklare dette spørsmålet. Det er tilstrekkelig å konstatere at det fremdeles skjer en omfattende oppbevaring av personopplysninger som ikke er eller vil bli hjemlet i en databehandleravtale. Det endelige omfanget avklares gjennom inngåelse av databehandleravtaler, i tråd med Datatilsynets vedtak.

Om Datatilsynets brev av 5.mai 2006 til Folkehelseinstituttet
Folkehelseinstituttet anfører at Datatilsynet tidligere har hatt en annen praksis enn hva som legges til grunn i denne saken.

Instituttet viser til en uttalelse fra tilsynet i 2006, vedrørende rusmiddelanalyser som instituttet gjennomfører på vegne av politi og påtalemyndighet, arbeidsgivere mfl. Opplysningene fra disse analysene inngår i det såkalte SRI-data, hos Folkehelseinstituttet. Tilsynet uttaler om dette at "lagring av slike analyseresultater antas å gå inn under den nevnte unntaksbestemmelsen, som en nødvendig del av analyseoppdraget".

Datatilsynet legger fremdeles dette til grunn som et utgangspunkt, men forutsetter videre at dette bare gjelder iden utstrekning lagringen også er regulert i databehandleravtalen mellom Folkehelseinstituttet og deres oppdragsgivere. Selv om dette ikke følger uttrykkelig av nevnte brev, mener tilsynet at dette er en åpenbar forutsetning som følger av personopplysningsloven §§ 11, jf 8, 9 og 15.

Uavhengig av dette mener tilsynet at det ikke kan se seg bundet av en tidligere uttalelse av veiledende karakter. Spørsmålet om Folkehelseinstituttets eventuelt gode tro er uansett uten betydning ved vurderingen om det foreligger et rettslig grunnlag for den aktuelle behandlingen.

Om sakkyndigvirksomhet som grunnlag for Folkehelseinstituttets oppbevaring av personopplysninger fra oppdragsvirksomheten
Folkehelseinstituttet anfører at deres ansatte rutinemessig blir oppnevnt og opptrer som sakkyndige i henhold til straffeprosesslovens §§ 138 og 237, og derved har et selvstendig behov for å oppbevare opplysninger som er relevante i den forbindelse.

Til dette vil Datatilsynet bemerke at også sakkyndigoppdraget gjennomføres på vegne av en oppdragsgiver. Det er derved oppdragsgiver som har ansvaret for gjennomføringen av oppdraget, herunder å sørge for at de sakkyndige har adgang til de dokumenter og opplysninger som er nødvendig for å opplyse saken for vedkommende. Det forekommer at også andre enn den som har gjort den rettsmedisinske undersøkelsen utnevnes som sakkyndig. Dette forutsetter at opplysningene i saken er tilgjengelige for sakkyndige, uavhengig av om de er ansatt i FHI.  En teoretisk mulighet for at det oppstår et fremtidig sakkyndigoppdrag nettopp for ansatte ved FHI kan etter tilsynets vurdering ikke begrunne at instituttet selv kontrollerer et så vidt omfattende og sensitivt materiale som det her er tale om. Det gjelder selv om muligheten for at det oppstår et slikt oppdrag er relativt stor. En slik ordning medfører en betydelig behandling av overskuddsinformasjon hos FHI, som vanskelig kan anses å være forholdsmessig.

Datatilsynet fastholder at FHI ikke har behandlingsgrunnlag etter personopplysningslovens § 11, jf §§ 8 og 9 til å oppbevare nevnte opplysninger for sakkyndigformål. En slik oppbevaring må eventuelt hjemles i en databehandleravtale med oppdragsgiver.

Om arkivloven som mulig behandlingsgrunnlag for Folkehelseinstituttets oppbevaring av personopplysninger fra oppdragsvirksomheten
I Datatilsynets vedtak ble det lagt til grunn at Folkehelseinstituttet ikke har selvstendig arkivplikt etter arkivloven for personopplysninger som de behandler på vegne av sine oppdragsgivere.

Tilsynet la til grunn som et generelt prinsipp at databehandleravtalen med den behandling sansvarlige uttømmende angir rammene for en databehandlers behandling av personopplysninger, jf personopplysningslovens § 15. Spørsmålet om arkivlovens eventuelle anvendelse må derved løses med bakgrunn i den behandlingsansvarliges forhold.

Folkehelseinstituttet har klaget på dette. Datatilsynet kan imidlertid ikke se at det er anført forhold som medfører endringer i de vurderinger som ligger til grunn for tilsynets vedtak.

