rap-integritetsaret-2012

Integritetsåret 2012
80
lagar, lagförslag, beslut och händelser
som påverkade den personliga
integriteten under året

Med den här sammanställningen vill Datainspektionen ge en bild av hur det gångna året
såg ut från integritets synpunkt. Ambitionen är inte att ge en fullständig, heltäckande
beskrivning utan att ta upp ett antal av de viktigaste lagförslagen som kom under året,
beskriva några av Datainspektionens mest uppmärksammade beslut och ge exempel på
några av de händelser som kommit att påverka den personliga integriteten.

Integritetsåret 2012
80 lagar, lagförslag, beslut och händelser
som påverkade den personliga
integriteten under året
Text: Per Lövgren
Form: Fredrik Karlsson
Omslagsfoto: Erica Lindblom / SCANPIX
Foto sidan 7: Björn Larsson Rosvall / SCANPIX
Tryckt hos Ineko, i februari 2013
på Arctic Volume White. Miljömärkt trycksak 341 142.
Datainspektionen
Januari 2013

Innehåll
Året då integritetskränkningar ledde till kravaller
och upplopp . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 8
Kränkningar på nätet . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 10
Upplopp i Göteborg efter sexrykten på nätet .............10
Ytterst få åtal för brott mot personuppgiftslagen ..........11
Sajten Migileaks polisanmäls. . . . . . . . . . . . . . . . . . . . . . . . . . 12
Spred nakenbilder på sina personliga assistenter ...........13
Datainspektionen står maktlös ........................13
Bilfirma hänger ut kunder som klagar ...................14
Bloggande pappa fälld i domstol ......................14
Skadestånd för att ha publicerat dom på webbplats ........15
Facebook och Google . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 16
Europa riktar kritik mot Google .......................16
Den till synes oändliga följetongen: Google Street View .....17
Irritation gör att var tredje vill lämna Facebook ............18
Rekryterare kontrollerar dig på Facebook ................19
Facebook stänger av ansiktsigenkännning ...............19
Polis, åklagare, domstol . . . . . . . . . . . . . . . . . . . . . . . . . . . 21
Polisen hängde ut oskyldig med bild i ett halvår ...........21
Polisen får kritik för Facebook-efterlysning ...............22
Dåliga rutiner för gallring i polisens register ..............22
Polisen brister i sin underrättelseverksamhet ..............23
Rättsväsendet brister i sin hantering av känsliga uppgifter ...24
SKL använder DNA-databas olagligt ....................24
Polisen lagrar för mycket uppgifter från beslagtagna
mobiltelefoner ....................................25
Åklagarmyndigheten hänger ut SOS-sköterska ............26
Gotlands tingsrätt måste sluta publicera namn
på sin webbplats ..................................27
JO: Polisen kan aldrig garantera din anonymitet ...........28
4 Integritetsåret 2012 – Datainspektionen

Butik la upp film med tjuvar på Facebook ................28
Över 800 anmälda fall av stalkning .....................29
Samhället och medborgaren . . . . . . . . . . . . . . . . . . . . . . . 30
Sveriges Radio avslöjas ha hemlig databas ...............30
Färdtjänsten lagrar för mycket om sina resenärer ..........31
Kommuner brister i sin publicering på Internet ............31
Skadestånd för felaktig hantering av hemlig adress ........32
Nej till kameraövervakning i skolor .....................32
Elever kameraövervakas olagligt .......................33
Länsstyrelse måste begränsa tillgången till personuppgifter ..34
Databas för reklamationer får inte användas
som brottsregister .................................35
Bevakningsföretag kan fortsätta registrera klottrare ........36
Nej till företag som vill skapa central klotterdatabas ........36
Samtliga riksdagspartier under granskning ...............37
Jurist gjorde olaglig dataslagning ......................38
Högsta förvaltningsdomstolen gav Datainspektionen rätt ....38
Skadestånd för felskickad deklaration ...................38
Personnummer stals vid dataintrång ....................39
Kreditupplysningar och inkasso . . . . . . . . . . . . . . . . . . . . 40
Kreditupplysningsföretag hittar nya sätt att kringgå lagen ...40
Datainspektionen överklagar dom om kreditupplysningar ....40
Inkassobolag fortsätter skicka otydliga krav ..............41
Elkunder ersätts för dubbla inkassokostnader .............42
Övervakning i arbetslivet . . . . . . . . . . . . . . . . . . . . . . . . . 43
Så får arbetsgivare hantera personuppgifter ..............43
Bussbolag måste sluta kameraövervaka personal ..........44
Fel av butik använda dold kameraövervakning ............45
”Frivilliga” brottsutdrag ökar lavinartat ..................45
Vården, forskningen, patienten och lagen . . . . . . . . . . . . 46
Stor granskning: Svårt för patienter spärra journaluppgifter ..46
Fel av barnklinik spela in alla samtal ....................47
Integritetsåret 2012 – Datainspektionen
5

Brist i journalsystem omöjliggör kontroll .................47
Granskning av hur dementa registreras ..................48
Personuppgifter får inte användas för opreciserad forskning ..48
Kritik mot brister i journalsystem ......................49
Register över vårdpersonal läggs ut på nätet ..............49
Forskningsprojekt dåliga på att informera ................50
Kritik mot KBT-behandlingar på Internet .................51
Sjuksköterska dömd för dataintrång ....................51
Lagar, lagförslag och myndighetsregister . . . . . . . . . . . . 52
Inför straff för att motverka kränkningar ................52
Dåligt utrett förslag till ny lag om händelseanalyser
vid självmord .....................................52
Kritik mot att polisen får tillgång till FRA:s signalspaning ....53
Oacceptabla brister i förslag som ska stärka elevsekretess. . . . 53
Kritik mot mer registrering av arbetssökande .............54
Nej till CSN:s hälsostatistik ...........................55
Lättare kameraövervaka tunnelbanan ...................55
Skarp kritik mot förordning för befolkningsbaserad
forskning ........................................56
Brister i förslag till nytt huliganregister ..................57
Utblick Europa . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 58
EU-kommissionen vill stärka skyddet på nätet .............58
Kommissionen vill använda asylsökandes fingeravtryck ......59
EU-direktiv ska stärka skyddet av personuppgifter
hos polisen .......................................60
Appar, övervakade bilar och andra nya tekniker . . . . . . . 61
Bankernas appar måste bli säkrare .....................61
Försäkringsbolag vill övervaka hur du kör ................61
Granskning av hur socialnämnder använder surfplattor .....62
Bilägare måste informeras om riktad reklam
i parkeringsgarage .................................63
Svensk rädsla för hur personuppgifter hanteras ...........64
Företag som använder molntjänst åtgärdar brister .........65
Ny vägledning ska ge bättre integritetsskydd .............66
6 Integritetsåret 2012 – Datainspektionen

Integritetsåret 2012 – Datainspektionen
”Polisen tvingades kalla in hästar, hundar, piket,
ordningspolis och helikopter efter att hundratals
ungdomar på tisdagen samlats utanför Plusgymnasiet
i Göteborg . Anledningen var att en person
som enligt ett rykte hängt ut framför allt unga
tjejer på Instagram med kränkande kommentarer,
skulle befinna sig på skolan .”
Tidningen Expressen GT den 18 december 2012
7

Året då integritetskränkningar
ledde till kravaller och upplopp
18 december 2012. En hittills okänd person registrerar
ett konto på fotodelningssajten Instagram och publicerar
kränkande texter och bilder på en rad unga tjejer i
Göteborgstrakten. Någon dag senare sprids ett rykte att
personen som skapat kontot ska gå på ett visst gymnasium.
Upplopp bryter ut när flera hundra unga beger sig dit för
att hämnas på personen.
Händelsen får stor uppmärksamhet i massmedia. I en
debattartikel kallas upploppen för ”ett rop på lagstiftning
och en solidarisk reaktion mot kränkning”. Polisen startar
en utredning av händelsen medan andra manar till ökad
vuxennärvaro på nätet.
Det här är bara ett exempel på de kränkningar som blir
allt vanligare på Internet. På Datainspektionen tar vi i
princip dagligen emot samtal från personer som upplever
”
sig kränkta på nätet. I många fall är det
svårt eller omöjligt för oss att hjälpa till.
Det framförs enormt Varför? En artikel i Svenska Dagbladet
grova kränkningar på nätet sammanfattar problematiken på ett bra sätt:
där skribenten hävdar att ”När det gäller förtal och kränkningar
det finns ett journalistiskt på nätet kan det vara svårt att hitta den
ändamål.
ansvarige. Dessutom är det endast i ett fåtal
fall åklagare tar sig an ärendet. En del av
det som skrivs på nätet som kan uppfattas kränkande kan
faktiskt vara tillåtet.”
Det här är femte året i rad som Datainspektionen ger
ut skriften Integritetsåret. Redan andra året, 2009, skrev
jag i mitt förord att vi känner en allt större frustration och
maktlöshet när det gäller de omfattande kränkningarna av
enskilda på nätet. (Aftonbladet tycks ha tagit fasta på mina
farhågor när de under 2012 utnämnde Datainspektionen
till en av de mest maktlösa i Sverige, just på grund av att vi
har så svårt att komma åt nätkränkningar).
Ett närmast märkligt sammanträffande är att
Datainspektionen faktiskt samma dag som upploppen i
8 Integritetsåret 2012 – Datainspektionen

Göteborg skickade in ett yttrande till Justitiedepar-
tementet där vi skriver att det bör införas en straff-
bestämmelse för att motverka grova kränkningar på
bland annat Internet. Även om de stora problemen
inte finns inom det så kallade grundlagsskyddade
området, anser jag att straffbestämmelsen ska vara
generell och gälla överallt, från stora tidningars sajter
till små privatbloggar, och även om syftet uppges vara
journalistiskt. Det framförs enormt grova kränkningar
på nätet där skribenten hävdar att det finns ett
journalistiskt ändamål. Jag tror att en sådan straffbestämmelse
skulle skapa en bättre balans mellan
yttrandefrihet och integritetsskydd.
Även om kränkningar på nätet blir ett allt större
problem, så är det en liten del av Datainspektionens
verksamhetsområde. En känsla för bredden i vårt
uppdrag får du genom att bläddra i den här skriften.
Du kan bland annat läsa om några av de granskningar
vi gjort av polisen under året. En ny polisdatalag
har trätt ikraft och det pågår en intensiv utveckling av
ett antal stora IT-system hos polisen. Tyvärr visar våra
inspektioner att flera polismyndigheter har hanterat
personuppgifter i strid med gällande regler. Efter en
av årets sista granskningar, då vi påträffade i stort sett
samma brister som vid tidigare granskningar, uttryckte
vi oro för att det kan finnas ett metodfel i hur polisen
behandlar personuppgifter inom den särskilt integritetskänsliga
kriminalunderrättelseverksamheten.
Integritetsåret 2012 – Datainspektionen
Göran Gräslund,
Generaldirektör
Januari 2013
9

Januari
n Färdtjänsten i Göteborg
lagrar mycket känsliga
personuppgifter i sitt
verksamhetssystem som
inte behövs för handläggningen.
Dessa uppgifter ska
tas bort från systemet och i
stället arkiveras, konstaterar
Datainspektionen efter sin
granskning.
n ”Alla gör det. Publicerar
listor över vem som har
mest makt i Sverige.
Men vem har egentligen
minst makt?” Det undrar
Aftonbladet och publicerar
i januari en lista över
vad tidningen anser vara
de 100 mest maktlösa i
Sverige. Datainspektionen
kommer in på en mindre
hedrande 51:a plats, dock
efter Caremas anställda
och de vietnamesiska
bärplockarna. Aftonbladet
hänvisar till en debattartikel
där Datainspektionens
generaldirektör uttrycker
maktlöshet när det gäller
att bekämpa kränkningarna
på Internet.
n Ett förslag har lagts
fram för hur sekretessen för
elevuppgifter ska stärkas.
Datainspektionen är kritisk
till att utredningen inte
föreslår något generellt
sekretesskydd för känsliga
Kränkningar på nätet
Upplopp i Göteborg efter
sexrykten på nätet
Polisen tvingades kalla in hästar, hundar, piket,
ordningspolis och helikopter efter att hundratals
ungdomar på tisdagen samlats utanför Plusgymnasiet i
Göteborg. Anledningen var att en person som enligt ett
rykte hängt ut framför allt unga tjejer på Instagram med
kränkande kommentarer, skulle befinna sig på skolan.
Så skriver tidningen Expressen GT den 18 december.
Ett par dagar tidigare hade någon registrerat ett
användarkonto på Instagram, en tjänst för att dela med
sig av foton. Via kontot har sedan unga tjejer hängts ut
med sexuella anspelningar och påståenden, och bilder
stulna från bland annat Facebook och Twitter.
– Det är helt klart en kränkning att försöka skandalisera
andra människor på det här sättet på nätet. Om
Oroligheterna i Göteborg i december fick stor
uppmärksamhet i massmedia .
10 Integritetsåret 2012 – Datainspektionen

man behandlar känsliga uppgifter, som en persons
sexuella aktiviteter, på det här sättet, så kan det vara
straffbart. Och det finns fängelse med på straffskalan,
sa Datainspektionens chefsjurist Hans-Olof Lindblom
till Expressen GT i samband med händelsen.
Det var ett rykte att personen bakom kontot skulle
befinna sig på gymnasiet i Göteborg som ledde till
att flera hundra ungdomar samlats vid skolan. Senare
under dagen hämtades en 17­årig flicka in till förhör av
polisen. 17-åringen är dock inte längre misstänkt för
att ha registrerat kontot och publicerat uppgifterna.
”Inför straff för att motverka kränkningar”
Samma dag som upploppen i Göteborg skriver
Datainspektionen i ett yttrande att myndigheten anser
att det behövs en generell straffbestämmelse som
kriminaliserar grova kränkningar. Läs mer på sidan 52.
Ytterst få åtal för brott mot
personuppgiftslagen
Kränkningar på Internet kan vara fråga om
både ärekränkningsbrott och brott mot personuppgiftslagen.
Åklagarmyndigheten har under åren
2007–2010 registrerat 80–100 misstankar per år om
brott mot personuppgiftslagen, att jämföra med 7 700
registrerade misstankar om ärekränkningsbrott per år.
Under åren 2006–2010 finns det dessutom endast två
registrerade åtal för brott mot personuppgiftslagen.
”Eftersom många ärekränkningsbrott numera
äger rum på Internet kan det antas att ett stort antal
misstankar om brott mot personuppgiftslagen inte
anmäls eller registreras hos varken polisen eller
Åklagarmyndigheten”, skriver myndigheten i en så
kallad rättspromemoria som publiceras i januari 2012.
”En orsak till detta kan vara att en del klagomål ställs
Integritetsåret 2012 – Datainspektionen
11

uppgifter utanför den
särskilda elevstödjande
verksamheten. ”Inom
undervisningen tenderar
mer och mer uppgifter om
elevernas personliga åsikter,
tankar och förmågor
att dokumenteras.
Att sådana uppgifter
saknar sekretesskydd
är oacceptabelt”, säger
Datainspektionens generaldirektör.
n Inför den internationella
dataskyddsdagen
den 28 januari, deltar
Datainspektionens generaldirektör
i två chattar
om nätkränkningar på
webbplatserna för Sveriges
största dagstidningar,
Dagens Nyheter och
Svenska Dagbladet.
n Kränkningar på
Internet kan vara fråga om
både ärekränkningsbrott
och brott mot personuppgiftslagen.
I januari
publicerar Åklagarmyndigheten
en rättspromemoria
om brott mot
personuppgiftslagen. I
den framgår att Åklagarmyndigheten
under åren
2007–2010 har registrerat
80–100 misstankar per
år om brott mot personuppgiftslagen,
att jämföra
med 7 700 registrerade
misstankar om ärekränk-
direkt till Datainspektionen, som sedan gör en första
gallring och därefter i några enstaka fall beslutar att
polisanmäla personuppgiftsbehandlingen. En annan
förklaring kan vara okunskap om regelsystemet hos
dem som blivit utsatta för en kränkande publicering.”
Sajten Migileaks polisanmäls
Datainspektionen tar emot emot klagomål mot sajten
Migileaks som publicerar domar från migrationsdomstolar.
På sajten publiceras i bloggform inlägg om
domar som rör asylsökande. Inläggen består typiskt av
en kortare skriven text och en länk till den inskannade
domen.
Myndigheten granskar sajten och bedömer att den
i stora delar har ett journalistiskt ändamål. Då gäller
inte personuppgiftslagen. Det finns dock uppgifter
publicerade som är av rent privat karaktär och som
därför inte kan anses ha ett journalistiskt syfte. I de
publicerade domarna förekommer känsliga personuppgifter
och uppgifter om lagöverträdelser om
namngivna personer som sökt asyl i Sverige. I de flesta
fall publiceras den asylsökandes personnummer och
adress.
– Att debattera och kritisera den svenska asylprocessen
med hjälp av information från migrationsdomstolar
kan ha ett journalistiskt ändamål men det
finns en gräns för vad man kan publicera på Internet
utan att man behöver ta hänsyn till bestämmelserna
i personuppgiftslagen. I det här fallet har den gränsen
passerats, säger Datainspektionens generaldirektör
Göran Gräslund.
Den ursprungliga Migileaks-sajten har lagts ner
men materialet har tagits över av en annan sajt.
Dessutom publiceras materialet på ytterligare en sajt.
I april polisanmäler Datainspektionen samtliga tre
sajter.
12 Integritetsåret 2012 – Datainspektionen

