rap-integritetsaret-2012
rap-integritetsaret-2012
rap-integritetsaret-2012
Create successful ePaper yourself
Turn your PDF publications into a flip-book with our unique Google optimized e-Paper software.
Integritetsåret <strong>2012</strong><br />
80<br />
lagar, lagförslag, beslut och händelser<br />
som påverkade den personliga<br />
integriteten under året
Med den här sammanställningen vill Datainspektionen ge en bild av hur det gångna året<br />
såg ut från integritets synpunkt. Ambitionen är inte att ge en fullständig, heltäckande<br />
beskrivning utan att ta upp ett antal av de viktigaste lagförslagen som kom under året,<br />
beskriva några av Datainspektionens mest uppmärksammade beslut och ge exempel på<br />
några av de händelser som kommit att påverka den personliga integriteten.
Integritetsåret <strong>2012</strong><br />
80 lagar, lagförslag, beslut och händelser<br />
som påverkade den personliga<br />
integriteten under året<br />
Text: Per Lövgren<br />
Form: Fredrik Karlsson<br />
Omslagsfoto: Erica Lindblom / SCANPIX<br />
Foto sidan 7: Björn Larsson Rosvall / SCANPIX<br />
Tryckt hos Ineko, i februari 2013<br />
på Arctic Volume White. Miljömärkt trycksak 341 142.<br />
Datainspektionen<br />
Januari 2013
Innehåll<br />
Året då integritetskränkningar ledde till kravaller<br />
och upplopp . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 8<br />
Kränkningar på nätet . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 10<br />
Upplopp i Göteborg efter sexrykten på nätet .............10<br />
Ytterst få åtal för brott mot personuppgiftslagen ..........11<br />
Sajten Migileaks polisanmäls. . . . . . . . . . . . . . . . . . . . . . . . . . 12<br />
Spred nakenbilder på sina personliga assistenter ...........13<br />
Datainspektionen står maktlös ........................13<br />
Bilfirma hänger ut kunder som klagar ...................14<br />
Bloggande pappa fälld i domstol ......................14<br />
Skadestånd för att ha publicerat dom på webbplats ........15<br />
Facebook och Google . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 16<br />
Europa riktar kritik mot Google .......................16<br />
Den till synes oändliga följetongen: Google Street View .....17<br />
Irritation gör att var tredje vill lämna Facebook ............18<br />
Rekryterare kontrollerar dig på Facebook ................19<br />
Facebook stänger av ansiktsigenkännning ...............19<br />
Polis, åklagare, domstol . . . . . . . . . . . . . . . . . . . . . . . . . . . 21<br />
Polisen hängde ut oskyldig med bild i ett halvår ...........21<br />
Polisen får kritik för Facebook-efterlysning ...............22<br />
Dåliga rutiner för gallring i polisens register ..............22<br />
Polisen brister i sin underrättelseverksamhet ..............23<br />
Rättsväsendet brister i sin hantering av känsliga uppgifter ...24<br />
SKL använder DNA-databas olagligt ....................24<br />
Polisen lagrar för mycket uppgifter från beslagtagna<br />
mobiltelefoner ....................................25<br />
Åklagarmyndigheten hänger ut SOS-sköterska ............26<br />
Gotlands tingsrätt måste sluta publicera namn<br />
på sin webbplats ..................................27<br />
JO: Polisen kan aldrig garantera din anonymitet ...........28<br />
4 Integritetsåret <strong>2012</strong> – Datainspektionen
Butik la upp film med tjuvar på Facebook ................28<br />
Över 800 anmälda fall av stalkning .....................29<br />
Samhället och medborgaren . . . . . . . . . . . . . . . . . . . . . . . 30<br />
Sveriges Radio avslöjas ha hemlig databas ...............30<br />
Färdtjänsten lagrar för mycket om sina resenärer ..........31<br />
Kommuner brister i sin publicering på Internet ............31<br />
Skadestånd för felaktig hantering av hemlig adress ........32<br />
Nej till kameraövervakning i skolor .....................32<br />
Elever kameraövervakas olagligt .......................33<br />
Länsstyrelse måste begränsa tillgången till personuppgifter ..34<br />