Datatilsynet fastholder derved at arkivloven ikke gir behandlingsgrunnlag for Folkehelseinstituttet, til å oppbevare de aktuelle opplysningene etter at oppdraget er avsluttet. Arkivering må eventuelt hjemles i en databehandleravtale med oppdragsgiver.

Om helsepersonelloven som mulig behandlingsgrunnlag for Folkehelseinstituttets
behandling av personopplysninger fra rettspatologiske undersøkelser
I klagen viser FHI til rettspatologiske undersøkelser er å anse som helsehjelp, og derved underlagt helsepersonellets journalplikt etter helsepersonellovens § 40, jf journalforskriftens §§ 8 flg.

Datatilsynet har ingen merknader til dette – Datatilsynet synes ikke å ha vurdert problemstillingen – og opphever vedtaket vedrørende sletting av opplysninger som pålegges journalført etter nevnte regelverk. Tilsynet forutsetter at opplysningene behandles i tråd med helsepersonellovens bestemmelser.

Spørsmål om saksbehandlingsfeil
Folkehelseinstituttet anfører at Datatilsynet ikke har opplyst saken tilstrekkelig, jf forvaltningslovens § 17. Instituttet viser i den forbindelse til at verken Riksadvokaten, KRIPOS eller politiet "formelt er hørt" i denne saken.

Til dette vil Datatilsynet bemerke at tilsynet sendte en kopi av sitt varsel om vedtak til en rekke mottakere, og ba om deres eventuelle merknader til saken. Dette gjaldt også Riksadvokaten, KRIPOS og Politidirektoratet. Tilsynet mottok en rekke uttalelser, blant annet fra Riksadvokaten. Disse ble vurdert før Datatilsynet fattet sitt vedtak. Datatilsynet påstår at det derved har opplyst saken i tråd med kravene i forvaltningslovens § 17, og bestrider at vedtaket er beheftet med en saksbehandlingsfeil.

Eventuelle mangler må uansett anses å være reparert ved den dialogen Datatilsynet har hatt med Politidirektoratet og KRIPOS etter at vedtaket ble truffet, og med foreliggende klagesaksbehandling.

Datatilsynets konklusjon og avsluttende merknader
Datatilsynet kan ikke se at det er fremkommet opplysninger som medfører endringer i tilsynets vedtak, utover det som gjelder opplysninger underlagt journalplikt etter helsepersonelloven § 40. Tilsynet oversender saken til behandling i Personvernnemnda.

Datatilsynet vil bemerke at denne saken belyser behovet for en gjennomgang av ansvarsforhold og behandlingsregler for håndtering av bevis, særlig i forbindelse med straffesaker.

For både forvaltningssaker, sivile saker og straffesaker bør det etter til synets vurdering skje en avklaring og eventuell formalisering av sakkyndiges selvstendige ansvar for behandling av personopplysninger. Det er grunn til å se på om personopplysningsloven er egnet til å ivareta de hensyn som gjør seg gjeldende, eller om det bør etableres særlovgivning.

Datatilsynets ytterligere bemerkninger
Datatilsynet har kommet med ytterligere bemerkninger i brev av 19.4.2013. Tilsynet har merket seg at FHI viser til et «uhjemlet samfunnsoppdrag» for fortsatt behandling av personopplysninger fra straffesaker ut over databehandleroppdraget fra påtalemyndigheten. Tilsynet fastholder at et uhjemlet samfunnsoppdrag ikke tilfredsstiller personopplysningslovens krav til behandlingsgrunnlag for den aktuelle behandlingens art og omfang.

Tilsynet bemerker også at behandling av sensitive personopplysninger er underlagt konsesjonsplikt etter personopplysningsloven og helseregisterloven. Dette gjelder også for etablering av «permanente» forskningsregistre. FHI har ikke konsesjon for angjeldende materiale.

6 Personvernnemndas merknader

Inhabilitet
Personvernnemnda tok først opp spørsmålet om inhabilitet i henhold til forvaltningslovens § 6. Marta Ebbing er ansatt ved Folkehelseinstituttet og fratrådte etter en vurdering av § 6 annet ledd. Hennes vararepresentant Anne Forus er ansatt ved Helsedirektoratet. Nemnda er kommet til at hun ikke er inhabil etter § 6 annet ledd. Tilsvarende gjelder for Gisle Hannemyr som er ansatt ved Universitetet i Oslo.