Datainspektionen står maktlös
”Alla gör det. Publicerar listor över vem som har mest makt i Sverige. Men vem
har egentligen minst makt?” Det undrar Aftonbladet och publicerar i januari en
lista över vad tidningen anser vara de 100 mest maktlösa i Sverige. Datainspektionen
kommer in på en mindre hedrande 51:a plats, dock efter Caremas
anställda, de vietnamesiska
bärplockarna och arbetsförmedlarna.
Aftonbladet
hänvisar till en debattartikel
där Datainspektionens
generaldirektör uttrycker
maktlöshet när det gäller att
bekämpa kränkningarna på
Internet.
Listan i sin helhet hittar du
Enligt Aftonbladet är Datainspektionen
här: http://bit.ly/xmL6KK
en av de 100 mest maktlösa i Sverige .
Spred nakenbilder på
sina personliga assistenter
En 37-årig man döms för grovt förtal efter att
ha publicerat nakenbilder på sina två personliga
assistenter på olika webbsidor. Mannen hade satt upp
en kamera inne på sin toalett och fotograferade en
av sina personliga assistenter där. Han skaffade sig
även åtkomst till den andra kvinnans dator och stal
från den flera nakenbilder som kvinnan hade på sig
själv. Förutom nakenbilder publicerade mannen även
kvinnornas namn, telefonnummer och e-postadress.
Mannen dömdes till 75 timmars samhällstjänst och att
betala sammanlagt 50 000 kronor i skadestånd till de
två kvinnorna.
Integritetsåret 2012 – Datainspektionen
13

ningsbrott per år. Under
åren 2006–2010 finns det
dessutom endast två registrerade
åtal för brott mot
personuppgiftslagen.
n Den 27 januari,
dagen före den internationella
dataskyddsdagen,
presenterar EU-kommissionen
en omfattande
reform av EU:s regler om
dataskydd med syftet att
stärka integritetsskyddet på
Internet. EU-kommissionen
föreslår att en enda lag
införs som kommer att
gälla lika i alla EU-länder
för att på så sätt ”göra sig
av med den nuvarande
fragmenteringen och
kostsamma administrativa
bördor”.
n I slutet av januari
presenterar Datainspektionen
en vägledning för
privacy by design eller
inbyggt integritetsskydd,
som beskriver hur IT-system
bör utformas för att redan
från början uppfylla kraven
i personuppgiftslagen.
Vägledningen kan hämtas
kostnadsfritt på myndighetens
webbplats.
Februari
n Datainspektionen
tar emot klagomål att
Bilfirma hänger ut
kunder som klagar
Datainspektionen granskar efter klagomål en
bilfirma som publicerar uppgifter om kunder som
förlorat tvister mot firman i Allmänna reklamationsnämnden.
Förutom nämndens avgörande publiceras
personernas namn och adress tillsammans med en kort
formulering.
Datainspektionen konstaterar att ett av syftena med
publiceringen har varit att ”hänga ut” de personer som
klagat på bilfirmans tjänster och på så sätt misskreditera
dessa. Publiceringen är därför kränkande mot
de personer som nämns och strider mot personuppgiftslagen.
Att besluten från Allmänna reklamationsnämnden
är allmänna handlingar innebär inte att det
är fritt fram att sprida dem vidare. Webbplatsen är nu
stängd.
Bloggande pappa fälld i domstol
En pappa som har bloggat om sin pågående
vårdnadstvist döms för brott mot personuppgiftslagen.
Datainspektionen har tagit emot
flera klagomål mot bloggen och
konstaterade 2010 att ett par
14 Integritetsåret 2012 – Datainspektionen

av inläggen på den bröt mot personuppgiftslagen.
Mannen hävdade att bloggen har ett journalistiskt
ändamål vilket gör att stora delar av personuppgiftslagen
inte skulle gälla. Datainspektionen ansåg
dock att undantaget för journalistiskt ändamål inte
gäller om uppgifterna som publiceras är av rent privat
karaktär. Inläggen ifråga har tagits bort från bloggen
men åklagare ansåg ändå att det fanns skäl att väcka
åtal för brott mot personuppgiftslagen. Mannen döms i
april 2012 till 50 dagsböter.
Skadestånd för att ha publicerat
dom på webbplats
Efter en tvist i tingsrätten lade en juristbyrå, som
företrätt en av parterna, ut domen på sin webbplats. I
den publicerade domen fanns namn och adress på den
andra parten i tvisten. Personuppgifterna
anonymiserades senare
men motparten väckte talan mot
juristbyrån och yrkade på skadestånd enligt personuppgiftslagen,
skriver tidningen Dagens Juridik.
I tingsrätten dömdes juristbyrån att betala 12 000
kronor i skadestånd. Domen överklagades till
hovrätten som också den ansåg att publiceringen hade
inneburit en kränkning av den personliga integriteten.
Eftersom inga felaktiga uppgifter hade publicerats och
personen inte pekats ut som brottsling sänktes ersättningen
till 4 000 kronor.
Juristbyrån överklagade hovrättens dom och
menade att varken spridning, kränkning eller
skada uppkommit. Även den utpekade mannen har
överklagat och yrkar på ett skadestånd på 12 000
kronor. I slutet av 2012 meddelar Högsta domstolen
prövningstillstånd i tvisten.
Integritetsåret 2012 – Datainspektionen
15

en dagligvarubutik i
Östersund har övervakat
sina anställda och anställda
på ett grannföretag med
dold kamera. Orsaken ska
vara problem med svinn.
Myndighetens granskning
visar att övervakningen
varit olaglig. Kameraövervakning
får bara användas
om de som övervakas har
blivit informerade och
övervakningskameror får
normalt bara sättas upp för
att förebygga brott.
n Post- och Telestyrelsen,
PTS, undersöker
tillsammans med TNS Sifo
hur svenska konsumenter
ser på Internetsäkerhet.
Undersökningen visar att
den största risken med att
använda Internet anses vara
att personuppgifter hamnar
i orätta händer. Var femte
har under det senaste
året också valt att avsluta,
eller inte börja använda,
en tjänst på grund av hur
tjänsten använder personuppgifter.
n Internetsökningar och
att kontrollera sociala
medier som Facebook blir
en allt viktigare källa till
information för dem som
arbetar med rekrytering.
Det visar en undersökning
som Stockholms Handelskammare
och Info-Torg
Facebook och Google
Europa riktar kritik mot Google
Den 1 mars 2012 ändrar Google sin sekretesspolicy och
sina användarvillkor. Ett 60-tal olika sekretesspolicyer
ersätts med en enda som enligt Google är kortare och
lättare att förstå. Syftet ska vara att göra ”upplevelsen
på Google enklare och tydligare”. I princip handlar
ändringen om att information som du tillhandahåller
i en produkt när du är inloggad på ditt Google-konto
kan kombineras med information som du tillhandahåller
i andra Google-produkter.
Bara dagar före Googles nya villkor träder i kraft
skickar CNIL, den franska motsvarigheten till Datainspektionen,
ett brev till Google på de europeiska
dataskyddsmyndigheternas vägnar. I brevet uppmanas
Google att vänta med att införa sina nya villkor.
”CNIL och övriga europeiska dataskyddsmyndigheter
är djupt oroade över hur personuppgifter kan
sammanställas mellan olika tjänster och har starka
tvivel på lagligheten i en sådan behandling och om den
stöder europeisk dataskyddslagstiftning”,
skriver CNIL.
Tisdagen 16 oktober
skickar CNIL ytterligare ett
brev till Google. Brevet är
underskrivet av cheferna för
samtliga dataskyddsmyndigheter
i EU:s 27 medlemsstater
och riktar kritik mot
Googles sätt att hantera
personuppgifter.
I brevet konstateras att
Google inte följer vissa
av EU:s grundläggande
dataskyddsprinciper. Brevet till Google .
16 Integritetsåret 2012 – Datainspektionen

Kritiken mot Google består bland annat av att
företaget inte tillräckligt informerar alla som använder
företagets tjänster om hur deras personuppgifter
kan komma att användas. Företaget ger heller inte
användarna kontroll över hur deras personuppgifter
från olika Google-tjänster samkörs. Dessutom är man
kritisk till att företaget inte vill tala om hur länge
insamlade personuppgifter kommer att sparas.
Europas dataskyddsmyndigheter uppmanar Google
att se över sina integritetsvillkor och i övrigt ta fasta på
de rekommendationer som listas i brevet.
Den till synes oändliga
följetongen: Google Street View
Januari, 2010. Google lanserar gatubildstjänsten Street
View i Sverige.
Maj, 2010. Företaget erkänner att när svenska städer
fotograferades så registrerade företagets kamerabilar
även de trådlösa nätverk som fanns i närheten av bilen.
Dessutom samlades data in från de trådlösa nätverken,
vilket inte var meningen.
Maj, 2010. Google kontaktar Datainspektionen och
säger att företaget av misstag samlade in data från
de trådlösa nätverken och att det nu vill radera dessa
data. Datainspektionen ger sitt godkännande till att
uppgifterna tas bort.
November 2010. På grund av pågående rättsprocesser
i andra länder valde Google att spara svenska data.
Nu ställer företaget igen frågan till Datainspektionen
om de data som samlades in i Sverige kan raderas.
Datainspektionen tillstyrker att dessa data kan, och
bör, raderas.
Juni, 2011. Google meddelar Datainspektionen att
uppgifterna tagits bort.
Integritetsåret 2012 – Datainspektionen
17

publicerar i februari.
Enligt undersökningen
kontrollerar 40 procent av
alla rekryterare kandidater
på Facebook och 37
procent söker information
på nätet.
n I juli 2011 åtalades en
sjuksköterska, som varit
anställd på SOS Alarm, för
vållande till annans död, då
han inte skickade ambulans
när en ung man bad om
hjälp. När sköterskan i
slutet av november 2011
frias, publicerar Åklagarmyndigheten
mannens
namn, personnummer och
adress på sin webbplats.
Kort därefter tar Åklagarmyndigheten
dock bort
uppgifterna. Datainspektionen
konstarerar
att publiceringen var
kränkande, och därmed
otillåten, enligt personuppgiftslagen.
n Datainspektionen
granskar hur ett 50-tal
kommuner på sina
webbplatser publicerar
diarier, protokoll och andra
liknande dokument som
kan innehålla personuppgifter.
Undersökningen
visar att i princip samtliga
kommuner brister i sin
Augusti, 2012. Google har genomfört en inventering
av samtliga hårddiskar som innehållit data från
trådlösa nätverk som samlats in i samband med Street
View-fotograferingen. Företaget upptäckte då 21
hårddiskar med svenska data som inte hade raderats.
Oktober, 2012. Google meddelar att ett oberoende
företag nu raderat samtliga hårddiskar. Följer
fortsättning?
Irritation gör att var tredje
vill lämna Facebook
Enligt Aftonbladet överväger var tredje svensk att
lämna Facebook. Den främsta orsaken? Irritation över
människor som ”publicerar för mycket om allt varje
dag”. Tidningen hänvisar till en undersökning som
en kommunikationsbyrå låtit genomföra där 7 200
personer i åldrarna 18 till 65 år i flera olika länder
svarat på frågor om sociala medier. Men, som tidningen
också säger, det återstår att se hur många som faktiskt
gör slag i saken och raderar sitt Facebook-konto.
Opinion
18 Integritetsåret 2012 – Datainspektionen

Rekryterare kontrollerar
dig på Facebook
Internetsökningar och att kontrollera sociala
medier som Facebook blir en allt viktigare källa till
information för dem som arbetar med rekrytering.
Det visar en undersökning som gjorts av Stockholms
Handelskammare och Info-Torg. Enligt undersökningen
kontrollerar 40 procent av alla rekryterare
kandidater på Facebook och 37 procent söker
information på nätet. ”Det blir allt vanligare att företag
söker information om jobbkandidater på Facebook och
Google. Därmed gäller det att arbetstagare tänker på
vad de lägger ut för information på Facebook”, säger
Johan Treschow vid Stockholms Handelskammare.
Facebook stänger av
ansiktsigenkännning
Opinion
Efter kritik från dataskyddsmyndigheterna i EU har
Facebook stängt av sin kontroversiella funktion för
ansiktsigenkänning i EU. Funktionen använder sig
av information från redan taggade foton och föreslår
sedan taggar på ansikten den känner igen i nya
bilder som laddas upp till Facebook. Den irländska
Integritetsåret 2012 – Datainspektionen
19

publicering. Ofta saknas
instruktioner till de
anställda som beskriver
vilka personuppgifter som
får publiceras, hur länge
uppgifterna ska ligga kvar
på webben, hur känsliga
uppgifter ska maskas och
liknande.
n Bristerna som upptäckts
vid Datainspektionens
granskning av kommuner
gör att myndigheten tar
fram en checklista för
kommuner och landsting
som tar upp de viktigaste
punkterna vid webbpublicering
av protokoll och
diarier. Checklistan kan
hämtas kostnadsfritt på
myndighetens webbplats.
n En utredning har lagt
fram ett förslag att en
särskild lag införs för så
kallade händelseanalyser
vid självmord. Datainspektionen
anser att förslaget
ger utrymme för en
omfattande hantering av
känsliga personuppgifter
utan att behovet av detta
är tillräckligt utrett.
n Datainspektionen
granskar hur Karolinska
sjukhuset använder sitt
journalsystem för så kallad
sammanhållen journalföring,
vilket innebär att
sjukhuset kan utbyta
motsvarigheten till
Datainspektionen
granskade i slutet av
förra året Facebook
och uppmanade
då bland annat att
funktionen för ansiktsigenkänning
skulle
stängas av. I september i år
meddelade den irländska
myndigheten att Facebook
åtgärdat det mesta av kritiken
från förra årets granskning.
Fortfarande kvarstår viss
kritik som att Facebook måste ta fram en funktion
för att fullständigt och oåterkalleligt radera ett
användarkonto inom 40 dagar från att användaren
begärt det.
Opinion
20 Integritetsåret 2012 – Datainspektionen