Databas för reklamationer får inte användas<br />
som brottsregister .................................35<br />
Bevakningsföretag kan fortsätta registrera klottrare ........36<br />
Nej till företag som vill skapa central klotterdatabas ........36<br />
Samtliga riksdagspartier under granskning ...............37<br />
Jurist gjorde olaglig dataslagning ......................38<br />
Högsta förvaltningsdomstolen gav Datainspektionen rätt ....38<br />
Skadestånd för felskickad deklaration ...................38<br />
Personnummer stals vid dataintrång ....................39<br />
Kreditupplysningar och inkasso . . . . . . . . . . . . . . . . . . . . 40<br />
Kreditupplysningsföretag hittar nya sätt att kringgå lagen ...40<br />
Datainspektionen överklagar dom om kreditupplysningar ....40<br />
Inkassobolag fortsätter skicka otydliga krav ..............41<br />
Elkunder ersätts för dubbla inkassokostnader .............42<br />
Övervakning i arbetslivet . . . . . . . . . . . . . . . . . . . . . . . . . 43<br />
Så får arbetsgivare hantera personuppgifter ..............43<br />
Bussbolag måste sluta kameraövervaka personal ..........44<br />
Fel av butik använda dold kameraövervakning ............45<br />
”Frivilliga” brottsutdrag ökar lavinartat ..................45<br />
Vården, forskningen, patienten och lagen . . . . . . . . . . . . 46<br />
Stor granskning: Svårt för patienter spärra journaluppgifter ..46<br />
Fel av barnklinik spela in alla samtal ....................47<br />
Integritetsåret <strong>2012</strong> – Datainspektionen<br />
5
Brist i journalsystem omöjliggör kontroll .................47<br />
Granskning av hur dementa registreras ..................48<br />
Personuppgifter får inte användas för opreciserad forskning ..48<br />
Kritik mot brister i journalsystem ......................49<br />
Register över vårdpersonal läggs ut på nätet ..............49<br />
Forskningsprojekt dåliga på att informera ................50<br />
Kritik mot KBT-behandlingar på Internet .................51<br />
Sjuksköterska dömd för dataintrång ....................51<br />
Lagar, lagförslag och myndighetsregister . . . . . . . . . . . . 52<br />
Inför straff för att motverka kränkningar ................52<br />
Dåligt utrett förslag till ny lag om händelseanalyser<br />
vid självmord .....................................52<br />
Kritik mot att polisen får tillgång till FRA:s signalspaning ....53<br />
Oacceptabla brister i förslag som ska stärka elevsekretess. . . . 53<br />
Kritik mot mer registrering av arbetssökande .............54<br />
Nej till CSN:s hälsostatistik ...........................55<br />
Lättare kameraövervaka tunnelbanan ...................55<br />
Skarp kritik mot förordning för befolkningsbaserad<br />
forskning ........................................56<br />
Brister i förslag till nytt huliganregister ..................57<br />
Utblick Europa . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 58<br />
EU-kommissionen vill stärka skyddet på nätet .............58<br />
Kommissionen vill använda asylsökandes fingeravtryck ......59<br />
EU-direktiv ska stärka skyddet av personuppgifter<br />
hos polisen .......................................60<br />
Appar, övervakade bilar och andra nya tekniker . . . . . . . 61<br />
Bankernas appar måste bli säkrare .....................61<br />
Försäkringsbolag vill övervaka hur du kör ................61<br />
Granskning av hur socialnämnder använder surfplattor .....62<br />
Bilägare måste informeras om riktad reklam<br />
i parkeringsgarage .................................63<br />
Svensk rädsla för hur personuppgifter hanteras ...........64<br />
Företag som använder molntjänst åtgärdar brister .........65<br />
Ny vägledning ska ge bättre integritetsskydd .............66<br />
6 Integritetsåret <strong>2012</strong> – Datainspektionen
Integritetsåret <strong>2012</strong> – Datainspektionen<br />
”Polisen tvingades kalla in hästar, hundar, piket,<br />
ordningspolis och helikopter efter att hundratals<br />