Innledende bemerkninger
Folkehelseinstituttet uttrykker i brev av 18.2.2013 til Personvernnemnda overraskelse over at Datatilsynet fremmer saken. Nemnda vil påpeke at FHI selv har klaget. Datatilsynet har da en plikt til å oversende saken til klageorganet. Videre finner nemnda det underlig at FHI påstår seg ikke å være part i saken. Enhver som behandler personopplysninger er ansvarlig for å ha et tilstrekkelig rettsgrunnlag for dette, enten i databehandleravtale eller i form av et selvstendig behandlingsgrunnlag.

Saksbehandlingsfeil
FHI har anført at det foreligger saksbehandlingsfeil ved at Riksadvokaten og politiet ikke har vært hørt i saken. Disse aktørene ble varslet under saken, i god tid før avgjørelse ble truffet. De ble bedt om å inngi eventuelle bemerkninger, men besvarte først henvendelsene etter at vedtak var fattet. Vi kan derfor ikke se at Datatilsynet har gjort feil i sin saksbehandling. Skulle varslingen som ble gitt bli ansett som rettslig utilstrekkelig, ser nemnda det likevel slik at en eventuell feil ikke kan ha virket inn på Datatilsynets vedtak, jf analog anvendelse av forvaltningsloven § 41. Under enhver omstendighet har disse aktørers kommentarer foreligget for og vært vurdert av klageorganet. En eventuell feil anses derfor nå som reparert.

Arkivloven
FHI har påberopt seg en selvstendig arkivplikt. Dette berører samtlige vedtak og drøftes derfor innledningsvis.

Personvernnemnda ser det slik at databehandleres arkivplikt vil være avledet av oppdragsgivernes arkivplikt – databehandler må derfor motta og sende fra seg dokumentene til oppdragsgiver, med mindre avtalene går ut på at databehandler skal arkivere på vegne av oppdragsgiver. Etter nemndas syn kan det ikke være en selvstendig arkivplikt for en databehandler som kun skal behandle personopplysninger på vegne av en oppdragsgiver. Den enkelte oppdragsgiver må lagre dette selv, eller inkludere i avtalen en instruks om at FHI skal lagre dokumenter på vegne av behandlingsansvarlig. Når FHI er databehandlere har FHI ingen selvstendig arkivplikt for behandlingsansvarliges dokumenter.

Vedtakets punkt 2
Pålegget lyder:

«FHI må bringe til opphør behandlinger av personopplysninger for personprøver ved DNA analyser som går ut over hva instituttet har rettslig grunnlag for etter straffeprosessloven §§ 158 flg., eller hva som er avtalt med Kripos i databehandleravtale. Opplysninger skal slettes i samsvar med personopplysningsloven § 28. Eventuell avslutning må gjennomføres forsvarlig og i samarbeid med Kripos.»

Nemnda er enig med Datatilsynet i at behandling av personopplysninger krever et rettslig grunnlag og at behandling som ikke har det, skal opphøre og opplysningene slettes. Spørsmålet er da hvilke opplysninger FHI har rettslig grunnlag for å ta vare på og hvilket grunnlag FHI har for å behandle opplysningene, jf personopplysningsloven § 11, jf §§ 8 og 9.

En personopplysning er en opplysning som kan knyttes til en enkeltperson, jf § 2 nr 1. Behandling er enhver bruk av personopplysninger, jf § 2 nr 2.

Nemnda skal ta stilling til det rettslige grunnlaget for Folkehelseinstituttets behandling av personopplysninger i forbindelse med DNA-analyser. Personopplysningsloven § 9 første ledd bokstav b) gir hjemmel for behandling av personopplysninger som er fastsatt i lov. Problemet i denne saken er hvorvidt straffeprosessloven gir hjemmel for den behandling som finner sted hos FHI eller om FHI har en selvstendig hjemmel.

Det virker ikke bestridt at straffeprosessloven § 151 hjemler det engasjement som gis FHI for å foreta de analyser det er tale om i denne saken. For de analyser FHI gjennomfører innenfor rammen for en slik engasjementsavtale er det åpenbart for Personvernnemnda at FHI er å anse som databehandler, jf personopplysningsloven § 2 nr 5. En databehandler er den som behandler personopplysninger på vegne av den behandlingsansvarlige. Den behandlingsansvarlige kan ikke avtale behandling ut over det den behandlingsansvarlige selv har hjemmel for, og databehandler kan ikke behandle personopplysninger på annen måte enn det som er avtalt mellom partene, jf § 15, med mindre det foreligger særskilt behandlingsgrunnlag.