Polis, åklagare, domstol
Polisen hängde ut oskyldig
med bild i ett halvår
I början av november 2012 noterar Datainspektionen
att Polismyndigheten i Uppsala län har låtit bilder
tagna på en person i anslutning till en bankomat
ligga ute på polisens hemsida (www.polisen.se) under
drygt sex månader. Brottet som personen på bilderna
misstänktes för var ett bedrägeri som hade begåtts i
juli 2011.
Den 14 november kontaktar Datainspektionen
polismyndigheten med ett antal frågor om bildpubliceringen.
Den 15 november tas bilderna bort från polisens
hemsida.
Datainspektionens granskning visar att personen på
bilderna inte hade med brottet att göra och att polisen
dessutom låtit bilderna på honom ligga kvar i mer än
ett halvår efter det att förundersökningen lades ned.
Datainspektionen är kritisk på flera punkter: bilder
på en oskyldig har publicerats eftersom polisen inte har
säkerställt att det rört sig om rätt person och bilderna
har dessutom visats långt efter att polisen blivit
medveten om felet och lång tid efter att utredningen
lagts ned. Brottet som mannen misstänktes för är
inte heller tillräckligt allvarligt för att motivera en
publicering på Internet.
– Att bli oskyldigt uthängd som misstänkt för brott
kan få väldigt negativa konsekvenser för den berörda.
När det är polisen som pekat ut fel person är det
ännu allvarligare, säger Nicklas Hjertonsson som lett
Datainspektionens granskning.
Integritetsåret 2012 – Datainspektionen
21

journaluppgifter med andra
vårdgivare. Granskningen
identifierar ett antal brister i
journalsystemet som strider
mot reglerna i patientdatalagen
och Datainspektionen
förelägger sjukhuset
att återkomma med
en skriftlig plan för hur
bristerna ska åtgärdas.
n I slutet av februari
skickar den franska motsvarigheten
till Datainspektionen,
CNIL, ett brev till
Google å de europeiska
dataskyddsmyndigheternas
vägnar. I brevet uppmanas
Google att vänta med att
införa sina nya användarvillkor
som ska träda ikraft
1 mars. ”CNIL och övriga
europeiska dataskyddsmyndigheter
är djupt oroade
över hur personuppgifter
kan sammanställas mellan
olika tjänster och har starka
tvivel på lagligheten i en
sådan behandling och
om den stöder europeisk
dataskyddslagstiftning”,
skriver CNIL i brevet.
n På skottdagen, 29
februari, meddelar
Datainspektionen att man
granskat polisen i Dalarna
och Västerbotten och där
funnit brister i hur personuppgifter
registreras och
gallras i underrättelseverksamheten.
Polisen får kritik för
Facebook-efterlysning
Under sommaren 2012 efterlyser Södermalmspolisen i
Stockholm tips från allmänheten på sin Facebook-sida.
På sidan finns länkar till polisens webbplats, där bilder
och en film från övervakningskameror publicerats.
Bilderna visade några yngre män som misstänks
vara inblandade i en grov misshandel. Enligt Dagens
Nyheter fick polisens efterlysning på Facebook många
kommentarer. Flera av kommentarerna rörde männens
hudfärg och eventuella ursprung. ”Vi vet inte att de
har begått gärningen, de kanske bara är vittnen, att
då sprida det här genom sociala medier kan få oanade
konsekvenser”, säger Advokatsamfundets Anne
Ramberg till Dagens Nyheter.
2009 lämnade Datainspektionen ett yttrande till Rikspolisstyrelsen
där myndigheten ansåg att polisens Internetpublicering
av bilder på okända gärningsmän endast är
tillåten i undantagsfall, till exempel om det rör sig om
särskilt allvarlig brottslighet eller att personen bedöms
vara farlig för allmänheten.
Dåliga rutiner för gallring
i polisens register
Datainspektionen granskar hur polismyndigheterna
i Dalarna och Västerbottens län hanterar personuppgifter
i sin verksamhet. Vid inspektionerna upptäckts
att ett antal register i polisens underrättelseverksamhet
inte följer gällande lagstiftning.
– Bristerna i kriminalunderrättelseverksamheten
har bland annat bestått i att personer registrerats
i så kallade särskilda undersökningar utan att det
funnits en koppling till allvarlig brottslig verksamhet,
vilket är ett krav enligt polisdatalagen. Dessutom har
22 Integritetsåret 2012 – Datainspektionen

polismyndigheterna haft otillräckliga rutiner när det
gäller gallring av personuppgifter i underrättelseprojekten,
säger Nicklas Hjertonsson som deltagit i
Datainspektionens granskning.
Lagen följs inte i polisens
underrättelseverksamhet
Datainspektionen granskar polismyndigheterna i
Jämtland och Västmanland, och då framför allt hur
personuppgifter hanteras i kriminalunderrättelseverksamheten.
Undersökningen visar på en rad brister hos
de båda polismyndigheterna. Bland bristerna finns:
registrering av personer som inte har koppling till
allvarlig brottslig verksamhet, bristande gallring av
uppgifter som enligt lag ska tas bort och att uppgifter
om personer som inte är misstänkta för brott inte
märks upp i registren på ett tydligt sätt.
– Det är oroande att vi återigen hittat brister i hur
polisen hanterar personuppgifter i den integritetskänsliga
kriminalunderrättelseverksamheten. Att
samma fel påträffas hos flera olika polismyndigheter
tyder på att det kan finnas ett metodfel hos polisen,
säger Nicklas Hjertonsson, jurist på Datainspektionen.
Integritetsåret 2012 – Datainspektionen
23

Mars
n Antalet arbetsgivare
som kräver att en arbetssökande
”frivilligt” ska
visa upp ett utdrag från
Polisens belastningsregister
ökar lavinartat, skriver
tidningen Dagens Juridik i
mars. Tidningen refererar
till statistik från Rikspolisstyrelsen
som visar att
antalet fall där enskilda
begär registerutdrag mer
än fyrdubblades mellan
åren 2003 och 2011, från
40 686 till 176 939. Rikspolisstyrelsen
uppskattar att
runt 90 procent av de som
begär utdrag över sig själva
är arbetssökande.
n En bilfirma har på
sin webbplats publicerat
uppgifter om kunder
som förlorat tvister mot
firman i Allmänna reklamationsnämnden.
Förutom
nämndens avgörande
har firman publicerat
personernas namn och
adress tillsammans med
en kort formulering.
Datainspektionen
konstaterar att firman
gjort fel eftersom ett av
syftena varit att ”hänga
ut” personer som klagat på
bilfirmans tjänster.
Rättsväsendet brister i sin
hantering av känsliga uppgifter
Datainspektionen granskar det elektroniska informationsflöde
som förekommer mellan olika myndigheter
i samband med brottmål. Detta utbyte av information
kallas för rättsväsendets informationsförsörjning (RIF)
och utvecklas i nuläget av Rikspolisstyrelsen, Åklagarmyndigheten,
Domstolsverket, Kriminalvården,
Ekobrottsmyndigheten, Skatteverket och Brottsförebyggande
rådet. RIF införs etappvis och kommer
framöver att omfatta fler myndigheter.
I den information som skickas mellan myndigheterna
förekommer många personuppgifter som ofta
är integritetskänsliga. Datainspektionen har undersökt
om bestämmelserna som ska skydda den personliga
integriteten följs när personuppgifter överförs mellan
myndigheterna som ingår i RIF.
Granskningen visar att myndigheterna som ingår i
RIF-samarbetet inte har gjort någon gemensam analys
av vilka konsekvenser informationsutbytet har för den
enskildes integritet och följaktligen inte heller av hur
skyddet av personuppgifterna ska upprätthållas eller
stärkas. Kunskapen och medvetenheten om de regler
som ska skydda den personliga integriteten har också
varierat mycket mellan myndigheterna.
SKL använder
DNA-databas olagligt
Statens kriminaltekniska laboratorium, SKL, har byggt
upp en så kallad elimineringsdatabas med DNA-prover.
Syftet med databasen är att se om DNA-prover från
brottsplatser har kontaminerats med DNA-spår från
exempelvis brottsplatstekniker eller anställda på SKL.
Databasen innehåller DNA-prover som lämnats
frivilligt från SKL:s personal och besökare vid
SKL. Databasen innehåller även DNA­profiler från
24 Integritetsåret 2012 – Datainspektionen

Polisen lagrar för mycket uppgifter
från beslagtagna mobiltelefoner
Datainspektionen har granskat hur
Länskriminalpolisen i Stockholm
registrerar uppgifter som kommer
från mobiltelefoner som tagits i beslag
i förundersökningar. De
registrerade uppgifterna
kommer från telefoner
som tillhör personer
som är misstänkta
för brott som kan
ge två års fängelse.
I registret finns all
information från den
”tömda” telefonen,
vilket kan vara
sms, samtalsloggar,
adressbok med mera.
Enligt det regelverk
som polisen ska
följa får enbart
uppgifter som rör
misstankar om allvarlig
brottslig verksamhet lagras i
registret. Innan en uppgift sparas
i registret måste polisen pröva om
uppgiften är relevant för undersökningen.
Datainspektionen kan
Integritetsåret 2012 – Datainspektionen
dock konstatera att 98 procent av
uppgifterna i telefonregistret inte har
prövats mot lagens krav, vare sig då de
registrerades eller då registret gallras.
I en mobiltelefon kan
det finnas uppgifter om
många personer som
inte alls är av intresse
för polisen även om
telefonens innehavare
misstänks för
delaktighet i brottslig
verksamhet. Det kan
vara kontaktuppgifter
till släktingar, vänner
och kollegor men
också till kontakter
som är ännu mindre
relaterade till telefonens
innehavare, som namn
och telefonnummer till
tandläkare, barnens lärare
och klasskamrater. Den typen av
uppgifter får inte registreras i polisens
register men gör det alltså.
25

n I mars varnar Skatteverket
för att ett företag
som hanterar uppgifter
från folkbokföringen har
utsatts för dataintrång.
Personnummer för ett
antal personer med
skyddade personuppgifter
har kopierats. ”Jag har
stor förståelse för att man
känner oro om ens personnummer
har kopierats men
det finns inget som tyder
på att namn- eller adressuppgifter
har kommit ut”,
säger säkerhetschefen på
Skatteverket. Myndigheten
varnar dock för att det för
drygt tusen personer kan
vara teoretiskt möjligt att
annan information har
kopierats.
n I mitten av mars riktar
Datainspektionen kritik mot
förslaget att den öppna
polisen ska få tillgång
till FRA:s signalspaning.
Detta eftersom i förslaget
inte tillräckligt utretts
om polisens behov av att
använda signalspaning
väger tyngre än intrånget i
den personliga integriteten.
poliser, servicetekniker, hantverkare och personal
hos vissa leverantörer av produkter som används vid
DNA­profilering.
SKL jämför alla nya DNA­profiler från undersökta
brottsplatsspår med elimineringsdatabasen. Om
en DNA­profil i spårregistret överensstämmer med
en DNA­profil i elimineringsdatabasen sker en
utredning. Om utredningen inte kan visa att det skett
en oavsiktlig kontaminering, överlämnas frågan till
polisens internutredare eller åklagare.
Enligt polisdatalagen får polisen ha tre
DNA­register: utredningsregistret (DNA­profiler från
misstänkta personer), DNA­registret (DNA­profiler
från dömda personer) och spårregistret (DNA­profiler
som inte kan hänföras till en viss person).
I polisdatalagen finns inget stöd för att jämföra
DNA­profiler i spårregistret med de DNA­profiler som
finns i SKL:s elimineringsdatabas. Därför förelägger
Datainspektionen SKL att sluta jämföra DNA­profiler
i elimineringsdatabasen med DNA­profiler i
spår registret.
Efter Datainspektionens konstaterande att
elimineringsdatabasen inte har stöd i lagen tillsätter
regeringen en utredning med uppdrag att ta fram
lagstiftning, och därmed tydliga regler, för en framtida
elimineringsdatabas.
Datainspektionens beslut har överklagats.
Åklagarmyndigheten
hänger ut SOS-sköterska
I juli 2011 åtalades en sjuksköterska, som varit anställd
på SOS Alarm, för vållande till annans död, då han
inte skickade ambulans när en ung man bad om hjälp.
När sköterskan i slutet av november frias, publicerar
Åklagarmyndigheten mannens namn, personnummer
och adress på sin webbplats.
26 Integritetsåret 2012 – Datainspektionen

Datainspektionen granskar Åklagarmyndigheten
och konstaterar att publiceringen av domen med
sjuksköterskans personuppgifter var kränkande och
därmed otillåten enligt personuppgiftslagen. Om man
publicerar personuppgifter med ett journalistiskt syfte
för att informera eller debattera samhällsfrågor, finns
ett undantag som gör att stora delar av personuppgiftslagen
inte gäller. Datainspektionen anser dock
att det inte kan vara fråga om något journalistiskt
ändamål i det här fallet eftersom det är en myndighet
som publicerat uppgifterna.
Gotlands tingsrätt måste sluta
publicera namn på sin webbplats
Gotlands tingsrätt har på sin webbplats publicerat så
kallade uppropslistor som innehåller namn på parter i
mål och ärenden. Datainspektionen konstaterar att det
är kränkande i personuppgiftslagens mening.
– Eftersom uppgifter på Internet kan få en så stor
och snabb spridning krävs det en särskild försiktighet
när personuppgifter publiceras på Internet. I detta
fall har bland annat uppgifter om personer som är
brottsmisstänkta men inte dömda publicerats. Det är
uppenbart att det kan orsaka de berörda stort obehag
att sådana uppgifter sprids, säger Datainspektionens
generaldirektör Göran Gräslund.
Tingsrätten har åberopat offentlighetsprincipen som
stöd för sin publicering.
– Men att en handling är allmän och inte omfattas
av sekretess innebär inte att det per automatik är fritt
fram att publicera den på nätet.
Datainspektionens beslut är överklagat.
Integritetsåret 2012 – Datainspektionen
27

n Efter att ha granskat
de största kreditupplysningsföretagen
uppmanar
Datainspektionen
regeringen att snabbt
täppa till den lucka i lagen
som gör att företagen
fortfarande kan lämna
ut kreditupplysningar på
nätet utan att det finns ett
legitimt behov och utan att
informera personen som
upplysningen gäller.
n EU-kommissionen lade
i januari fram ett förslag till
ny dataskyddslagstiftning.
I mars kommenterar
Datainspektionen förslaget
och tycker det är positivt
att skyddet för den
personliga integriteten
stärks. Samtidigt efterlyser
myndigheten förenklade
regler när personuppgifter
publiceras i löpande text,
på till exempel webbsidor.
n Datainspektionen
riktar kritik mot förslaget
att Arbetsförmedlingen
ska registrera uppgifter
om i vilken utsträckning
arbetslösa söker jobb.
Detta eftersom förslaget
medför att känsliga personuppgifter
som inte behövs
kan komma att samlas in.
n 2008 beslutade
Datainspektionen att två
gymnasieskolor skulle
JO: Polisen kan aldrig
garantera din anonymitet
Justitieombudsmannen (JO) är kritisk till att polisen
på sin webbplats använder formuleringar som ”du
kan vara anonym om du vill”. Detta eftersom polisen
inte kan garantera uppgiftslämnarens anonymitet.
”I polisens fall råder en långtgående dokumentationsplikt.
Bland annat gäller att personuppgifter om
målsäganden och vittnen ska antecknas i förundersökningsmaterialet.
Detta kan inkludera sådant som
den som lämnar ett tips kanske inte tänker på att
polisen kan uppmärksamma, till exempel numret till
den telefon varifrån en uppgiftslämnare
ringer”, skriver JO
i sitt beslut. JO varnar för
att formuleringarna på
polisens webbplats bäddar
för situationer där enskilda
”kan ha anledning att
känna sig svikna” och
vill att polisen ser över
texterna.
Butik la upp film
med tjuvar på Facebook
Efter att ha fått datorer för nästan 50 000 kronor
stulna, lade ett gotländskt företag ut en film från
sin övervakningskamera på Facebook. På filmen ser
man de tre misstänkta datortjuvarna tillsammans
med texten ”Känner någon igen dessa tre herrar?” De
misstänkta tjuvarna greps samma kväll av polisen.
Enligt Gotlands Allehanda förekommer även andra
kunder på filmen. Företaget i fråga tog bort filmen
från sin Facebook-sida efter att männen gripits.
Företagets chef berättar för tidningen att det var
lång telefonkö till polisen och att han därför la upp
28 Integritetsåret 2012 – Datainspektionen