ungdomar på tisdagen samlats utanför Plusgymnasiet<br />
i Göteborg . Anledningen var att en person<br />
som enligt ett rykte hängt ut framför allt unga<br />
tjejer på Instagram med kränkande kommentarer,<br />
skulle befinna sig på skolan .”<br />
Tidningen Expressen GT den 18 december <strong>2012</strong><br />
7
Året då integritetskränkningar<br />
ledde till kravaller och upplopp<br />
18 december <strong>2012</strong>. En hittills okänd person registrerar<br />
ett konto på fotodelningssajten Instagram och publicerar<br />
kränkande texter och bilder på en rad unga tjejer i<br />
Göteborgstrakten. Någon dag senare sprids ett rykte att<br />
personen som skapat kontot ska gå på ett visst gymnasium.<br />
Upplopp bryter ut när flera hundra unga beger sig dit för<br />
att hämnas på personen.<br />
Händelsen får stor uppmärksamhet i massmedia. I en<br />
debattartikel kallas upploppen för ”ett rop på lagstiftning<br />
och en solidarisk reaktion mot kränkning”. Polisen startar<br />
en utredning av händelsen medan andra manar till ökad<br />
vuxennärvaro på nätet.<br />
Det här är bara ett exempel på de kränkningar som blir<br />
allt vanligare på Internet. På Datainspektionen tar vi i<br />
princip dagligen emot samtal från personer som upplever<br />
”<br />
sig kränkta på nätet. I många fall är det<br />
svårt eller omöjligt för oss att hjälpa till.<br />
Det framförs enormt Varför? En artikel i Svenska Dagbladet<br />
grova kränkningar på nätet sammanfattar problematiken på ett bra sätt:<br />
där skribenten hävdar att ”När det gäller förtal och kränkningar<br />
det finns ett journalistiskt på nätet kan det vara svårt att hitta den<br />
ändamål.<br />
ansvarige. Dessutom är det endast i ett fåtal<br />
fall åklagare tar sig an ärendet. En del av<br />
det som skrivs på nätet som kan uppfattas kränkande kan<br />
faktiskt vara tillåtet.”<br />
Det här är femte året i rad som Datainspektionen ger<br />
ut skriften Integritetsåret. Redan andra året, 2009, skrev<br />
jag i mitt förord att vi känner en allt större frustration och<br />
maktlöshet när det gäller de omfattande kränkningarna av<br />
enskilda på nätet. (Aftonbladet tycks ha tagit fasta på mina<br />
farhågor när de under <strong>2012</strong> utnämnde Datainspektionen<br />
till en av de mest maktlösa i Sverige, just på grund av att vi<br />
har så svårt att komma åt nätkränkningar).<br />
Ett närmast märkligt sammanträffande är att<br />
Datainspektionen faktiskt samma dag som upploppen i<br />
8 Integritetsåret <strong>2012</strong> – Datainspektionen
Göteborg skickade in ett yttrande till Justitiedepar-<br />
tementet där vi skriver att det bör införas en straff-<br />
bestämmelse för att motverka grova kränkningar på<br />
bland annat Internet. Även om de stora problemen<br />
inte finns inom det så kallade grundlagsskyddade<br />
området, anser jag att straffbestämmelsen ska vara<br />
generell och gälla överallt, från stora tidningars sajter<br />
till små privatbloggar, och även om syftet uppges vara<br />
journalistiskt. Det framförs enormt grova kränkningar<br />
på nätet där skribenten hävdar att det finns ett<br />
journalistiskt ändamål. Jag tror att en sådan straffbestämmelse<br />
skulle skapa en bättre balans mellan<br />
yttrandefrihet och integritetsskydd.<br />
Även om kränkningar på nätet blir ett allt större<br />
problem, så är det en liten del av Datainspektionens<br />
verksamhetsområde. En känsla för bredden i vårt<br />
uppdrag får du genom att bläddra i den här skriften.<br />
Du kan bland annat läsa om några av de granskningar<br />
vi gjort av polisen under året. En ny polisdatalag<br />
har trätt ikraft och det pågår en intensiv utveckling av<br />
ett antal stora IT-system hos polisen. Tyvärr visar våra<br />
inspektioner att flera polismyndigheter har hanterat<br />
personuppgifter i strid med gällande regler. Efter en<br />
av årets sista granskningar, då vi påträffade i stort sett<br />
samma brister som vid tidigare granskningar, uttryckte<br />
vi oro för att det kan finnas ett metodfel i hur polisen<br />