I det foreliggende tilfellet ønsker FHI å oppbevare visse personopplysninger etter at oppdraget er avsluttet. Det rettslige spørsmålet er da om det foreligger et annet behandlingsgrunnlag enn databehandleravtalen for slik oppbevaring og bruk. Personvernnemnda har vurdert om straffeprosesslovens bestemmelser gir et slikt grunnlag. Personvernnemnda ser at straffeprosessloven og påtaleinstruksen regulerer ulike typesituasjoner og skal gjennomgå disse nedenfor.

For de tilfeller hvor påtalemyndigheten selv har hjemmel for videre lagring kan rettsgrunnlag for FHIs lagring etableres gjennom en databehandleravtale.

Problemet knytter seg da til situasjoner hvor lagring ikke kan hjemles gjennom databehandleravtale fordi behandlingsansvarlig ikke har hjemmel for videre oppbevaring. Nærmere bestemt vil dette gjelde situasjoner som definert i påtaleinstruksen kap 11-a.

For det tilfelle at det foreligger samtykke til DNA-test, er det uttrykkelig regulert i straffeprosessloven § 158 annet ledd som lyder:

Hvis den det gjelder samtykker skriftlig, kan det innhentes biologisk materiale med sikte på å gjennomføre DNA-analyse uten hensyn til om det foreligger skjellig grunn til mistanke. Analyseresultatet og det biologiske materialet tilintetgjøres når formålet med undersøkelsen er oppnådd. Analyseinstitusjonen kan likevel oppbevare profilene utelukkende for det formål å dokumentere sin virksomhet.

Det vises også til påtaleinstruksen § 11a-4. Datatilsynet og FHI har ulikt syn på hvilke opplysninger som kan oppbevares i medhold av denne bestemmelsen, og hvorledes opplysningene kan brukes.

Når det gjelder hvilke opplysninger som kan oppbevares, ser nemnda det slik: En naturlig språklig forståelse av ordlyden innebærer at oppbevaringsretten er avgrenset til å gjelde profilene alene. En DNA-profil er definert i påtaleinstruksen §11a-1 som:

Med DNA-profil menes i dette kapittelet resultatet av en analyse av biologisk materiale for å fastslå en persons identitet. DNA-profilen uttrykkes ved en tallkombinasjon. Profiler registrert i DNA-registeret omtales som identitetsprofiler, etterforskningsprofiler og sporprofiler.

Nemnda legger til grunn at begrepet skal forstås på den samme måten ved anvendelsen av straffeprosessloven.

Forarbeidene til endringen av straffeprosessloven § 158, Ot prp nr 89 (2008-2009), omtaler også eksplisitt DNA-profilen. I Ot prp 89 (2008-2009) «Om lov om endringer i tvisteloven m.m. og om samtykke til ratifikasjon av Luganokonvensjonen 2007 om domsmyndighet og om anerkjennelse og fullbyrdelse av dommer i sivile og kommersielle saker» er det uttalt:

9.5 Merknader til endring i straffeprosessloven
Med denne tilføyelsen til lov 22. mai 1981 nr. 25 om rettergangsmåten i straffesaker (straffeprosessloven) § 158 annet ledd modifiseres pålegget om tilintetgjørelse av resultatet av DNA-analysen slik at det samsvarer med det som i dag er teknisk mulig.
Sletteplikten knytter seg bare til DNA-analyser som er innhentet etter samtykke og uten at det foreligger skjellig grunn til mistanke. Pålegget i straffeprosessloven § 158 annet ledd om slik tilintetgjørelse gjelder i praksis bare for politiet som innhenter og Rettsmedisinsk institutt som analyserer det biologiske materialet. Rettsmedisinsk institutt har imidlertid ikke mulighet til å slette DNA-profiler fra de analysemaskinene som instituttet benytter. Maskinene er bevisst konstruert slik at sletting ikke er mulig. Formålet er blant å sikre at ingen kan manipulere analysene og resultatene av disse. Alle personprofiler som DNA-analysen resulterer i, blir derfor lagret hos Rettsmedisinsk institutt uavhengig av hva som skjer videre i saken.
Også laboratoriets akkrediteringsordning forutsetter lagring av prøveresultatet. Akkrediteringsordningen innebærer at analysearbeidet følger en godkjent protokoll for behandlingen av DNA-prøver og sikrer at alle prøver behandles likt. For å sikre mot menneskelige feil og bevisst manipulasjon, må det også kunne dokumenteres i ettertid hvordan analysen er foretatt (sporbarhet). Slik etterkontroll forutsetter at analyseresultatet lagres.
Rettsmedisinsk institutt destruerer det biologiske materialet i samsvar med tilintetgjørelsesplikten.
Lovforslaget samsvarer med påtaleinstruksen § 11 a-4 fjerde ledd som slår fast at analyseinstitusjonen kan oppbevare profilene, men utelukkende for det formål å dokumentere sin virksomhet. I påtaleinstruksen presiseres det i tillegg at opplysningene ikke kan brukes til andre formål. Departementet mener at dette følger av at oppbevaring utelukkende kan skje for dokumentasjonsformål, og finner ikke at det er nødvendig å innta en tilsvarende presisering i loven.