filmen på Facebook för att se om det fick någon effekt.
”Diskuterade ni om det var lagligt att lägga ut bilder
från övervakningskameran på nätet”, frågar tidningens
journalist företagets chef. ”Vi hade en diskussion
om det i efterhand. Men syftet med kameran är att
förhindra stöld, och det var i precis det syftet vi visade
bilderna”.
Över 800 anmälda fall av stalkning
Sedan lagen om olaga förföljelse infördes den 1 oktober
2011 fram till den 31 augusti 2012 har 829 anmälningar
om olaga förföljelse gjorts i Sverige, skriver polisen i ett
pressmeddelande i oktober. I majoriteten av fallen har
brottsoffret varit en vuxen kvinna.
Samtidigt som lagen trädde i kraft blev det också
möjligt för åklagare att besluta om särskilt utvidgat
kontaktförbud med elektronisk fotboja. I pressmeddelandet
från oktober meddelar polisen att man inom
kort ska skriva avtal med en leverantör av elektronisk
fotboja och att förhoppningen är att den ska vara i drift
vid årsskiftet. ”Syftet med fotbojan är framförallt att
förebygga brott. Om gärningsmannen bryter kontaktförbudet
larmas polisen som då kan rycka ut. Det ökar
också möjligheterna att lagföra personen eftersom det
finns teknisk bevisning”, säger polisen.
Integritetsåret 2012 – Datainspektionen
29

upphöra med kamera-
övervakning inomhus
under dagtid. De två
gymnasierna har överklagat
i olika instanser till dess
att Högsta förvaltningsdomstolen,
som är den
högsta allmänna förvaltningsdomstolen
i Sverige, i
mars meddelar att den går
på Datainspektionens linje
och avslår överklagandena.
April
n I april meddelar
Datainspektionen att
myndigheten ska granska
hur företag som förmedlar
försäkringar hanterar
personuppgifter om sina
kunder. Det som ska
granskas inom ramen för
projektet är försäkringsförmedlare
som förmedlar
personförsäkringar som
sjukförsäkringar och livförsäkringar.
n Datainspektionen
granskar Akademiska
sjukhuset i Uppsala och
riktar kritik mot att ett
av sjukhusets IT-system
är utformat så att det är
omöjligt att kontrollera
om läkare missbrukar sin
möjlighet att läsa patientjournaler.
Samhället och medborgaren
Sveriges Radio avslöjas
ha hemlig databas
Sveriges Radios populära lyssnarprogram ”Ring P 1” har
i det tysta registrerat tusentals personer i en hemlig
databas. Uppgifter om namn, telefonnummer, politisk
hemvist, sjukdomar och religionstillhörighet sparas i
”telefondatabasen”.
Så skriver Dagens Nyheter den 21 december.
Avslöjandet väcker stor uppmärksamhet.
Enligt tidningen har de som ringt in till det
populära radioprogrammet under de senaste sju
åren registrerats i en databas. Tidigare registrerades
enbart namn, telefonnummer och vilka ämnen som
personen i fråga ville debattera, men enligt uppgifter
som DN tagit del av ska det sedan hösten 2012 finnas
nya direktiv från programledningen att även uppgifter
som politisk hemvist, religionstillhörighet, ålder och
sjukdomar ska registreras i databasen. De som ringer
får inte reda på att de registreras.
DN skriver vidare att databasen inte ens är
lösenordsskyddad och kan nås av all personal, bara
man känner till adressen på intranätet.
– Systemet har funnits i många år, det är ett redskap
för att ha koll på att inte samma personer kommer med
i programmet hela tiden, det
kan jag tycka är helt rimligt.
Men att vi ska skriva vad folk
har för åsikter också det är fel,
säger en SR-anställd till DN.
Många vänder sig till
Datainspektionen för att se
om myndigheten ska göra
något åt databasen. Datainspektion
har dock normalt
30 Integritetsåret 2012 – Datainspektionen

ingen rätt att granska redaktioners databaser, eftersom
massmediebolag som Sverige Radio omfattas av
grundlagsskydd, som gäller före personuppgiftslagen.
Datainspektionen kan dock ha synpunkter om personuppgifterna
i databasen inte är tillräckligt skyddade
med exempelvis lösenord och kryptering. I skrivande
stund har myndigheten inte beslutat om eventuella
åtgärder mot Sveriges Radio.
Färdtjänsten lagrar för mycket
om sina resenärer
I sitt verksamhetssystem lagrar färdtjänsten i
Göteborg känsliga personuppgifter som inte behövs
för handläggningen. Färdtjänstnämnden menar att
handlingarna sparas på grund av krav i arkivlagen.
Men arkivlagens bestämmelser ger inte en myndighet
rätt att fortlöpande lagra stora mängder integritetskänsliga
uppgifter i det IT-system som används i den
dagliga verksamheten, konstaterar Datainspektionen
i sin granskning. Uppgifter som inte längre behövs för
handläggningen ska tas bort från verksamhetssystemet
och i stället arkiveras.
Kommuner brister
i sin publicering på Internet
Datainspektionen granskar hur ett 50-tal kommuner
på sina webbplatser publicerar diarier, protokoll och
andra liknande dokument som kan innehålla personuppgifter.
Undersökningen visar att i princip samtliga
kommuner brister i sin publicering.
– Datainspektionen tar ofta emot klagomål från
enskilda som fått sina personuppgifter publicerade
på kommuners webbplatser. Bland de stickprovskontroller
som vi utfört har vi sett ett antal exempel på att
kommunerna inte följer reglerna i personuppgiftslagen,
Integritetsåret 2012 – Datainspektionen
31

n EU-kommissionen har
lagt fram ett förslag till
direktiv som ska stärka
skyddet av personuppgifter
som hanteras av polisen
och andra brottsbekämpande
myndigheter.
Datainspektionen ställer
sig positiv till förslaget men
menar också att direktivet
inte får sänka skyddsnivån
för de länder som redan har
en hög skyddsnivå.
n Klagomål gör
gällande att ett bussbolag
i Varberg kameraövervakar
sin personal.
Datainspektionens
granskning visar att bolaget
har tio övervakningskameror
på sin anläggning.
Bolaget har inte utrett
om övervakningen
verkligen behövs vilket
gör att Datainspektionen
förelägger att kameraövervakningen
ska upphöra
under ordinarie arbetstid.
n Datainspektionen
yttrar sig om det kompletterade
underlaget till en ny
kameraövervakningslag.
Myndigheten är positiv
till att det ska bli lättare
att kameraövervaka
tunnelbanan men anser att
det även fortsättningsvis
bör krävas tillstånd för att
övervaka parkeringshus.
säger Ingela Alverfors som lett
undersökningen.
Bristerna har lett till att
Datainspektionen tagit fram
en checklista för kommuner
och landsting som tar upp
de viktigaste punkterna vid
webbpublicering av protokoll och
diarier. Checklistan kan hämtas
kostnadsfritt på myndighetens webbplats.
Skadestånd för felaktig
hantering av hemlig adress
En kvinna med skyddad adress har fått en kallelse från
en domstol skickad till sin hemliga adress med hennes
personuppgifter synliga på kuvertet. Justitiekanslern
konstaterar att kvinnans personuppgifter har hanteras
på ett sätt som står i strid med personuppgiftslagen
och ålägger Domstolsverket att betala 10 000 kronor i
ersättning till kvinnan.
Nej till kameraövervakning i skolor
2008 beslutade Datainspektionen att Bromma
gymnasium och Tensta gymnasium måste upphöra
med kameraövervakning inomhus under dagtid. De två
gymnasierna överklagade till
länsrätten som avslog överklagandena,
och till kammarrätten
som även den avslog överklagandena, med undantag
för ett par kameror i den ena skolan.
Skolorna överklagade därefter till Högsta förvaltningsdomstolen,
som är den högsta allmänna förvaltningsdomstolen
i Sverige. I mars meddelar domstolen
att den går på Datainspektionens linje och avslår
överklagandena.
32 Integritetsåret 2012 – Datainspektionen

”I likhet med underinstanserna finner Högsta
förvaltningsdomstolen att kameraövervakning av
lektionssalar, korridorer, bibliotek, uppehållsrum och
liknande i en skola under skoltid generellt sett måste
betraktas som ett intrång i de registrerades integritet”,
skriver Högsta förvaltningsdomstolen i sina två domar.
Elever kameraövervakas olagligt
I början av december rapporterar Dagens Nyheter
om en stor kartläggning som landets länsstyrelser
genomför och som visar att övervakningskameror sätts
upp olagligt i skolor och riktas mot barn och allmänhet
på ett integritetskränkande sätt.
DN har fått ta del av delresultat från länsstyrelsernas
första stora kontroll av kameraövervakning på
skolor och restauranger. Tidningen rapporterar att
en rad skolor kommer att få allvarlig kritik för att de
bedriver olaglig övervakning.
– Människor har blivit föremål för integritetskränkning.
Detta är mycket allvarligt och visar att
tillsynen är angelägen, säger Henrik Kvennberg,
ansvarig för tillsyn av allmän kameraövervakning på
länsstyrelsen i Skåne län, till tidningen.
Kameraövervakning
regleras i två lagar
Fakta
Det finns två lagar som reglerar användningen av
kameraövervakning: lagen om allmän kameraövervakning
och personuppgiftslagen. Enligt lagen om
allmän kameraövervakning krävs det vanligtvis tillstånd
från länsstyrelsen för att få sätta upp en kamera på
en plats dit allmänheten har tillträde. På platser dit
allmänheten inte har tillträde, som exempelvis i kontorslokaler,
lagerutrymmen och personalutrymmen, gäller
personuppgiftslagen. Enligt personuppgiftslagen krävs
inget tillstånd, däremot måste lagen följas och det
kontrolleras av Datainspektionen.
Integritetsåret 2012 – Datainspektionen
33

n En tjänst samlar in data
från olika forskningsprojekt
som sedan ska kunna
användas för ospecificerad
framtida forskning.
Datainspektionen
konstaterar att insamlingen
strider mot personuppgiftslagen
eftersom
syftet är för diffust och
att de som förekommer i
registren inte har gett sitt
samtycke.
n I slutet av april
meddelar Datainspektionen
att myndigheten ska
kontrollera hur socialnämnder
använder Ipad
och andra surfplattor.
Det som granskas är om
personuppgifter som lagras
i surfplattorna är skyddade
på ett tillräckligt sätt.
Granskningen ska vara klar
under våren 2013.
n Hur får GPS-positionering
används i firmabilar
utan att det inkräktar på
de anställdas personliga
integritet? Vilka regler
gäller för kameraövervakning
på företag?
Får företag spela in de
anställdas telefonsamtal?
Det och mycket annat tas
upp i Datainspektionens
48-sidiga broschyr ”Personuppgifter
i arbetslivet” som
publiceras i april.
I Skåne har man enligt DN hittills upptäckt att
kameraövervakning skett på ett felaktigt sätt i nära
hälften av de inspekterade skolorna. I Gävleborg och
Dalarna får över hälften av de inspekterade skolorna
anmärkningar. Resultaten från övriga län ska visa på
liknande siffror.
Felen som gör kameraövervakningen olaglig är
bland annat att skolorna saknar tillstånd att sätta upp
kamerorna, att kamerorna övervakar större områden
än vad som medgivits i länsstyrelsens beslut eller att
skolorna har bristande skyltning om att kameraövervakning
pågår.
– När vi har tittat på skolor är ett av de vanligaste
och allvarligaste felen att kamerorna är i gång även på
dagtid, vilket de inte har tillstånd till, säger Ingemar
Sunnerdahl på Länsstyrelsen i Västra Götalands län till
Dagens Nyheter.
Länsstyrelse måste begränsa
tillgången till personuppgifter
I juni 2010 identifierade Datainspektionen en rad
brister i hur länsstyrelsen i Västra Götalands län
hanterar personuppgifter i sitt handläggningssystem.
Datainspektionen var bland annat
kritisk till att användarna kunde
komma åt alla handlingar som inte
var sekretessbelagda, och ansåg att respektive
användare enbart ska komma åt de uppgifter som
behövs för att kunna lösa de egna arbetsuppgifterna.
Myndigheten var även kritisk till hur länsstyrelsen
publicerat uppgifter i det webbdiarium som kan nås av
allmänheten. I webbdiariet fanns personuppgifter som
direkt pekade ut enskilda i ärenden som rörde bland
annat brott mot djurskyddslagen och fiskelagen.
Länsstyrelsen har överklagat Datainspektionens
beslut till förvaltningsrätten i Stockholm som dock går
på Datainspektionens linje och avslår överklagandet.
34 Integritetsåret 2012 – Datainspektionen