behandlar personuppgifter inom den särskilt integritetskänsliga<br />
kriminalunderrättelseverksamheten.<br />
Integritetsåret <strong>2012</strong> – Datainspektionen<br />
Göran Gräslund,<br />
Generaldirektör<br />
Januari 2013<br />
9
Januari<br />
n Färdtjänsten i Göteborg<br />
lagrar mycket känsliga<br />
personuppgifter i sitt<br />
verksamhetssystem som<br />
inte behövs för handläggningen.<br />
Dessa uppgifter ska<br />
tas bort från systemet och i<br />
stället arkiveras, konstaterar<br />
Datainspektionen efter sin<br />
granskning.<br />
n ”Alla gör det. Publicerar<br />
listor över vem som har<br />
mest makt i Sverige.<br />
Men vem har egentligen<br />
minst makt?” Det undrar<br />
Aftonbladet och publicerar<br />
i januari en lista över<br />
vad tidningen anser vara<br />
de 100 mest maktlösa i<br />
Sverige. Datainspektionen<br />
kommer in på en mindre<br />
hedrande 51:a plats, dock<br />
efter Caremas anställda<br />
och de vietnamesiska<br />
bärplockarna. Aftonbladet<br />
hänvisar till en debattartikel<br />
där Datainspektionens<br />
generaldirektör uttrycker<br />
maktlöshet när det gäller<br />
att bekämpa kränkningarna<br />
på Internet.<br />
n Ett förslag har lagts<br />
fram för hur sekretessen för<br />
elevuppgifter ska stärkas.<br />
Datainspektionen är kritisk<br />
till att utredningen inte<br />
föreslår något generellt<br />
sekretesskydd för känsliga<br />
Kränkningar på nätet<br />
Upplopp i Göteborg efter<br />
sexrykten på nätet<br />
Polisen tvingades kalla in hästar, hundar, piket,<br />
ordningspolis och helikopter efter att hundratals<br />
ungdomar på tisdagen samlats utanför Plusgymnasiet i<br />
Göteborg. Anledningen var att en person som enligt ett<br />
rykte hängt ut framför allt unga tjejer på Instagram med<br />
kränkande kommentarer, skulle befinna sig på skolan.<br />
Så skriver tidningen Expressen GT den 18 december.<br />
Ett par dagar tidigare hade någon registrerat ett<br />
användarkonto på Instagram, en tjänst för att dela med<br />
sig av foton. Via kontot har sedan unga tjejer hängts ut<br />
med sexuella anspelningar och påståenden, och bilder<br />
stulna från bland annat Facebook och Twitter.<br />
– Det är helt klart en kränkning att försöka skandalisera<br />
andra människor på det här sättet på nätet. Om<br />
Oroligheterna i Göteborg i december fick stor<br />
uppmärksamhet i massmedia .<br />
10 Integritetsåret <strong>2012</strong> – Datainspektionen
man behandlar känsliga uppgifter, som en persons<br />
sexuella aktiviteter, på det här sättet, så kan det vara<br />
straffbart. Och det finns fängelse med på straffskalan,<br />
sa Datainspektionens chefsjurist Hans-Olof Lindblom<br />
till Expressen GT i samband med händelsen.<br />
Det var ett rykte att personen bakom kontot skulle<br />
befinna sig på gymnasiet i Göteborg som ledde till<br />
att flera hundra ungdomar samlats vid skolan. Senare<br />
under dagen hämtades en 17årig flicka in till förhör av<br />
polisen. 17-åringen är dock inte längre misstänkt för<br />
att ha registrerat kontot och publicerat uppgifterna.<br />
”Inför straff för att motverka kränkningar”<br />
Samma dag som upploppen i Göteborg skriver<br />
Datainspektionen i ett yttrande att myndigheten anser<br />
att det behövs en generell straffbestämmelse som<br />
kriminaliserar grova kränkningar. Läs mer på sidan 52.<br />
Ytterst få åtal för brott mot<br />
personuppgiftslagen<br />
Kränkningar på Internet kan vara fråga om<br />
både ärekränkningsbrott och brott mot personuppgiftslagen.<br />
Åklagarmyndigheten har under åren<br />
2007–2010 registrerat 80–100 misstankar per år om<br />
brott mot personuppgiftslagen, att jämföra med 7 700<br />
registrerade misstankar om ärekränkningsbrott per år.<br />
Under åren 2006–2010 finns det dessutom endast två<br />
registrerade åtal för brott mot personuppgiftslagen.<br />
”Eftersom många ärekränkningsbrott numera<br />
äger rum på Internet kan det antas att ett stort antal<br />