Ordlyd og forarbeider peker etter nemndas oppfatning klart i retning av at oppbevaringsretten er begrenset til selve profilen. Dersom oppbevaringsretten skal omfatte mer enn profilen, måtte det kunne foretas en utvidende tolkning. Nemnda ser at det i det tilsendte materialet, fra FHI og andre, finnes argumenter som taler for en mer omfattende lagring for dokumentasjonsformål. Nemnda ser imidlertid ikke at det foreligger rettskildemessig dekning for å gjøre det i dette tilfellet. Nemnda legger her særlig vekt på at forarbeidene viser at ordlyden er svært konkret begrunnet. Det vises til en datateknisk begrensning i analysemaskinene. En utvidende tolkning ville ha så vidtrekkende og prinsipielle personvernmessige implikasjoner at det må være et spørsmål for lovgiver å etablere en slik rettsnorm, og ikke for et forvaltningsmessig klageorgan. Etter nemndas oppfatning blir det da feil å legge en utvidende tolkning til grunn.

Når det gjelder samtykke vil nemnda videre bemerke at samtykket, for å være gyldig, må være informert. Dette innebærer at samtykkeerklæringen må opplyse om at profilen som avgis ikke vil bli slettet når vedkommende evt. er sjekket ut av saken, men vil bli oppbevart på ubestemt tid for dokumentasjonsformål.

Når det gjelder spørsmålet om bruk av de opplysninger som oppbevares i henhold til § 158 (2) tredje setning, ser nemnda det slik:

Det fremgår klart av lovens ordlyd at eneste lovlige formål er å "dokumentere virksomheten". Dette innebærer blant annet at profilene ikke kan brukes til forskning mv.

Når det gjelder opplysninger som oppbevares i henhold til § 157, jf § 158 (1), ser nemnda det slik:

Med hjemmel i § 158 (1), jf § 157, har Kripos rett til å oppbevare en rekke opplysninger. Analyseinstitusjonen kan ha rett til å behandle de samme opplysningene med hjemmel i en databehandleravtale. Databehandleravtalen kan ikke gi en videre hjemmel enn hva Kripos har rett til etter de nevnte bestemmelser. Dette innebærer at disse opplysninger, inklusive DNA-profilen, må slettes av analyseinstitusjonen når Kripos ikke lenger har hjemmel for å behandle dem. Nemnda vil understreke at oppbevaringsretten i dette tilfellet heller ikke gjelder for dokumentasjonsformål. Det virker noe inkonsekvent at oppbevaringsretten for dokumentasjonsformål ikke skal gjelde når opplysningene er innhentet i henhold til § 157, jf § 158 (1), mens den gjelder for frivillig innhentede opplysninger, jf nemndas vurdering av spørsmålet om utvidende tolkning ovenfor. Problemet består i at lovgiver legger til grunn at det er teknisk umulig å slette frivillig innhentede profiler, mens dette overhodet ikke er nevnt når det gjelder øvrige profiler. I dette tilfellet ville det ikke engang vært tilstrekkelig med en utvidende tolkning, da lovens ordlyd og øvrige rettskilder overhodet ikke angir en oppbevaringsrett. En slik frirettslig konstruksjon av et grunnlag for videre oppbevaring ser nemnda ingen rettskildemessig dekning for. Spørsmålet om oppbevaring av DNA-profiler er så personvernmessig omstridt at det må være et spørsmål for lovgiver å problematisere og ta stilling til.