I sin dom skriver rätten bland annat att ”Genom
publicering på Internet blir uppgifterna lätt tillgängliga
och kan komma att få mycket stor spridning”.
Databas för reklamationer får inte
användas som brottsregister
Taxi Stockholm har en databas med klagomål mot
förarna. Databasen påstås enligt anmälningar till
Datainspektionen innehålla felaktigheter, uppgifterna
ska finnas kvar för alltid och förarna får inte ta del av
de uppgifter som finns registrerade om dem.
Vid Datainspektionens
granskning framkommer
att bolaget har en databas
där det på förarnivå går
att få fram samtliga registrerade
reklamationer sedan
1998. Varje år tillkommer
cirka 3 500 reklamationer.
En del av dessa reklamationer
innehåller uppgifter
om lagöverträdelser. I
ett fritextfält registrerar
bolaget uppgifter om bland annat domar och beslut,
åtal som lagts ner eller förare som dömts för allvarlig
brottslighet. ”Det är sammantaget fråga om en
omfattande och systematisk behandling av personuppgifter
om lagöverträdelser”, skriver Datainspektionen i
sitt beslut.
– Jag har förståelse för att ett taxibolag kan
behöva registrera klagomål från sina kunder och att
klagomålen kan innehålla uppgifter om påstådda brott.
Men, bolaget får inte använda sin reklamationsdatabas
som en form av brottsregister där bolaget hämtar
uppgifter från helt andra håll än från sina kunder,
säger Datainspektionens generaldirektör Göran
Gräslund.
Integritetsåret 2012 – Datainspektionen
35

n Sajten Migileaks
polisanmäls av Datainspek-
tionen. På sajten publiceras
domar från migrationsdomstolar.
I vissa domar
förekommer känsliga
personuppgifter samt
uppgifter om lagöverträdelser
om namngivna
personer som sökt asyl i
Sverige.
n Datainspektionen
granskar hur Länskriminalpolisen
i Stockholm
registrerar uppgifter som
kommer från mobiltelefoner
som tagits i beslag
i förundersökningar.
Myndigheten är kritisk till
att polisen lagrar uppgifter
om sms, telefonsamtal och
kontakter från telefoner
som beslagtagits, utan
att pröva om uppgifterna
behövs i underrättelseverksamheten.
Maj
n I maj meddelar
förvaltningsrätten i
Stockholm att den går på
Datainspektionens linje
och anser att länsstyrelsen
i Västra Götalands
län måste begränsa
åtkomsten till dokument i
det interna diariet och ta
bort direkta och indirekta
Bevakningsföretag kan fortsätta
registrera klottrare
Datainspektionen tar emot klagomål om att ett
bevakningsföretag registrerar uppgifter om personer
som gripits för skadegörelse. Myndighetens granskning
visar att Storstockholms Lokaltrafik (SL) anlitar
företaget ifråga för egendomsbevakning och att
företaget rapporterar in skadegörelse till SL:s klotterdatabas,
som Datainspektionen gav klartecken till
2005. Datainspektionen har inga synpunkter på hur
företaget rapporterar in uppgifter till SL:s databas.
Nej till företag som vill skapa
central klotterdatabas
Ett företag ansöker hos Datainspektionen om undantag
från den regel i personuppgiftslagen som säger att
det normalt endast är myndigheter som får hantera
uppgifter om brott och misstänkta brott.
Företaget registrerar klotter åt flera olika uppdragsgivare
för att polisanmäla skadegörelsen. Bland
företagets kunder finns kommuner, landsting och
myndigheter inom transportområdet. Företaget vill
registrera fler uppgifter och skapa en central klotterdatabas
som omfattar alla de uppgifter som företaget
samlar in för sina olika kunders räkning.
Datainspektionen konstaterar i sitt svar på
företagets ansökan att företaget på så sätt skulle bygga
36 Integritetsåret 2012 – Datainspektionen

upp ett register med en omfattande mängd personupp-
gifter om brott och misstänkta brott.
– När personuppgiftslagen inrättades var lagstif-
tarens tanke att andra än myndigheter endast i
undantagsfall ska få hantera sådana uppgifter. Därför
har Datainspektionen en restriktiv hållning till att dela
ut den här typen av undantag. Det gör att vi säger nej i
det här fallet, säger generaldirektör Göran Gräslund.
Samtliga riksdagspartier
under granskning
Datainspektionen granskar hur samtliga åtta riksdagspartier
hanterar personuppgifter om medlemmar och
andra personer som tagit kontakt med dem. Uppgifter
som avslöjar politiska åsikter är enligt personuppgiftslagen
känsliga och extra skyddsvärda.
– Granskningen visar att det hos samtliga partier
har funnits bristande kunskaper om personuppgiftslagen
och vilka regler som gäller när man
hanterar känsliga personuppgifter. Men, glädjande nog
har det även funnits en stor vilja att åtgärda bristerna,
säger Gunilla Öberg som är jurist på Datainspektionen
och som deltagit i granskningarna.
Bland felen som upptäckts finns: bristande
information till medlemmar och andra som tar
kontakt med partierna om hur deras personuppgifter
kommer att hanteras, avsaknad av gallringsrutiner
som ska se till att uppgifter inte sparas onödigt länge
samt bristande IT-säkerhet för att skydda personuppgifterna.
Integritetsåret 2012 – Datainspektionen
37

personuppgifter från
webbdiariet som kan nås av
allmänheten.
n Datainspektionen
granskar Taxi Stockholm
som har en databas där
det på förarnivå går att få
fram samtliga registrerade
reklamationer sedan 1998.
En del av dessa reklamationer
innehåller uppgifter
om lagöverträdelser. I
ett fritextfält registrerar
bolaget på egen hand in
uppgifter om bland annat
domar och beslut, åtal
som lagts ner eller förare
som dömts för allvarlig
brottslighet. Bolaget får
inte använda sin reklamationsdatabas
som en
form av brottsregister där
bolaget hämtar uppgifter
från helt andra håll än från
sina kunder, konstaterar
Datainspektionen.
n Statens kriminaltekniska
laboratorium, SKL, har
byggt upp en DNA-databas
som används på ett sätt
som bryter mot lagen,
konstaterar Datainspektionen
efter att ha granskat
laboratoriet.
n Vilka regler som
gäller om en kommun
webbsänder exempelvis
kommunfullmäktiges
sammanträden?
Jurist gjorde olaglig dataslagning
En kommunjurist bröt mot lagen när hon i privat
syfte kollade en ung kvinnas inkomst, rapporterar
Helsingborgs Dagblad i oktober. Orsaken till
slagningen ska vara att juristen var involverad i en tvist
med sin exmake, som är den unga kvinnans pappa.
Juristen har fått ett strafföreläggande på 11 500 kronor.
Juristen har godkänt böterna vilket innebär att hon
slipper rättegång.
Högsta förvaltningsdomstolen
gav Datainspektionen rätt
2007 beslutade Datainspektionen att Försäkringskassan
måste genomföra en risk- och sårbarhetsanalys
av sin sms-tjänst för anmälan av tillfällig föräldrapenning.
Beslutet omfattade även
en annan tjänst som används då
arbetsgivare anmäler anställdas
sjukdomsfall.
Försäkringskassan överklagade beslutet, först till
Länsrätten, sedan till Kammarrätten och därefter
till Högsta förvaltningsdomstolen, som i juni 2012
meddelar att den avslagit överklagandet och gett
Datainspektionen rätt.
– Domen visar att ansvaret för att skydda personuppgifter
i e-tjänster faller på den som ställer
e-tjänsten till förfogande, i det här fallet Försäkringskassan,
säger Datainspektionens generaldirektör
Göran Gräslund.
Skadestånd för
felskickad deklaration
En kvinnas inkomstdeklaration har av misstag följt
med en annans persons deklaration och därmed
skickats till fel mottagare. Kvinnan har begärt
38 Integritetsåret 2012 – Datainspektionen

skadestånd av staten då hon anser att hennes
personliga integritet har kränkts eftersom andra
personer har haft möjlighet att ta del av hennes
inkomst- och personuppgifter. Justitiekanslern anser
att hanteringen av kvinnans personuppgifter skett
i strid med personuppgiftslagen och beslutar att
kvinnan ska få 3 000 kronor i ersättning.
Personnummer stals
vid dataintrång
I mars varnar Skatteverket för att ett företag som
hanterar uppgifter från folkbokföringen har utsatts
för dataintrång. Personnummer för ett antal personer
med skyddade personuppgifter har kopierats. ”Jag
har stor förståelse för att man känner oro om ens
personnummer har kopierats men det finns inget som
tyder på att namn- eller adressuppgifter har kommit
ut”, säger Anders Kylesten, säkerhetschef på Skatteverket.
Myndigheten varnar dock för att det för drygt
tusen personer kan vara teoretiskt möjligt att annan
information har kopierats. Händelsen har polisanmälts
av företaget som utsattes för dataintrånget.
Skatteverket varnar för att personnummer stulits vid ett
dataintrång . Även andra personuppgifter kan ha stulits .
Integritetsåret 2012 – Datainspektionen
39

Data inspektionen utreder
frågan och kommer fram
till att en kommun som
sänder Internet-video
från sina möten inte är
skyddad av grundlag.
Kommunen måste följa
personuppgiftslagen och
sändningen får inte vara
kränkande i lagens mening.
Om ett massmedieföretag
eller privatperson genomför
en webbsändning så
skyddas den av grundlag
vilket gör att reglerna i
personuppgiftslagen inte
gäller.
n Den 22 maj i Oslo
träffas cheferna för
dataskyddsmyndigheterna
i Norge, Finland, Sverige,
Danmark, Island, Färöarna
och Åland för att diskutera
hur EU-kommissionens
förslag till ny dataskyddslagstiftning
kommer
att påverka myndigheternas
interna arbete
och samarbete. ”Detta
är den mest omfattande
ändringen av europeisk
dataskyddslagstiftning på
många år. Det kommer
att ställa helt nya krav på
dataskyddsmyndigheterna i
Kreditupplysningar
och inkasso
Kreditupplysningsföretag hittar
nya sätt att kringgå lagen
Den 1 januari 2011 trädde nya regler i kreditupplysningslagen
i kraft som skulle stärka skyddet för
enskilda när kreditupplysningar lämnas ut via Internet.
Enligt lagändringarna måste den som begär en kreditupplysning
ha ett legitimt behov av upplysningen,
till exempel kan en hyresvärd ha behov av en kreditupplysning
om den person som ska hyra en bostad.
Dessutom måste en kopia av kreditupplysningen
skickas till den som upplysningen gäller.
Sedan lagändringarna trädde i kraft har Datainspektionen
granskat samtliga större kreditupplysningsföretag.
Myndigheten konstaterar att lagändringarna
till en början fick effekt men att flera företag nu hittat
nya möjligheter att kringgå lagen.
– Därför skickar vi en skrivelse till regeringen där
vi föreslår att det görs en snabbutredning för att täppa
till den här luckan i lagen, säger Datainspektionens
generaldirektör Göran Gräslund i mars.
I skrivelsen till regeringen föreslår Datainspektionen
att det antingen görs en snabbutredning för att
täppa till luckan eller att det görs en mer omfattande
översyn av lagen.
Datainspektionen överklagar
dom om kreditupplysningar
I januari 2011 trädde nya regler i kreditupplysningslagen
i kraft som bland annat innebär att kreditupplysningsföretag
måste skicka en kopia av kreditupplysningen
till den person som upplysningen gäller.
40 Integritetsåret 2012 – Datainspektionen

Denna skyldighet gäller även när kreditupplysningen
lämnas ut via en webbplats.
I juni 2012 förelägger Datainspektionen ett kreditupplysningsföretag
att börja skicka kreditupplysningskopior
till de omfrågade även då kreditupplysningarna
lämnas ut via en webbplats.
Företaget överklagar Datainspektionens beslut till
förvaltningsdomstolen som i november 2012 meddelar
att den kommit fram till att den nya bestämmelsen
om kopieplikt står i strid med grundlag. Det innebär i
så fall att företaget inte behöver skicka kreditupplysningskopior
till de omfrågade när kreditupplysningen
lämnats ut via företagets webbplats.
– Vår bedömning är dock att förvaltningsdomstolens
slutsats är felaktig och att ändringarna i
kreditupplysningslagen inte på något sätt står i
strid med grundlag, säger Hans Kärnlöf som är
Datainspektionens expert på kreditupplysningslagen.
I slutet av november överklagar Datainspektionen
därför förvaltningsrättens dom till kammarrätten.
Inkassobolag fortsätter
skicka otydliga krav
För två år sedan riktade Datainspektionen skarp kritik
mot ett antal inkassobolag för att deras inkassokrav
som rör tele-, TV- och Internetavgifter var för
otydliga. I november 2012 är myndigheten klar med en
uppföljande granskning som visar att bristerna till stor
del kvarstår.
– Många inkassobolag använder fortfarande för
vida och sammanfattande begrepp för att beskriva vad
fordran avser. Det gör det svårt för den skuldsatte att
veta vad fordran avser och att kunna ta ställning till
om kravet är riktigt eller inte, säger Malin Fredholm
som lett myndighetens granskning.
Inkassobolagen brister också i att specificera
kostnaderna i kravet. Kostnader för själva inkasso-
Integritetsåret 2012 – Datainspektionen
41

Europa och förändra sättet
som vi arbetar på”, säger
Datainspektionens generaldirektör
Göran Gräslund i
samband med mötet.
n Ett bevakningsföretag
som SL anlitar för att gripa
klottrare i tunnelbanan
bryter inte mot personuppgiftslagen
när det
registrerar uppgifter
om gripanden och
skadegörelse, konstaterar
Datainspektionen efter att
ha granskat företaget.
Juni
n I juni är Datainspektionen
klar med sin
granskning av hur riksdagspartierna
hanterar personuppgifter
om medlemmar
och andra personer som
tagit kontakt med dem.
Granskningen visar att
samtliga riksdagspartier
har bristande kunskaper
om personuppgiftslagens
regler, men partierna har
även visat en stor vilja att
förbättra sin hantering av
personuppgifter.
n Identitetsstölder har
blivit ett jätteproblem och
bedrägerier är numera
den fjärde vanligaste
typen av brott i Sverige
efter brott som snatteri
kravet och en eventuell betalningspåminnelse, men
också faktureringsavgifter och andra administrativa
avgifter ska redovisas var för sig i inkassokravet.
Elkunder ersätts för dubbla
inkassokostnader
Datainspektionen granskar ett elbolag och upptäcker
en rad brister i företagets inkassohantering. Elbolaget
har tillsammans med det inkassobolag som företaget
tidigare anlitade debiterat närmare 3 000 kunder
dubbla inkassokostnader. Elbolaget har brutit mot
inkassolagen genom att skicka dubbla inkassokrav och
debitera dubbla inkassokostnader.
Myndigheten har därefter gjort en uppföljande
kontroll för att se om bristerna åtgärdats. Elbolaget
har sett över sin inkassohantering och sköter den
själv. Företaget har också börjat ersätta de kunder som
drabbats av dubbla inkassokostnader.
– Det är positivt att vår granskning lett till att
bolaget har förbättrat sin inkassohantering och att
de drabbade kunderna nu får ersättning, säger Malin
Fredholm på Datainspektionen.
Närmare 3 000 kunder har debiterats dubbla inkassokostnader
av ett elbolag .
42 Integritetsåret 2012 – Datainspektionen

Övervakning i arbetslivet
Så får arbetsgivare hantera
personuppgifter
I slutet av april publicerar Datainspektionen en ny
48-sidig broschyr som klargör vilka regler som gäller
för hur arbetsgivare får hantera personuppgifter.
”Personuppgifter i arbetslivet” svarar bland annat
på frågor som hur får GPS-positionering användas
i firmabilar utan att det inkräktar på de anställdas
personliga integritet, vilka regler gäller för kameraövervakning
på företag och får företag spela in de
anställdas telefonsamtal?
– Oavsett verksamhet hanterar alla företag personuppgifter
på en rad olika sätt i varierande utsträckning.
Med den här broschyren vill vi göra det lättare för
arbetsgivare att följa reglerna i personuppgiftslagen,
säger Datainspektionens generaldirektör Göran
Gräslund.
Beställ som trycksak eller hämta gratis
”Personuppgifter i arbetslivet” vänder sig till arbetsgivare,
arbetstagare, fackförbund och branschorganisationer
inom både privat och offentlig sektor. Skriften kan
hämtas kostnadsfritt som pdf-dokument på myndighetens
webbplats eller beställas som trycksak och kostar
då 53 kronor.
Integritetsåret 2012 – Datainspektionen
43

och skadegörelse varnar
polisen i en artikel i
Datainspektionens tidning
Integritet i fokus. ”Den
svenska offentlighetsprincipen
har blivit ett
verktyg som utnyttjas
av skurkar”, säger en
av polisens utredare i
tidningen.
n I parkeringsgarage
vid flera köpcentrum
används ny teknik som
visar riktad reklam till
bilförare. Systemet läser av
bilarnas registreringsskyltar
när de åker in i garaget.
Med hjälp av bilregistrets
uppgifter om bilmodell och
bostadsort samt statistik
från SCB, visas riktad
reklam på ljusskyltar längre
in i garaget. Datainspektionen
konstaterar att
företaget bakom tekniken
måste informera bilisterna
om hur deras registreringsnummer
används för att
visa reklamen.
n Datainspektionens
beslut från 2007 mot
Försäkringskassan om
sms-tjänsten för anmälan
av tillfällig föräldrapenning
överklagades till Högsta
förvaltningsdomstolen.
I mitten av juni ger
domstolen Datainspektionen
rätt och beslutet står
fast.
Bussbolag måste sluta
kameraövervaka personal
Datainspektionen tar emot klagomål som gör gällande
att ett bussbolag i Varberg kameraövervakar
sin personal.
Myndighetens
granskning
visar att
bolaget har tio
övervakningskameror
på sin
anläggning.
Bolaget
uppger att
bildmaterialet
är tänkt att
användas för att
utreda eventuell
skadegörelse eller annat
brott vid anläggningen.
Materialet är också tänkt att
användas om det skulle ske en skada eller
annan incident i exempelvis verkstad eller tvätthall.
Hittills har bildmaterialet aldrig behövt användas.
– Det måste finnas ett påtagligt behov av kameraövervakning
för att den ska vara laglig, säger Lars
Söderberg som lett Datainspektionens granskning.
Datainspektionen förelägger därför bolaget att
upphöra med kameraövervakningen under ordinarie
arbetstid och att göra en analys av om övervakningen
verkligen behövs och om den i så fall ska begränsas
vad gäller tider och platser. Myndigheten riktar också
kritik mot att bolaget saknar policy och rutiner för hur
bildmaterial får lämnas ut till utomstående.
44 Integritetsåret 2012 – Datainspektionen