misstankar om brott mot personuppgiftslagen inte<br />
anmäls eller registreras hos varken polisen eller<br />
Åklagarmyndigheten”, skriver myndigheten i en så<br />
kallad rättspromemoria som publiceras i januari <strong>2012</strong>.<br />
”En orsak till detta kan vara att en del klagomål ställs<br />
Integritetsåret <strong>2012</strong> – Datainspektionen<br />
11
uppgifter utanför den<br />
särskilda elevstödjande<br />
verksamheten. ”Inom<br />
undervisningen tenderar<br />
mer och mer uppgifter om<br />
elevernas personliga åsikter,<br />
tankar och förmågor<br />
att dokumenteras.<br />
Att sådana uppgifter<br />
saknar sekretesskydd<br />
är oacceptabelt”, säger<br />
Datainspektionens generaldirektör.<br />
n Inför den internationella<br />
dataskyddsdagen<br />
den 28 januari, deltar<br />
Datainspektionens generaldirektör<br />
i två chattar<br />
om nätkränkningar på<br />
webbplatserna för Sveriges<br />
största dagstidningar,<br />
Dagens Nyheter och<br />
Svenska Dagbladet.<br />
n Kränkningar på<br />
Internet kan vara fråga om<br />
både ärekränkningsbrott<br />
och brott mot personuppgiftslagen.<br />
I januari<br />
publicerar Åklagarmyndigheten<br />
en rättspromemoria<br />
om brott mot<br />
personuppgiftslagen. I<br />
den framgår att Åklagarmyndigheten<br />
under åren<br />
2007–2010 har registrerat<br />
80–100 misstankar per<br />
år om brott mot personuppgiftslagen,<br />
att jämföra<br />
med 7 700 registrerade<br />
misstankar om ärekränk-<br />
direkt till Datainspektionen, som sedan gör en första<br />
gallring och därefter i några enstaka fall beslutar att<br />
polisanmäla personuppgiftsbehandlingen. En annan<br />
förklaring kan vara okunskap om regelsystemet hos<br />
dem som blivit utsatta för en kränkande publicering.”<br />
Sajten Migileaks polisanmäls<br />
Datainspektionen tar emot emot klagomål mot sajten<br />
Migileaks som publicerar domar från migrationsdomstolar.<br />
På sajten publiceras i bloggform inlägg om<br />
domar som rör asylsökande. Inläggen består typiskt av<br />
en kortare skriven text och en länk till den inskannade<br />
domen.<br />
Myndigheten granskar sajten och bedömer att den<br />
i stora delar har ett journalistiskt ändamål. Då gäller<br />
inte personuppgiftslagen. Det finns dock uppgifter<br />
publicerade som är av rent privat karaktär och som<br />
därför inte kan anses ha ett journalistiskt syfte. I de<br />
publicerade domarna förekommer känsliga personuppgifter<br />
och uppgifter om lagöverträdelser om<br />
namngivna personer som sökt asyl i Sverige. I de flesta<br />
fall publiceras den asylsökandes personnummer och<br />
adress.<br />
– Att debattera och kritisera den svenska asylprocessen<br />
med hjälp av information från migrationsdomstolar<br />
kan ha ett journalistiskt ändamål men det<br />
finns en gräns för vad man kan publicera på Internet<br />
utan att man behöver ta hänsyn till bestämmelserna<br />
i personuppgiftslagen. I det här fallet har den gränsen<br />
passerats, säger Datainspektionens generaldirektör<br />
Göran Gräslund.<br />
Den ursprungliga Migileaks-sajten har lagts ner<br />
men materialet har tagits över av en annan sajt.<br />
Dessutom publiceras materialet på ytterligare en sajt.<br />
I april polisanmäler Datainspektionen samtliga tre<br />
sajter.<br />
12 Integritetsåret <strong>2012</strong> – Datainspektionen
Datainspektionen står maktlös<br />
”Alla gör det. Publicerar listor över vem som har mest makt i Sverige. Men vem<br />
har egentligen minst makt?” Det undrar Aftonbladet och publicerar i januari en<br />
lista över vad tidningen anser vara de 100 mest maktlösa i Sverige. Datainspektionen<br />
kommer in på en mindre hedrande 51:a plats, dock efter Caremas<br />
anställda, de vietnamesiska<br />
bärplockarna och arbetsförmedlarna.<br />
Aftonbladet<br />
hänvisar till en debattartikel<br />
där Datainspektionens<br />
generaldirektör uttrycker<br />
maktlöshet när det gäller att<br />
bekämpa kränkningarna på<br />
Internet.<br />
Listan i sin helhet hittar du<br />