Hva gjelder inngåtte databehandleravtaler ser nemnda det slik:

Databehandleravtalen kan ikke gi hjemmel for oppbevaring ut over det som følger av loven. Når det gjelder oppbevaring i henhold til § 158 (2) tredje setning foreligger det som nevnt et selvstendig behandlingsgrunnlag for FHI – avgrenset til profilen – forutsatt at dette ikke er begrenset i databehandleravtalen.

Personvernnemnda ser det slik at FHIs oppbevaringsrett som oppdragstaker kan begrenses i databehandleravtalen. Nemnda anser at dette i så tilfelle vil være en avtalemessig innskrenking i en ellers lovfestet rett for FHI. Om FHI på tross av en slik innskrenking likevel velger å utøve sin oppbevaringsrett etter § 158 (2) tredje setning, kan det representere et avtalebrudd overfor oppdragsgiver, men ikke et lovbrudd.

Det følger av det ovennevnte at FHI er databehandler i henhold til databehandleravtalen, og deretter behandlingsansvarlig når profilene lagres for dokumentasjon av virksomheten.

Datatilsynet har særlig påpekt at FHI mangler databehandleravtaler for sin behandling av personopplysninger som gjennomføres på vegne av oppdragsgivere (politi, forvaltningsorgan og domstoler), herunder personopplysninger for personprøver ved DNA-analyser, helseopplysninger i forbindelse med kimerismetesting og personopplysninger fra rettspatologiske undersøkelser. Datatilsynet har lagt til grunn at dersom FHI ikke har avtale etter personopplysningsloven § 15, eller et selvstendig behandlingsgrunnlag, må opplysninger slettes i samsvar med personopplysningsloven § 28.

Personvernnemnda er enig i Datatilsynets resonnement. Databehandleravtaler må inngås med samtlige av Folkehelseinstituttets oppdragsgivere og FHI kan ikke behandle personopplysninger på annen måte enn det som er avtalt. Personopplysninger som ikke er omfattet av databehandleravtaler og som FHI ikke har selvstendig behandlingsgrunnlag for, må slettes.

Når det gjelder det påklagede punkt 2 har nemnda fått tilsendt en revidert databehandleravtale mellom FHI og Kripos. FHI må bringe til opphør behandling av personopplysninger for personprøver ved DNA-analyser som går ut overhva instituttet etter oppdrag fra politiet har rettslig grunnlag for etter straffeprosessloven §§ 158 flg. og hva som er avtalt med Kripos i databehandleravtalen, jf personopplysningsloven § 28. Nemnda vurderer ikke innholdet i den reviderte databehandleravtalen. Personvernnemnda legger til grunn at Datatilsynet foretar en nærmere vurdering av avtalen som førsteinstans.

Vedtakets punkt 3
Pålegget lyder:

«FHI må bringe til opphør behandling av personopplysninger som gjennomføres på vegne av oppdragsgivere (forvaltningsorgan og domstoler) uten avtale etter personopplysningsloven § 15, og hvor instituttet ikke har selvstendig behandlingsgrunnlag. Opplysninger skal slettes i samsvar med personopplysningsloven § 28. Dette med mindre behandlingen reguleres i avtaler i samsvar med personopplysningsloven § 15. Eventuell avslutning må gjennomføres forsvarlig og i samarbeid med oppdragsgiver.»

På samme måte som for påklagede punkt 2, krever oppdrag for andre enn Kripos (forvaltningsorgan og domstolene) også databehandleravtaler mellom FHI og de ulike oppdragsgivere. Klager har anført at slike databehandleravtaler vil bli inngått, men det er ikke dokumentert at det foreligger slike databehandleravtaler. Påleggspunkt nr 3 blir derfor opprettholdt av nemnda.

For så vidt gjelder oppdrag fra domstolene i sivile saker har FHI anført at dette reguleres av tvisteloven og faller derfor innenfor rettspleielovenes og utenfor personopplysningslovens virkeområde. Slik nemnda forstår klager mener klager at det således verken er krav om databehandleravtale eller behandlingsgrunnlag i personopplysningsloven for slike oppdrag. Personvernnemnda er uenig med klager i dette resonnementet. Det er uomtvistelig at domstolene har rettslig grunnlag til å behandle personopplysninger og å be om behandling av slike opplysninger i sivile saker, jf tvisteloven § 25-2. Dette gjelder domstolens egen behandling. Dersom domstolen beslutter å oppnevne en medhjelper eller en sakkyndig som skal behandle personopplysninger for domstolen, må domstolen regulere behandlingen av personopplysninger, enten gjennom en databehandleravtale eller på annen måte. Det vil ikke være et taushetspliktsbrudd for domstolen å utlevere sensitive personopplysninger for analyse uten databehandleravtale. Taushetsplikten suspenderes dersom domstolen har lovhjemmel til å bruke sakkyndig. Domstolen kan således utlevere materiale til for eksempel en psykiater uten å bryte taushetsplikt. De sakkyndige kan utelukkende kommunisere oppdraget til domstolen, ikke for eksempel til pressen. Dette reguleres av lovgivningens taushetspliktsregler og en databehandleravtale kan ikke suspendere taushetsplikt.