Fel av butik använda
dold kameraövervakning
En dagligvarubutik i Östersund har, enligt klagomål
till Datainspektionen, övervakat sina anställda och
anställda på ett annat företag med dold kamera.
Butiken uppger till Datainspektionen att man
under lång tid haft problem med svinn och att
man därför i augusti 2011 installerade en dold
övervakningskamera i det lunchrum som är
gemensamt för de två företagens personal.
Datainspektionen konstaterar i sin
utredning att övervakningen varit olaglig.
Kameraövervakning får bara användas om
de som övervakas har blivit informerade.
Ett undantag är polisen och andra brottsutredande
myndigheter som får använda
dold kameraövervakning men då
endast om det är av synnerlig vikt för
utredningen och gäller allvarlig brottslighet.
”Frivilliga” brottsutdrag
ökar lavinartat
Antalet arbetsgivare som kräver att en arbetssökande
”frivilligt” ska visa upp ett utdrag från Polisens belastningsregister
ökar lavinartat, skriver tidningen Dagens
Juridik. Tidningen refererar till statistik från Rikspolisstyrelsen
som visar att antalet fall där enskilda begär
registerutdrag mer än fyrdubblades mellan åren 2003
och 2011, från 40 686 till 176 939. Rikspolisstyrelsen
uppskattar att runt 90 procent av de som begär utdrag
över sig själva är arbetssökande.
Integritetsåret 2012 – Datainspektionen
45

n Fortfarande fyra år
efter att patientdatalagen
trädde i kraft lever svenska
vårdgivare inte upp till
lagens krav. Patienternas
rätt att få uppgifter
spärrade i sina journaler
åsidosätts. Det visar
Datainspektionens stora
granskning av samtliga
landsting samt fem privata
vårdgivare.
n I slutet av juni
förelägger Datainspektionen
Gotlands tingsrätt
att sluta publicera namn på
parter i mål och ärenden
på domstolens webbplats
eftersom publiceringen
strider mot personuppgiftslagen.
Juli
n I början av juli yttrar sig
Datainspektionen om ett
förslag till förordning om
”register för viss befolkningsbaserad
forskning”
som tagits fram av
regeringen. I sitt yttrande
riktar myndigheten skarp
kritik mot förslaget.
Myndigheten är framför
allt kritisk till att det är
en förordning, som kan
beslutas av regeringen,
och inte ett lagförslag, som
måste beslutas i riksdagen.
Vården, forskningen,
patienten och lagen
Stor granskning: Svårt för patienter
spärra journaluppgifter
Enligt patientdatalagen har patienten rätt att spärra
uppgifter från att lämnas ut, dels mellan olika
vårdenheter inom samma vårdgivare, dels mellan olika
vårdgivare som använder sammanhållen journalföring.
Datainspektionen har under flera år fått klagomål från
patienter att det ofta brister i hanteringen av dessa
spärrar.
– Nästan varje dag är det patienter som hör av sig
till Datainspektionen och berättar att de inte kan få sin
önskan om spärr tillgodosedd, säger Maria Bergdahl,
jurist på Datainspektionen.
Datainspektionen genomför därför ett stort
nationellt tillsynsprojekt av samtliga landsting och
regioner samt fem privata vårdgivare. Resultatet
av granskningen ger en dyster bild av hur patientdatalagen
följs.
– Ingen av de granskade vårdgivarna uppfyller sina
skyldigheter fullt ut mot patienterna när det gäller
möjligheten att spärra uppgifter. Eftersom lagen
funnits i snart fyra år kan man inte längre skylla
på omställningsproblem, säger Datainspektionens
generaldirektör Göran Gräslund.
I juni förelägger Datainspektionen samtliga
vårdgivare att redogöra för när funktioner för tekniska
spärrar som lever upp till patientdatalagens krav
kommer att vara genomförda i systemen. Sedan dess
har ytterligare kompletteringar begärts in och granskningen
beräknas nu vara helt klar under våren 2013.
46 Integritetsåret 2012 – Datainspektionen

Fel av barnklinik
spela in alla samtal
På barnkliniken vid Ystads lasarett spelas alla
inkommande samtal in. Även vissa utgående samtal
spelas in. Inspelningarna sparas i minst tre år. Syftet
uppges vara kvalitetssäkring, då de inspelade samtalen
kan användas för att fastställa vilken information som
patienterna fått av personalen. Dessutom vill man
minska mängden hot och otrevligheter som riktas
mot de som arbetar i telefonrådgivningen. Hittills har
kliniken inte behövt granska något sparat telefonsamtal.
– Inspelning av telefonsamtal innebär ett integritetsintrång
för såväl patienter som anhöriga och
anställda. För att det ska vara lagligt måste det finnas
ett påtagligt behov av systematisk kvalitetssäkring
som inte kan lösas på något annat, mindre integritetskänsligt
sätt. Kliniken har inte visat att det finns ett
sådant behov som motiverar att alla samtal spelas in,
säger Katarina Högquist, jurist på Datainspektionen.
Barnkliniken har numera upphört att spela in alla
samtal.
Brist i journalsystem
omöjliggör kontroll
Datainspektionen tar emot ett klagomål som rör
Akademiska sjukhuset i Uppsala. Klagomålet rör en
funktion som visar läkaranteckningar för en vald
patient. Datainspektionens granskning visar att när
en läkare öppnar funktionen så visas de 20 senaste
anteckningarna. I systemets logg, som ska användas
för att upptäcka obehörig åtkomst av patientjournaler,
registreras att läkaren ifråga tittat på samtliga 20
anteckningar vid exakt samma tidpunkt. Det går alltså
inte att se vilken anteckning som läkaren faktiskt läste.
Integritetsåret 2012 – Datainspektionen
47

n I september 2011
konstaterade Datainspek-
tionen att det bryter
mot lagen att registrera
uppgifter om dementa i så
kallade kvalitetsregister. Via
klagomål har Datainspektionen
fått uppgifter om
att dementa trots det
fortsätter att registreras.
Därför drar myndigheten
igång en granskning av
hur kommuner hanterar
uppgifter om dementa i
kvalitetsregister.
Augusti
n Datainspektionen
yttrar sig om ett förslag
till huliganregister som
lagts fram i en utredning.
Myndigheten är positiv till
lagstiftning för ett centralt
register över huliganer, men
anser att det nuvarande
förslaget innehåller ett
antal brister och oklarheter
som först måste åtgärdas.
n Enligt ett förslag ska
Centrala Studiemedelsnämnden,
CSN, kunna
sammanställa statistik
över studenters hälsa.
Datainspektionen säger nej
till förslaget eftersom det
saknar en tillräcklig analys
och motivering av varför
– En så bristfällig loggning gör det i praktiken
omöjligt att kontrollera obehörig åtkomst, men gör
även att personal på felaktiga grunder kan pekas ut
som att ha tagit del av för mycket patientuppgifter,
säger Maria Bergdahl som lett Datainspektionens
granskning.
I mitten av oktober konstaterar Datainspektionen
att de brister som upptäcktes har åtgärdats eller är på
väg att åtgärdas.
Granskning av hur
dementa registreras
I juli 2012 inleder Datainspektionen en granskning för
att ta reda på om kommuner bryter mot lagen genom
att registrera uppgifter om dementa. I september året
innan konstaterade Datainspektionen att det bryter
mot lagen att i så kallade kvalitetsregister registrera
uppgifter om dementa och andra som varaktigt saknar
beslutsförmåga. För att få registrera sådana uppgifter
krävs det att den demente har en legal ställföreträdare
som inte motsätter sig att uppgifterna registreras.
Myndigheten har tagit emot klagomål som säger
att uppgifter om dementa trots det fortsätter att
registreras.
Personuppgifter får inte användas
för opreciserad forskning
Svensk Nationell Datatjänst (SND) är en tjänst
vid Göteborgs universitet som samlar in data från
forskningsprojekt runtom i landet för att sedan göra
dessa data tillgängliga för andra forskare i Sverige och
utomlands. Det material som samlas in bearbetas för
att sedan kunna användas för ospecificerad framtida
forskning.
48 Integritetsåret 2012 – Datainspektionen

Register över vårdpersonal läggs ut på nätet
En utredning föreslår att Socialstyrelsens register över legitimerad hälso- och
sjukvårdspersonal (HOSP-registret) ska bli tillgängligt på Internet. Registret är
redan idag offentligt på så sätt att det går att mejla Socialstyrelsen och begära
uppgifter om en enskild persons
behörighet. Enligt förslaget ska
allmänheten i framtiden kunna söka
uppgifter själv via Internet och få
reda på uppgifter om legitimerade
personers namn, födelseår, yrke,
specialitet samt datum för utfärdande
av legitimation eller bevis om specialistkompetens.
Datainspektionen granskar SND och konstaterar
att organisationen inte informerar de personer vars
uppgifter finns i det forskningsmaterial som lämnas in
till SND. Man inhämtar inte heller samtycke från dessa
personer.
– Det är fel på fel att först samla in uppgifter
från andra forskningsprojekt utan att få de registrerades
samtycke, och sedan ha ett så diffust syfte
som framtida forskning, säger Erik Janzon som är
tillsynschef för vård-, forsknings- och utbildningsfrågor
på Datainspektionen.
Datainspektionen förelägger därför Göteborgs
universitet att sluta samla in mer material och sluta
använda det material som redan samlats in.
Kritik mot brister i journalsystem
Datainspektionen granskar hur Karolinska sjukhuset
använder så kallad sammanhållen journalföring, vilket
innebär att sjukhuset kan utbyta journaluppgifter med
andra vårdgivare. Myndigheten har identifierat ett
Integritetsåret 2012 – Datainspektionen
49

hälsostatistiken måste föras
på individnivå.
September
n Under 2011 riktade
Datainspektionen kritik
mot hur företaget Brevo
använde en molntjänst.
I september 2012
konstaterar Datainspektionen
att företaget har
åtgärdat de brister som
upptäcktes vid inspektionen.
n Datainspektionen
granskar webbplatsen
laget.se, där idrottsklubbar
kan skapa en egen
hemsida. Myndigheten
konstaterar att det är
klubbarna själva som
ansvarar för de personuppgifter
som läggs in i
systemet.
Oktober
n Under 2011
genomförde Datainspektionen
en granskning
av hur Salems kommun
använde en molntjänst
från Google och konstaterade
att kommunen inte
följde reglerna i personuppgiftslagen.
I oktober
2012 begär Datainspek-
antal brister i journalsystemet som strider mot reglerna
i patientdatalagen. En sådan brist är att användaren
redan i utgångsläget får se för mycket information
om patienten. I stället för att systemet bara indikerar
att det finns journaluppgifter om patienten även hos
andra vårdgivare så listas direkt vilka vårdgivare som
har uppgifter om patienten. Dessutom visas dessa
uppgifter innan man fått patientens medgivande att ta
del av uppgifterna.
Datainspektionen är även kritisk till hur patienten
ges möjlighet att samtycka till att journaluppgifterna
lämnas ut. Ger patienten sitt samtycke blir alla
uppgifter hos alla vårdgivare som har uppgifter om
patienten tillgängliga, oavsett om uppgifterna behövs
för den aktuella vårdprocessen. Detta gäller alla
uppgifter som patienten inte själv aktivt spärrat.
Forskningsprojekt dåliga
på att informera
I december 2012 är Datainspektionen klar med en
stor undersökning av forskningsprojekt. Totalt har
närmare 50 projekt granskats hos ett 20-tal universitet,
högskolor och myndigheter. I samtliga projekt
registreras känsliga personuppgifter, i de flesta fall
uppgifter om hälsa. Det som undersökts är bland annat
hur man informerar deltagarna i forskningsprojekt
om hur deras personuppgifter kommer att hanteras
och hur man får deltagarnas
medgivande att registrera
dessa uppgifter. Granskningen
visar att det finns brister i hur
man informerar de personer
vars uppgifter registreras.
Hur pass bra man informerar
kan dessutom variera inom
en och samma högskola eller
universitet.
50 Integritetsåret 2012 – Datainspektionen