Enligt Aftonbladet är Datainspektionen<br />
här: http://bit.ly/xmL6KK<br />
en av de 100 mest maktlösa i Sverige .<br />
Spred nakenbilder på<br />
sina personliga assistenter<br />
En 37-årig man döms för grovt förtal efter att<br />
ha publicerat nakenbilder på sina två personliga<br />
assistenter på olika webbsidor. Mannen hade satt upp<br />
en kamera inne på sin toalett och fotograferade en<br />
av sina personliga assistenter där. Han skaffade sig<br />
även åtkomst till den andra kvinnans dator och stal<br />
från den flera nakenbilder som kvinnan hade på sig<br />
själv. Förutom nakenbilder publicerade mannen även<br />
kvinnornas namn, telefonnummer och e-postadress.<br />
Mannen dömdes till 75 timmars samhällstjänst och att<br />
betala sammanlagt 50 000 kronor i skadestånd till de<br />
två kvinnorna.<br />
Integritetsåret <strong>2012</strong> – Datainspektionen<br />
13
ningsbrott per år. Under<br />
åren 2006–2010 finns det<br />
dessutom endast två registrerade<br />
åtal för brott mot<br />
personuppgiftslagen.<br />
n Den 27 januari,<br />
dagen före den internationella<br />
dataskyddsdagen,<br />
presenterar EU-kommissionen<br />
en omfattande<br />
reform av EU:s regler om<br />
dataskydd med syftet att<br />
stärka integritetsskyddet på<br />
Internet. EU-kommissionen<br />
föreslår att en enda lag<br />
införs som kommer att<br />
gälla lika i alla EU-länder<br />
för att på så sätt ”göra sig<br />
av med den nuvarande<br />
fragmenteringen och<br />
kostsamma administrativa<br />
bördor”.<br />
n I slutet av januari<br />
presenterar Datainspektionen<br />
en vägledning för<br />
privacy by design eller<br />
inbyggt integritetsskydd,<br />
som beskriver hur IT-system<br />
bör utformas för att redan<br />
från början uppfylla kraven<br />
i personuppgiftslagen.<br />
Vägledningen kan hämtas<br />
kostnadsfritt på myndighetens<br />
webbplats.<br />
Februari<br />
n Datainspektionen<br />
tar emot klagomål att<br />
Bilfirma hänger ut<br />
kunder som klagar<br />
Datainspektionen granskar efter klagomål en<br />
bilfirma som publicerar uppgifter om kunder som<br />
förlorat tvister mot firman i Allmänna reklamationsnämnden.<br />
Förutom nämndens avgörande publiceras<br />
personernas namn och adress tillsammans med en kort<br />
formulering.<br />
Datainspektionen konstaterar att ett av syftena med<br />
publiceringen har varit att ”hänga ut” de personer som<br />
klagat på bilfirmans tjänster och på så sätt misskreditera<br />
dessa. Publiceringen är därför kränkande mot<br />
de personer som nämns och strider mot personuppgiftslagen.<br />
Att besluten från Allmänna reklamationsnämnden<br />
är allmänna handlingar innebär inte att det<br />
är fritt fram att sprida dem vidare. Webbplatsen är nu<br />
stängd.<br />
Bloggande pappa fälld i domstol<br />
En pappa som har bloggat om sin pågående<br />
vårdnadstvist döms för brott mot personuppgiftslagen.<br />
Datainspektionen har tagit emot<br />
flera klagomål mot bloggen och<br />
konstaterade 2010 att ett par<br />
14 Integritetsåret <strong>2012</strong> – Datainspektionen
av inläggen på den bröt mot personuppgiftslagen.<br />
Mannen hävdade att bloggen har ett journalistiskt<br />
ändamål vilket gör att stora delar av personuppgiftslagen<br />
inte skulle gälla. Datainspektionen ansåg<br />
dock att undantaget för journalistiskt ändamål inte<br />
gäller om uppgifterna som publiceras är av rent privat<br />
karaktär. Inläggen ifråga har tagits bort från bloggen<br />
men åklagare ansåg ändå att det fanns skäl att väcka<br />
åtal för brott mot personuppgiftslagen. Mannen döms i<br />
april <strong>2012</strong> till 50 dagsböter.<br />
Skadestånd för att ha publicerat<br />
dom på webbplats<br />
Efter en tvist i tingsrätten lade en juristbyrå, som<br />
företrätt en av parterna, ut domen på sin webbplats. I<br />
den publicerade domen fanns namn och adress på den<br />
andra parten i tvisten. Personuppgifterna<br />
anonymiserades senare<br />
men motparten väckte talan mot<br />