Domstolen er delvis særregulert, men ikke unntatt personopplysningslovens regler. Når behandling av personopplysninger settes ut på oppdrag, til en sakkyndig, vil personopplysningsloven utfylle behandlingen, jf § 5. Domstolen har da en plikt til å sørge for en avtale som gjør at disse opplysningene blir håndtert utelukkende innenfor domstolens oppdragsfullmakt, jf personopplysningsloven § 15, med mindre det eksterne organet eventuelt har eget selvstendig behandlingsgrunnlag, og da må det eksterne organet ha et selvstendig behandlingsgrunnlag i personopplysningsloven. Personopplysningsloven § 15 krever kontraktsregulering av oppdrag som innebærer at andre enn den behandlingsansvarlige skal behandle personopplysninger som den behandlingsansvarlige er ansvarlig for. Uten slik avtale kan ikke personopplysningene overlates til noen som ikke er underlagt den behandlingsansvarliges organisasjon- og instruksjonsmyndighet. Databehandleren kan ikke bruke disse dataene på en annen måte enn innenfor oppdragets formål, noe som vil fremgå av kontrakten, for eksempel i en mandatavtale, jf tvisteloven § 25-4. En slik mandatavtale vil for eksempel ikke dekke forskning på dette materialet i etterkant av oppdraget. Dersom oppdragstaker ønsker å benytte materialet til forskning kreves det at oppdragstaker søker om egen konsesjon til slik bruk. Tilsvarende gjelder for den sakkyndiges arbeidsdokumenter. Etterfølgende bruk av slike dokumenter krever et selvstendig behandlingsgrunnlag i personopplysningsloven.

Vedtakets punkt 5
Pålegget lyder:
 
«FHI må bringe til opphør lagring av personopplysninger fra rettspatologiske undersøkelser etter at analyseoppdrag er avsluttet. Opplysninger skal slettes i samsvar med personopplysningsloven § 28. Dette med mindre oppbevaringen reguleres gjennom databehandleravtaler. Eventuell avslutning må gjennomføres forsvarlig og i samarbeid med justismyndighetene.»

Når det gjelder spørsmålet om hvorvidt biologisk materiale er en personopplysning viser Personvernnemnda til sin uttalelse i sak PVN-2002-08, som fremdeles er relevant i dag:

"Etter Personvernnemndas syn, er det også et klart reguleringsbehov for bruk og oppbevaring av biologisk materiale. Et reguleringsbehov er imidlertid ikke tilstrekkelig til å anta at den mest hensiktsmessige regulering av biologisk materiale vil kunne skje innenfor rammene av personopplysningsloven. Personvernnemnda mener det lett kan gis eksempler på at en kvalifikasjon av alt identifiserbart biologisk materiale som personopplysninger vil kunne gi personopplysningsloven et anvendelsesområde som er videre enn ønskelig."
 
Nemnda viser også til Personvernkommisjonens uttalelse, NOU 2009:1, side 46-47:
 
"Humant biologisk materiale, som for eksempel hår, hud eller genprøver, vil i utgangspunktet ikke være personopplysninger, da de ikke gir utrykk for opplysninger om en bestemt person i seg selv. Slike former for data skal altså ikke som sådan behandles som personopplysninger etter loven. Dette har blant annet blitt slått fast av Personvernnemnda i klagesak 2002/8. Informasjon som kan utledes av biologisk materiale vil imidlertid kunne være personinformasjon og dermed falle inn under definisjonen av begrepet personopplysning. Forutsetningen er at informasjonen som kan utledes av dataene kan knyttes til en bestemt person."
 
Nemnda anser dette som uttrykk for gjeldende rett på området. Nemnda ser det slik at det fremdeles foreligger et behov for eksplisitt lovregulering på området.