Kritik mot KBT-behandlingar
på Internet
Datainspektionen granskar ett företag och tre
vårdgivare som erbjuder KBT-behandlingar via
Internet. Behandlingarna rör exempelvis ångest och
oro, stresshantering och depression.
Myndigheten identifierar en del brister. De
som deltar i behandlingarna kan logga in med
användarnamn och lösenord vilket inte ger tillräckligt
hög säkerhet när man ska komma åt känsliga personuppgifter.
Kontrollen av vilken personal som tar del
av patienternas uppgifter saknas eller är bristfällig
och patienterna blir inte tillräckligt informerade om
deras rättigheter att ta del av sina uppgifter eller att få
uppgifter rättade.
– KBT-behandling via Internet gör det möjligt för
patienter att snabbt få tillgång till behandling, vilket
är positivt. Men man får inte glömma att det i den
här typen av system lagras känsliga uppgifter om
patienterna. Då är det viktigt att alla säkerhetsåtgärder
är på plats och fungerar, säger Ingela Alverfors som lett
granskningarna.
Sjuksköterska dömd
för dataintrång
En sjuksköterska döms av Alingsås tingsrätt till 21 600
kronor i böter för dataintrång. Enligt Göteborgs-
Posten var upprinnelsen till dataintrånget att kvinnans
styvdotter tagit en kreditupplysning på kvinnan och
sett att sjuksköterskan hade stora skulder. Sjuksköterskan
ska därefter vid tio olika tillfällen läst sin
styvdotters elektroniska patientjournal och hotat
att avslöja uppgifter från journalen. Det gjorde att
styvdottern kontaktade polisen. Förutom dagsböter ska
sjuksköterskan betala 5 000 kronor till styvdottern.
Integritetsåret 2012 – Datainspektionen
51

tionen att kommunen
ska redogöra för vilka
åtgärder som vidtagits för
att göra sin användning av
molntjänsten laglig.
n Ett försäkringsbolag vill
införa en bilförsäkring som
bygger på att försäkringstagaren
betalar en premie
som beräknas utifrån hur
bilen körs. Uppgifterna
som försäkringsbolaget får
tillgång till gör det möjligt
att se om bilen har körts
för fort. I normala fall är
det endast myndigheter
som får registrera uppgifter
om brott, som exempelvis
fortkörningar. Försäkringsbolaget
har därför ansökt
om ett undantag som gör
det möjligt att registrera
den här typen av uppgifter i
systemet. Datainspektionen
beviljar bolaget undantag
bland annat på grund av att
det är frivilligt att teckna
försäkringen.
n Bevis som samlats
in från Facebook väger
allt tyngre i vårdnadstvister.
I en artikel i
Datainspektionens tidning
Integritet i fokus berättar
juristen Linda Bohlin att
bevis i form av texter och
bilder från sociala medier
numera förekommer i
hälften av de vårdnadstvister
hon arbetar med. I
Lagar, lagförslag
och myndighetsregister
Inför straff för att
motverka kränkningar
En utredning har på uppdrag av regeringen tagit
fram ett förslag till översyn av lagarna för tryck- och
yttrandefrihet. I slutet av december 2012 yttrar sig
Datainspektionen över förslaget och konstaterar att
det inte innehåller några bestämmelser som stärker
skyddet för enskildas integritet och privatliv på
webbplatser som är grundlagsskyddade. Webbplatser
som drivs av massmediebolag är grundlagsskyddade
men även andra webbplatser kan grundlagsskyddas
med så kallade utgivningsbevis.
Datainspektionen anser att det behövs en
generell straffbestämmelse som kriminaliserar grova
kränkningar och att det är viktigt att en utredning i
denna fråga snarast kommer till stånd.
– Vi kommer dagligen i kontakt med människor som
uppfattar att deras integritet kränks på Internet. En
generell straffbestämmelse skulle vara ett verktyg för
att stävja dessa kränkningar. Det ska inte spela någon
roll om allvarliga kränkningar av integriteten sker
innanför eller utanför det grundlagsskyddade området.
En sådan straffbestämmelse skulle bidra till att skapa
balans mellan yttrandefrihet och integritetsskydd,
säger Datainspektionens generaldirektör Göran
Gräslund.
Dåligt utrett förslag till ny lag om
händelseanalyser vid självmord
En utredning lägger fram ett förslag att en särskild lag
införs för så kallade händelseanalyser vid självmord.
52 Integritetsåret 2012 – Datainspektionen

Datainspektionen granskar förslaget och anser att det
ger utrymme för en omfattande hantering av känsliga
personuppgifter utan att behovet av detta är tillräckligt
utrett. Exempelvis möjliggör förslaget sammanställningar
av känsliga personuppgifter om nu levande
personer, utan att det förklaras varför och när det
skulle behövas.
– Det är angeläget att få till stånd ett så bra
självmordsförebyggande arbete som möjligt men
bristerna i utredningen gör att Datainspektionen inte
kan ställa sig bakom det, säger generaldirektör Göran
Gräslund.
Kritik mot att polisen får tillgång
till FRA:s signalspaning
I en promemoria föreslås att Säkerhetspolisen och
den öppna polisen, genom Rikskriminalpolisen, ska få
använda FRA:s signalspaning i försvarsunderrättelseverksamhet.
Datainspektionen granskar förslaget och
anser att det inte är tillräckligt utrett om den öppna
polisens behov av att använda FRA:s signalspaning
väger tyngre än intrånget i den personliga integriteten.
En sådan analys krävs enligt svensk grundlag.
– Vi utesluter inte att den öppna polisen har
tillräckliga skäl men det saknas en tillräckligt
djup och ingående analys som påvisar det, säger
Datainspektionens generaldirektör Göran Gräslund.
Oacceptabla brister i förslag
som ska stärka elevsekretess
En utredning har på uppdrag av regeringen tagit fram
ett förslag för hur sekretessen för elevuppgifter ska
stärkas. Datainspektionen granskar förslaget och
anser att det stärker sekretessen för personuppgifter
som registreras i samband med åtgärdsprogram,
Integritetsåret 2012 – Datainspektionen
53

vissa fall utgör sådana bevis
själva huvudbevisningen i
tvisten.
n I januari 2010 fotograferade
Google svenska
städer inför lanseringen av
bildtjänsten Google Street
View i Sverige. Det visade
sig sedan att företaget även
”tjuvlyssnat” på trådlösa
nätverk och snappat upp
och lagrat trafik från dessa.
I maj samma år godkände
Datainspektionen att
Google kunde radera dessa
uppgifter. I juni året efter
kom en bekräftelse att data
raderats. Det har dock visat
sig att data funnits kvar
på säkerhetskopior och
först den 10 oktober 2012
meddelar ett oberoende
raderingsföretag att alla
data verkligen raderats.
n Datainspektionen
granskar ett par
olika bankers appar.
Myndigheten anser att
sättet som bankerna
använder för att identifiera
kunden (personnummer
plus pinkod) är för osäkert
och vill att bankerna inför
säkrare sätt för kunderna
att logga in.
n I mitten av oktober
går samtliga EU:s
dataskyddsmyndigheter
samman och riktar kritik
individuella utvecklingsplaner och andra särskilt
elevstödjande verksamheter. Myndigheten är dock
kritisk till att förslaget inte innehåller några sekretessbestämmelser
för känsliga personuppgifter inom
skolväsendet i övrigt.
– Vår erfarenhet pekar på att det i skolorna
förekommer en mängd uppgifter om elevers personliga
förhållanden som är av mycket integritetskänslig natur
och som hamnar utanför den särskilt elevstödjande
verksamheten. Inom undervisningen dokumenteras
mer och mer uppgifter om elevernas personliga åsikter,
tankar och förmågor. Att sådana uppgifter saknar
sekretesskydd är oacceptabelt, säger Göran Gräslund.
Kritik mot mer registrering
av arbetssökande
En utredning har tagit fram ett lagförslag som gör
det möjligt för Arbetsförmedlingen att registrera
uppgifter om vilka aktiviteter som arbetslösa vidtar för
att få jobb. Tanken är att den sökande själv ska fylla i
uppgifter, bland annat i fritextfält.
– Fritextsfält är alltid förenat med risker som
att onödigt mycket och känsliga personuppgifter
skrivs in, och därmed sparas för lång tid framöver
och blir tillgängliga för många personer, säger
Datainspektionens generaldirektör Göran Gräslund.
Datainspektionen kan inte ställa sig bakom förslaget
eftersom det inte redogör för hur Arbetsförmedlingen
ska minimera mängden känsliga personuppgifter som
kan komma att registreras i fritextfälten.
Datainspektionen konstaterar även i sitt yttrande
att det under relativt kort tid föreslagits flera ändringar
i Arbetsförmedlingens registerlag som har försvagat
skyddet för den personliga integriteten. Kravet att
arbetssökande måste ge sitt medgivande för att vissa
uppgifter ska registreras har tagits bort. Handläggarna
får göra bredare sökningar i förmedlingens databaser
54 Integritetsåret 2012 – Datainspektionen

och uppgifter om lagöverträdelser och andra känsliga
personuppgifter får registreras.
Nej till CSN:s hälsostatistik
Enligt ett förslag ska CSN kunna sammanställa
statistik över studenters hälsa. Datainspektionen
är kritisk till förslaget och anser att det är så
knapphändigt formulerat att det är svårt att utläsa
varför hälsostatistik måste föras på individnivå.
Datainspektionen riktar även kritik mot att
förslaget innebär att personuppgifter om enskildas
hälsotillstånd får behandlas för det vitt formulerade
ändamålet att framställa statistik över studiestöd.
Inspektionen saknar dessutom en närmare bedömning
av hur de som finns registrerade hos CSN ska
informeras om att deras känsliga uppgifter kommer att
användas för att framställa statistik.
Lättare kameraövervaka tunnelbanan
En utredning har på uppdrag av regeringen tagit fram ett förslag till ny kameraövervakningslag
som ska samla alla bestämmelser om kameraövervakning som
idag finns i två olika lagar, nämligen lagen om allmän kameraövervakning och
personuppgiftslagen. Datainspektionen
yttrade sig om förslaget
under 2010 och yttrar sig i april 2012
över ett kompletterande underlag.
Myndigheten är kritisk till att kameraövervakning
ska kunna införas i
parkeringshus utan tillstånd, däremot
delar Datainspektionen utredningens
mening att det ska kunna bli lättare
En utredning föreslår att det ska
att kameraövervaka i tunnelbanan
bli lättare att kameraövervaka
eftersom människor ofta kan känna sig tunnelbanan eftersom människor
mer utsatta där än på andra platser.
kan känna sig mer utsatta där .
Integritetsåret 2012 – Datainspektionen
55

mot Google, bland annat
för att företaget inte
tillräckligt informerar
användarna om hur deras
uppgifter kommer att
användas och inte ger
användarna möjlighet att
kontrollera hur uppgifter
från företagets olika
tjänster samkörs. Det är
första gången som alla
dataskyddsmyndigheter i
Europa går samman på det
här sättet.
n Ett företag som i dag
registrerar klotter för flera
uppdragsgivares räkning
vill sammanställa dessa
uppgifter i en central
databas för att underlätta
skadeståndsanspråk.
Lagstiftarens tanke att
andra än myndigheter
bara i undantagsfall ska få
hantera sådana uppgifter,
vilket gör att Datainspektionen
säger nej till
databasen.
n Den 18 oktober är
Datainspektionen klar
med sin granskning av
Folkpartiet. Partiet lever
inte upp till lagens krav när
det gäller hur användare
kommer åt personuppgifter
i partiets centrala medlemsregister.
Samma brist
upptäcktes även hos andra
granskade riksdagspartier.
Skarp kritik mot förordning för
befolkningsbaserad forskning
Ett förslag till förordning har lagts fram av regeringen
för att göra omfattande befolkningsbaserad forskning
som exempelvis LifeGene möjlig. Datainspektionen
granskar förslaget och riktar i ett yttrande skarp kritik
mot det.
Myndigheten är framför allt
kritisk till att det är en förordning,
som kan beslutas av regeringen,
och inte ett lagförslag, som måste
beslutas i riksdagen.
– Det är riksdagens uttalade
ambition att myndighetsregister
med ett stort antal registrerade
personer och ett särskilt känsligt
innehåll ska regleras i lag. Därför
bör det tillsättas en statlig utredning
som tar fram ett noga genomtänkt
och övervägt förslag till hur
denna typ av befolkningsbaserad
forskning ska få stöd i lagen, säger
Data inspektionens chefsjurist
Hans-Olof Lindblom.
Detta är Lifegene
Fakta
Lifegene startade 2010 och är tänkt att vara den största
och mest långsiktiga befolkningsstudie som någonsin
genomförts i Sverige. Planen är att en halv miljon
människor i åldrarna 0–45 år ska finnas med i studien.
Deltagarna ska följas under många år med regelbundna
webbenkäter, hälsokontroller och deras blod- och
urinprover ska sparas i en biobank. Strax före jul 2011
sätter Datainspektionen stopp för projektet efter att ha
inspekterat det. Ändamålet med Lifegene är ”framtida
forskning” vilket Datainspektionen anser är för otydligt.
56 Integritetsåret 2012 – Datainspektionen

Brister i förslag till nytt huliganregister
I mars 2011 tillsatte regeringen en
nationell samordnare med uppdrag
att lämna förslag på hur man kan
motverka brottsligheten i samband
med idrottsarrangemang. I
april 2012 lämnade utredaren
över betänkandet ”Mindre
våld för pengarna” till
regeringen.
Datainspektionen har
granskat betänkandet och
är positiv till förslaget att
Riksidrottsförbundet tillåts
upprätta ett centralt register
över personer med tillträdesförbud.
– Det finns alltid risk att
uppgifter i den här typen av
känsliga register kommer i
orätta händer. Utredningens
ambition att skyddet för
den personliga integriteten
Integritetsåret 2012 – Datainspektionen
ska ligga på en hög nivå är därför
lovvärd. Men förslaget innehåller
ett antal brister och oklarheter
som måste åtgärdas innan registret
kan bli verklighet, säger
Datainspektionens generaldirektör
Göran Gräslund.
I sitt yttrande listar
myndigheten flera
otydligheter: beskrivningen
av ändamålen i lagtexten
motsvarar inte de syften
som man vill uppnå med
det centrala registret, vilka
uppgifter som registret ska
innehålla måste preciseras
och man behöver närmare
analysera i vilka situationer
specialidrottsförbund
och idrottsarrangörer ska
få tillgång till de olika
uppgifterna.
57

n I april riktade
Datainspektionen kritik
mot brister i Akademiska
sjukhusets IT-system som
gjorde det omöjligt att
kontrollera om läkare
missbrukar sin möjlighet
att läsa patientjournaler.
I oktober konstaterar
Datainspektionen att
bristerna har åtgärdats eller
är på väg att åtgärdas.
n Barnkliniken vid Ystads
lasarett spelar in alla
inkommande samtal och
sparar dessa i minst tre år.
Kliniken kan inte tillräckligt
motivera inspelningarna,
konstaterar Datainspektionen.
November
n Datainspektionen
undersöker det elektroniska
informationsflöde som nu
utvecklas i rättsväsendet. I
en rapport som publiceras
den 15 november beskriver
myndigheten flödet och
identifierar brister i skyddet
av de personuppgifter som
skickas mellan de olika
myndigheterna.
n Ett elbolag har
tillsammans med sitt
inkassobolag debiterat
närmare 3 000 kunder
dubbla inkasso-
Utblick Europa
EU-kommissionen vill stärka
skyddet på nätet
Den europeiska kommissionen presenterar i januari
2012 en omfattande reformering av EU:s regler om
dataskydd med syftet att stärka integritetsskyddet
på Internet. ”Tekniska framsteg och globaliseringen
har i grunden förändrat hur våra data samlas in
och används. Dessutom har EU:s 27 medlemsstater
genomfört reglerna från 1995 på olika sätt, vilket
resulterar i skillnader i tillämpningen”, säger kommissionen.
EU-kommissionen föreslår att en enda lag införs
som kommer att gälla lika i alla EU-länder för att på så
sätt ”göra sig av med den nuvarande fragmenteringen
och kostsamma administrativa bördor”.
Datainspektionen är positiv till många av de tankar
som uttrycks i förslaget. De som är ansvariga för att
personuppgifter samlas in och hanteras kommer
på ett tydligare sätt behöva visa att de lever upp till
dataskyddsreglerna. Riskfylld behandling av personuppgifter
måste föregås av noggranna analyser av vilka
konsekvenserna blir för den personliga integriteten.
Riskfylld behandling kan till exempel vara storskaliga
register som innehåller genetiska eller biometriska
uppgifter, eller uppgifter om barn. När nya IT-system
designas måste man bygga in integritetsskydd redan
från början. Det ställs också strängare krav på hur man
informerar dem vars personuppgifter man samlar in.
– Samtidigt finns det delar i förslaget som är
svåra att tillämpa i praktiken eller som riskerar att
leda till ett sämre skydd i vissa situationer, varnar
Datainspektionens generaldirektör Göran Gräslund.
I Sverige finns idag ett stort antal speciallagar,
registerförfattningar, som bland annat reglerar hur
58 Integritetsåret 2012 – Datainspektionen