juristbyrån och yrkade på skadestånd enligt personuppgiftslagen,<br />
skriver tidningen Dagens Juridik.<br />
I tingsrätten dömdes juristbyrån att betala 12 000<br />
kronor i skadestånd. Domen överklagades till<br />
hovrätten som också den ansåg att publiceringen hade<br />
inneburit en kränkning av den personliga integriteten.<br />
Eftersom inga felaktiga uppgifter hade publicerats och<br />
personen inte pekats ut som brottsling sänktes ersättningen<br />
till 4 000 kronor.<br />
Juristbyrån överklagade hovrättens dom och<br />
menade att varken spridning, kränkning eller<br />
skada uppkommit. Även den utpekade mannen har<br />
överklagat och yrkar på ett skadestånd på 12 000<br />
kronor. I slutet av <strong>2012</strong> meddelar Högsta domstolen<br />
prövningstillstånd i tvisten.<br />
Integritetsåret <strong>2012</strong> – Datainspektionen<br />
15
en dagligvarubutik i<br />
Östersund har övervakat<br />
sina anställda och anställda<br />
på ett grannföretag med<br />
dold kamera. Orsaken ska<br />
vara problem med svinn.<br />
Myndighetens granskning<br />
visar att övervakningen<br />
varit olaglig. Kameraövervakning<br />
får bara användas<br />
om de som övervakas har<br />
blivit informerade och<br />
övervakningskameror får<br />
normalt bara sättas upp för<br />
att förebygga brott.<br />
n Post- och Telestyrelsen,<br />
PTS, undersöker<br />
tillsammans med TNS Sifo<br />
hur svenska konsumenter<br />
ser på Internetsäkerhet.<br />
Undersökningen visar att<br />
den största risken med att<br />
använda Internet anses vara<br />
att personuppgifter hamnar<br />
i orätta händer. Var femte<br />
har under det senaste<br />
året också valt att avsluta,<br />
eller inte börja använda,<br />
en tjänst på grund av hur<br />
tjänsten använder personuppgifter.<br />
n Internetsökningar och<br />
att kontrollera sociala<br />
medier som Facebook blir<br />
en allt viktigare källa till<br />
information för dem som<br />
arbetar med rekrytering.<br />
Det visar en undersökning<br />
som Stockholms Handelskammare<br />
och Info-Torg<br />
Facebook och Google<br />
Europa riktar kritik mot Google<br />
Den 1 mars <strong>2012</strong> ändrar Google sin sekretesspolicy och<br />
sina användarvillkor. Ett 60-tal olika sekretesspolicyer<br />
ersätts med en enda som enligt Google är kortare och<br />
lättare att förstå. Syftet ska vara att göra ”upplevelsen<br />
på Google enklare och tydligare”. I princip handlar<br />
ändringen om att information som du tillhandahåller<br />
i en produkt när du är inloggad på ditt Google-konto<br />
kan kombineras med information som du tillhandahåller<br />
i andra Google-produkter.<br />
Bara dagar före Googles nya villkor träder i kraft<br />
skickar CNIL, den franska motsvarigheten till Datainspektionen,<br />
ett brev till Google på de europeiska<br />
dataskyddsmyndigheternas vägnar. I brevet uppmanas<br />
Google att vänta med att införa sina nya villkor.<br />
”CNIL och övriga europeiska dataskyddsmyndigheter<br />
är djupt oroade över hur personuppgifter kan<br />
sammanställas mellan olika tjänster och har starka<br />
tvivel på lagligheten i en sådan behandling och om den<br />
stöder europeisk dataskyddslagstiftning”,<br />
skriver CNIL.<br />
Tisdagen 16 oktober<br />
skickar CNIL ytterligare ett<br />
brev till Google. Brevet är<br />
underskrivet av cheferna för<br />
samtliga dataskyddsmyndigheter<br />
i EU:s 27 medlemsstater<br />
och riktar kritik mot<br />
Googles sätt att hantera<br />
personuppgifter.<br />
I brevet konstateras att<br />
Google inte följer vissa<br />
av EU:s grundläggande<br />
dataskyddsprinciper. Brevet till Google .<br />
16 Integritetsåret <strong>2012</strong> – Datainspektionen
Kritiken mot Google består bland annat av att<br />
företaget inte tillräckligt informerar alla som använder<br />
företagets tjänster om hur deras personuppgifter<br />
kan komma att användas. Företaget ger heller inte<br />
användarna kontroll över hur deras personuppgifter<br />
från olika Google-tjänster samkörs. Dessutom är man<br />