Personvernnemnda ser det ikke nødvendig å gå nærmere inn på de ulovfestede personvernnormer som beskytter døde personer, men nøyer seg med å legge til grunn at obduksjon kan gi funn som genererer personopplysninger om fysisk levende person og personopplysningsloven kommer således utvilsomt til anvendelse.

Alle analyseoppdrag krever databehandleravtale. Klager har ikke dokumentert at det foreligger slike databehandleravtaler som instruerer FHI til å oppbevare personopplysninger etter at analyseoppdraget er avsluttet. FHI viser til at obdusenten/rettspatologen har selvstendig journalføringsplikt. FHI anfører at dette arbeid faller inn under journalføringsforskriften og helsepersonelloven §§ 39-40. Datatilsynet synes ikke å ha tatt stilling til om det foreligger journalføringsplikt, men lagt dette til grunn uten nærmere vurdering.

Slik nemnda ser det har legen ikke plikt til å føre journal for sitt arbeid med mindre hun/han yter «helsehjelp» i lovens forstand. Helsepersonelloven § 39 pålegger «den som yter helsehjelp» å føre journal. Journalføringsforskriften viser til helsepersonelloven § 3 (3) som definerer «helsehjelp». Spørsmålet er da om rettspatologens arbeid faller inn under definisjonen «helsehjelp», eller om det er et sakkyndigoppdrag som ikke utløser journalføringsplikt. Personvernnemnda kan ikke se at det påberopte rettsgrunnlag, helsepersonelloven § 3, jf §§ 39-40, hjemler journalføringsplikt for rettspatologiske undersøkelser. Forarbeidene tar ikke stilling til spørsmålet.

Det er forskjell på en medisinsk obduksjon og en rettsmedisinsk obduksjon. En rettsmedisinsk obduksjon, jf NOU 2011:21, Når døden tjener livet, pkt 9.1.4.2, gjøres:
 
først og fremst av hensyn til rettssikkerheten, dels for å avklare om døden er forårsaket av en straffbar handling, dels for å sikre eventuelle bevis. Mens en medisinsk obduksjon fokuserer på sykdomsbildet hos avdøde, er formålet med en rettsmedisinsk obduksjon først og fremst å belyse hendelsesforløpet, og da spesielt med hensyn til om ytre påvirkninger kan ha ført til døden eller om dødsfallet skyldes sykdom. I tillegg ønsker man opplysninger om dødstidspunktet.

Personvernnemnda kan heller ikke se at pasientjournalforskriften hjemler en journalføringsplikt ved rettsmedisinsk obduksjon, jf forskrift om pasientjournal § 3, jf § 8. Det gjør heller ikke obduksjonsforskriften, siden denne ikke gjelder ved rettsmedisinske obduksjoner, jf påtaleinstruksen kap 13. Nemnda konkluderer derfor med at FHI ikke har journalføringsplikt, fordi instituttet ikke yter helsehjelp, men kun påtar seg sakkyndigoppdrag. Slike sakkyndigoppdrag medfører at det foreligger en dokumentasjonsplikt, jf helsepersonelloven § 15. Dokumentasjonsplikten vil imidlertid være oppfylt ved å skrive referater og utarbeide sakkyndigrapporter, noe som ikke er en journalføringsplikt.

Oppbevaring av rettspatologiske nedtegnelser på vegne av oppdragsgiver må reguleres i avtale når det ikke er omfattet av journalføringsplikt eller arkivplikt. Påleggspunkt nr 5 blir derfor opprettholdt av nemnda.

Dersom FHI ønsker å oppbevare arkiv for gjenbruk av materiale, slik som notater, arbeidsdokumenter, nedtegnelser og erfaringsarkiv, må FHI søke om egen konsesjon fra Datatilsynet. FHI vil være behandlingsansvarlig for sitt eget materiale. Det vil være naturlig at FHI foretar en grenseoppgang mellom materiale som behandles etter databehandleravtale, hvor det ikke foreligger konsesjonsplikt under utførelsen av sakkyndigoppdraget, jf personopplysningsforskriften § 7-26, og materiale som FHI har eget behandlingsansvar for. Når oppdraget er opphørt, må materialet slettes eller FHI må søke konsesjon for en ny type bruk. Fortsatt lagring og forskning krever konsesjon.

7 Vedtak

Klagen tas ikke til følge. Påleggspunkt 2, 3 og 5 opprettholdes.

Oslo, 19. juni 2013

Eva I E Jarbekk
Leder