myndigheter får hantera personuppgifter. EU-kommis-
sionens förslag gör det svårt att ha sådana särskilda
regler i nationell lagstiftning.
– På så sätt kan kommissionens förslag, tvärtemot
vad som är avsett, riskera att leda till ett försvagat
integritetsskydd i Sverige.
I Sverige får man idag publicera personuppgifter i
löpande text på exempelvis en webbsida, så länge man
inte kränker enskildas personliga integritet. Kommissionens
förslag ser inte ut att ta hänsyn till sådan
publicering av personuppgifter.
– För att regleringen ska bli effektiv och vinna
acceptans bland medborgarna behövs det även
fortsättningsvis förenklade regler för den här typen av
vardaglig publicering av personuppgifter, säger Göran
Gräslund.
Kommissionen vill använda
asylsökandes fingeravtryck
I september riktar den europeiska datatillsynsmannen
(EDPS) kritik mot ett nytt förslag för hur den så kallade
Eurodac-databasen ska få användas. Eurodac är en
databas som innehåller fingeravtryck från alla personer
över 14 år som sökt asyl i någon av EU:s medlemsstater
eller i Island, Norge eller Schweiz. Databasen ska
Integritetsåret 2012 – Datainspektionen
59

kostnader. Tack vare
Datainspektionens
granskning har elbolaget
nu börjat ersätta de
drabbade kunderna.
n För två år sedan
riktade Datainspektionen
skarp kritik mot ett antal
inkassobolag för att deras
inkassokrav som rör tele-,
TV- och Internetavgifter
var för otydliga. Nu har
myndigheten gjort en
uppföljande granskning
som visar att bristerna till
stor del kvarstår.
n Datainspektionen
granskar polismyndigheterna
i Jämtland
och Västmanland och
konstaterar att det finns
brister i hur personuppgifter
hanteras i
kriminalunderrättelseverksamheten.
”Att samma fel
påträffas hos flera olika
polismyndigheter tyder
på att det kan finnas ett
metodfel hos polisen”,
säger Nicklas Hjertonsson
som lett granskningen.
n I slutet av november
överklagar Datainspektionen
förvaltningsrättens
förhindra så kallad asylshopping, vilket innebär att en
asylsökande tar sig in i EU via ett land men sedan söker
asyl i ett annat land. EU-kommissionen har nu lagt
fram ett förslag att brottsutredande myndigheter ska
få leta efter fingeravtryck i databasen. Den europeiska
datatillsynsmannen menar att databasen förvisso
skulle kunna vara ett användbart verktyg för att
bekämpa brott men att förslaget innebär ”ett allvarligt
intrång i rättigheterna för en utsatt grupp människor
som är i behov av skydd”. EDPS vill att kommissionen
lägger fram bevis och pålitlig statistik som visar på
behovet av att förslaget genomförs.
EU-direktiv ska stärka skyddet
av personuppgifter hos polisen
EU-kommissionen lägger fram ett förslag till direktiv
som ska stärka skyddet av personuppgifter som
hanteras av polisen och andra brottsbekämpande
myndigheter. Direktivet reglerar all hantering av
personuppgifter hos polisen, både sådana uppgifter
som utbyts mellan polismyndigheter i olika EU-länder
och uppgifter som hanteras inom det egna landet.
Datainspektionen välkomnar förslaget men betonar
i sitt yttrande att de nya reglerna inte får innebära att
en medlemsstat som redan idag har en hög skyddsnivå
tvingas att sänka sin nivå.
Myndigheten pekar ut ett antal punkter som bör
förtydligas i direktivet. Bland annat kan det som
räknas som brottsbekämpande verksamheter skilja
sig åt mellan olika medlemsstater. Direktivet bör
även tydligare klargöra vad som gäller när privata
aktörer hanterar uppgifter för brottsbekämpande
myndigheters räkning. Förslaget bör kompletteras
med bestämmelser som anger att personuppgifter
som behöver bevaras för arkivering inte ska finnas
tillgängliga i den operativa verksamheten under
obegränsad tid.
60 Integritetsåret 2012 – Datainspektionen

Appar, övervakade bilar och
andra nya tekniker
Ett av Datainspektionens uppdrag är att följa och
beskriva utvecklingen på IT-området när det gäller
frågor som rör integritet och ny teknik. Här följer några
exempel på teknik- och samhällsutveckling under 2012.
Bankernas appar måste bli säkrare
Datainspektionen granskar ett par olika bankers appar.
Myndigheten anser att sättet som bankerna använder
för att identifiera kunden (personnummer plus pinkod)
är för osäkert och vill att bankerna inför säkrare sätt
för kunderna att logga in.
– Via bankernas appar går det att se lån, betalningar
och andra transaktioner som genomförts på en kunds
konton. Det gör det möjligt att kartlägga personens
förehavanden i detalj, säger Adolf Slama som är
IT-säkerhetsspecialist på Datainspektionen.
Datainspektionen har uppmanat bankerna att
redovisa hur de ska införa säkrare inloggningar i
sina appar. De tre banker som undersökts är Nordea,
Handelsbanken och Danske bank.
– Besluten för dessa banker är vägledande även
för övriga banker. Vår förhoppning är resultatet från
vår granskning kommer att mynna ut i en form av
branschstandard som höjer säkerheten i samtliga
bankers appar, säger Adolf Slama.
Försäkringsbolag
vill övervaka hur du kör
Försäkringsbolaget Folksam vill införa en bilförsäkring
som bygger på att försäkringstagaren betalar en
premie som beräknas utifrån hur bilen körs. För att det
ska vara möjligt måste speciell utrustning installeras
Integritetsåret 2012 – Datainspektionen
61

dom i ett mål som rör
hur ett kreditupplysningsföretag
lämnar ut
kreditupplysningar utan
att skicka kopior till de
personer som upplysningarna
gäller.
December
n Den 10 december är
Datainspektionen klar med
en stor undersökning av
forskningsprojekt. Totalt
har närmare 50 projekt
granskats hos ett 20-tal
universitet, högskolor och
myndigheter. Granskningen
visar att det finns brister
i hur man informerar de
personer vars uppgifter
registreras. Hur pass
bra man informerar kan
dessutom variera inom en
och samma högskola eller
universitet.
n Datainspektionen
granskar KBT-behandlingar
på nätet och riktar kritik
mot bland annat för
låg säkerhet, bristande
information till de som
deltar och för dålig kontroll
av vilka som tar del av
patienternas uppgifter.
n Polisen i Uppsala
får skarp kritik av
Datainspektionen efter
att ha publicerat bilder
i bilen. Utrustningen består av en GPS-mottagare och
en mobiltelefon. GPS-mottagaren mäter kontinuerligt
var bilen befinner sig. Bilens position jämförs med
en vägdatabas som innehåller uppgifter om vilken
hastighetsbegränsning som gäller på Sveriges vägar.
Bilens hastighet jämförs med den gällande hastighetsbegränsningen.
Via mobiltelefonen i utrustningen
rapporteras uppgifterna till försäkringsbolaget.
Uppgifterna som försäkringsbolaget får tillgång
till gör det möjligt att se om bilen har körts för fort.
I normala fall är det endast myndigheter som får
registrera uppgifter om brott, som exempelvis fortkörningar.
Försäkringsbolaget har därför ansökt om ett
undantag som gör det möjligt för bolaget att registrera
den här typen av uppgifter i systemet.
I oktober beviljar Datainspektionen Folksams
ansökan att få registrera personuppgifter som kan röra
brott (i det här fallet fortkörningar).
– Avgörande faktorer i vår bedömning är att det
är frivilligt att använda det här försäkringsupplägget
och att bolaget inte får använda uppgifterna till något
annat än att beräkna försäkringspremien, säger Martin
Brinnen, jurist på Datainspektionen.
Granskning av hur socialnämnder
använder surfplattor
Det blir allt vanligare att kommunala nämnder digitaliserar
sin pappershantering för att komma ifrån
stora mängder pappersutskick, bland annat inför
nämnd- och utskottssammanträden. De digitala
handlingarna kan läsas och hanteras via surfplattor
som Ipad. ”Kommer en surfplatta i orätta händer kan
potentiellt känsliga personuppgifter spridas snabbt och
okontrollerat. Därför är det viktigt att informationen
på surfplattorna är tillräckligt skyddad”, säger Ingela
Alverfors som leder det projekt som Datainspektionen
drar igång i april 2012.
62 Integritetsåret 2012 – Datainspektionen

Bilägare måste informeras om riktad reklam
som visas i parkeringsgarage
Ett företag har tagit
fram en lösning för
att visa riktad reklam
i parkeringsgarage.
Systemet läser av
bilarnas registreringsskyltar
när de åker in i
garaget. Med hjälp av
bilregistrets uppgifter
om bilmodell och
bostadsort samt
Ny teknik gör det möjligt att visa riktad reklam till
statistik från SCB om bilister . Vilken reklam som visas avgörs av bland annat
bland annat åldersför- bilmodell och var bilägaren bor .
delning och inkomst
för bostadsområdet, visas riktad bilförarna om att deras uppgifter
reklam på ljusskyltar lite längre in registreras och används för att visa
i garaget. Uppgifterna i systemet riktad reklam i garaget. Datainspek-
används även för statistik över
tionen förelägger därför företaget att
besöksfrekvens och återbesök.
se till att sådan information lämnas.
Datainspektionen har granskat Den informationen kan till exempel
systemet och konstaterar att sättet finnas på skyltar i garaget med en
som personuppgifter hanteras är kortfattad text samt hänvisning till
tillåtet enligt personuppgiftslagen. ytterligare information på företagets
Däremot saknas information till webbplats.
Integritetsåret 2012 – Datainspektionen
63

på en oskyldig person på
Internet och låtit bilderna
på honom ligga kvar i mer
än ett halvår efter det att
förundersökningen lades
ned.
n Den 18 december
publicerar Datainspektionen
en checklista för
hur skolor bör hantera
skyddade personuppgifter.
Till grund för checklistan
ligger en granskning av
hur kommuner hanterar
skyddade personuppgifter
inom skolan.
n Sveriges Radios
populära radioprogram
Ring P1 har en hemlig
databas över de lyssnare
som ringt till programmet,
avslöjar Dagens Nyheter.
Databasen ska ha funnits i
flera år och de som ringer
får inte reda på att de
registreras.
n En utredning har på
uppdrag av regeringen
tagit fram ett förslag
till översyn av lagarna
för tryck- och yttrandefrihet.
Datainspektionen
kommenterar förslaget och
anser att det bör införas
Myndigheten ska undersöka socialnämnder i
Gislaved, Järfälla, Norrköping och Halmstad. Bland
frågorna som ska besvaras finns: kan de förtroendevalda
använda egna, privat inköpta, surfplattor,
har nämnden infört förbud eller begränsningar för
privat användning eller hinder mot att ladda ner
eller installera vissa appar, finns det någon central
spärrfunktion eller distansradering, innehåller
surfplattorna sekretessbelagd information eller
dokument som innehåller känsliga eller integritetskänsliga
personuppgifter. Projektet ska vara slutfört
under våren 2013.
Svensk rädsla för hur
personuppgifter hanteras
Post- och Telestyrelsen, PTS, undersöker tillsammans
med TNS Sifo hur svenska konsumenter ser på
Internetsäkerhet. Merparten av de tusen personer som
intervjuats uppger att det finns risker med att använda
Internet. Den största risken anses vara att personuppgifter
hamnar i orätta händer. Var femte har under
det senaste året också valt att avsluta, eller inte börja
använda, en tjänst på grund av hur tjänsten använder
personuppgifter.
Drygt hälften av de tillfrågade anser att det är bra
med en tjänst som innebär att man kan positionera
sig själv. Däremot är uppfattningen mindre positiv till
möjligheten att positionera eller själv bli positionerad
av vänner/familjemedlemmar. 37 procent tycker inte
att det är bra att kunna positionera sina nära och kära
och 44 procent vill inte själva bli positionerade.
Läs undersökningen här: http://bit.ly/wxjBAH
64 Integritetsåret 2012 – Datainspektionen

Företag som använder
molntjänst åtgärdar brister
I september 2011 konstaterade Datainspektionen att
flera granskade organisationer bröt mot personuppgiftslagen
i sitt sätt att använda molntjänster.
Myndigheten riktade bland annat
kritik mot bristande avtal och att
företagen inte vet vilka underleverantörer
som hanterar deras personuppgifter.
Ett av de företag som granskades var Brevo.
Företaget har under 2012 redovisat en rad åtgärder som
vidtagits och i september meddelar Datainspektionen
att företaget åtgärdat de brister som identifierades vid
myndighetens inspektion.
Kommun ska redovisa åtgärder
I samma granskning av molntjänster riktade Datainspektionen
kritik mot hur Salems kommun använder en tjänst
från Google. I oktober 2012 begär Datainspektionen att
kommunstyrelsen ska redogöra för vilka åtgärder som
vidtagits sedan granskningen. Kommunstyrelsen ska
också redogöra för om kommunen använder ytterligare
molntjänster och vilka dessa i så fall är.
Integritetsåret 2012 – Datainspektionen
65

en straffbestämmelse
för att motverka grova
kränkningar på bland annat
Internet.
n Polisen kallas in efter ett
upplopp vid ett gymnasium
i Göteborg där hundratals
ungdomar samlats för att
få tag på den person som
enligt rykten hängt ut
tjejer på fotodelningssajten
Instagram.
Nyhetsbrev
Fortsätt att följa vad
som händer på integritetsområdet.
Beställ en
prenumeration på vårt
nyhetsbrev på www.
datainspektionen.se
Ny vägledning ska ge
bättre integritetsskydd
I slutet av januari 2012 presenterar Datainspektionens
IT-säkerhetsspecialister en vägledning för ”privacy by
design”, det vill säga för hur IT-system bör utformas
för att redan från början uppfylla kraven i personuppgiftslagen.
Personuppgiftslagen bygger på ett par
grundläggande principer: man ska inte samla in mer
information än vad som behövs, inte ha kvar informationen
längre än man behöver och inte använda den till
något annat än vad man samlade in den för.
– Få IT-system tar hänsyn till de här principerna.
Därför har vi tagit fram den här vägledningen.
Genom att göra rätt redan från början kan man
göra stora kostnadsbesparingar eftersom man då
inte behöver bygga till
integritetsskyddande
funktioner i efterhand,
säger Datainspektionens
IT-säkerhetsspecialist
Mikael Ejner.
Vägledningen kan
kostnadsfritt hämtas som
pdf-dokument på myndighetens
webbplats.
66 Integritetsåret 2012 – Datainspektionen

Vill du veta mer om
integritetsfrågor?
På Datainspektionens webbplats www.datainspektionen.se
kan du läsa mer om integritetsfrågor och
ladda ner eller beställa informationsmaterial. Där kan
du också anmäla att du vill få våra pressmeddelanden
på mejl eller teckna en kostnadsfri prenumeration på
vår tidning Integritet i fokus.
Anmäl dig till en kurs
Datainspektionen anordnar regelbundet grundkurser i
personuppgiftslagen. Där får du en allmän genomgång
av personuppgiftslagen och hur den tillämpas. Vi
anordnar också specialanpassade kurser som vänder
sig till olika branscher.
Läs mer om aktuella kurser på www.datainspektionen.se/utbildning.
Integritetsåret 2012 – Datainspektionen
67

Datainspektionen
Datainspektionen är en myndighet som arbetar för att behandlingen
av personuppgifter i samhället inte ska medföra otillbörliga intrång i
enskilda människors personliga integritet. Ansvarsområdet omfattar
framförallt personuppgiftslagen, inkassolagen och kreditupplysningslagen.
Datainspektionen gör inspektioner och hanterar klagomål från enskilda
medborgare samt tar fram vägledningar och ger synpunkter på utredningar
och lagförslag. Datainspektionen har också en omfattande informationsverksamhet,
vi utbildar, svarar på frågor och ger stöd till personuppgiftsombud.
Kontakta Datainspektionen
E-post: datainspektionen@datainspektionen.se Webb: www.datainspektionen.se
Tfn 08-657 61 00. Postadress: Datainspektionen, Box 8114, 104 20 Stockholm.