kritisk till att företaget inte vill tala om hur länge<br />
insamlade personuppgifter kommer att sparas.<br />
Europas dataskyddsmyndigheter uppmanar Google<br />
att se över sina integritetsvillkor och i övrigt ta fasta på<br />
de rekommendationer som listas i brevet.<br />
Den till synes oändliga<br />
följetongen: Google Street View<br />
Januari, 2010. Google lanserar gatubildstjänsten Street<br />
View i Sverige.<br />
Maj, 2010. Företaget erkänner att när svenska städer<br />
fotograferades så registrerade företagets kamerabilar<br />
även de trådlösa nätverk som fanns i närheten av bilen.<br />
Dessutom samlades data in från de trådlösa nätverken,<br />
vilket inte var meningen.<br />
Maj, 2010. Google kontaktar Datainspektionen och<br />
säger att företaget av misstag samlade in data från<br />
de trådlösa nätverken och att det nu vill radera dessa<br />
data. Datainspektionen ger sitt godkännande till att<br />
uppgifterna tas bort.<br />
November 2010. På grund av pågående rättsprocesser<br />
i andra länder valde Google att spara svenska data.<br />
Nu ställer företaget igen frågan till Datainspektionen<br />
om de data som samlades in i Sverige kan raderas.<br />
Datainspektionen tillstyrker att dessa data kan, och<br />
bör, raderas.<br />
Juni, 2011. Google meddelar Datainspektionen att<br />
uppgifterna tagits bort.<br />
Integritetsåret <strong>2012</strong> – Datainspektionen<br />
17
publicerar i februari.<br />
Enligt undersökningen<br />
kontrollerar 40 procent av<br />
alla rekryterare kandidater<br />
på Facebook och 37<br />
procent söker information<br />
på nätet.<br />
n I juli 2011 åtalades en<br />
sjuksköterska, som varit<br />
anställd på SOS Alarm, för<br />
vållande till annans död, då<br />
han inte skickade ambulans<br />
när en ung man bad om<br />
hjälp. När sköterskan i<br />
slutet av november 2011<br />
frias, publicerar Åklagarmyndigheten<br />
mannens<br />
namn, personnummer och<br />
adress på sin webbplats.<br />
Kort därefter tar Åklagarmyndigheten<br />
dock bort<br />
uppgifterna. Datainspektionen<br />
konstarerar<br />
att publiceringen var<br />
kränkande, och därmed<br />
otillåten, enligt personuppgiftslagen.<br />
n Datainspektionen<br />
granskar hur ett 50-tal<br />
kommuner på sina<br />
webbplatser publicerar<br />
diarier, protokoll och andra<br />
liknande dokument som<br />
kan innehålla personuppgifter.<br />
Undersökningen<br />
visar att i princip samtliga<br />
kommuner brister i sin<br />
Augusti, <strong>2012</strong>. Google har genomfört en inventering<br />
av samtliga hårddiskar som innehållit data från<br />
trådlösa nätverk som samlats in i samband med Street<br />
View-fotograferingen. Företaget upptäckte då 21<br />
hårddiskar med svenska data som inte hade raderats.<br />
Oktober, <strong>2012</strong>. Google meddelar att ett oberoende<br />
företag nu raderat samtliga hårddiskar. Följer<br />
fortsättning?<br />
Irritation gör att var tredje<br />
vill lämna Facebook<br />
Enligt Aftonbladet överväger var tredje svensk att<br />
lämna Facebook. Den främsta orsaken? Irritation över<br />
människor som ”publicerar för mycket om allt varje<br />
dag”. Tidningen hänvisar till en undersökning som<br />
en kommunikationsbyrå låtit genomföra där 7 200<br />
personer i åldrarna 18 till 65 år i flera olika länder<br />
svarat på frågor om sociala medier. Men, som tidningen<br />
också säger, det återstår att se hur många som faktiskt<br />
gör slag i saken och raderar sitt Facebook-konto.<br />
Opinion<br />
18 Integritetsåret <strong>2012</strong> – Datainspektionen
Rekryterare kontrollerar<br />
dig på Facebook<br />
Internetsökningar och att kontrollera sociala<br />
medier som Facebook blir en allt viktigare källa till<br />
information för dem som arbetar med rekrytering.<br />
Det visar en undersökning som gjorts av Stockholms<br />
Handelskammare och Info-Torg. Enligt undersökningen<br />
kontrollerar 40 procent av alla rekryterare<br />
kandidater på Facebook och 37 procent söker<br />
information på nätet. ”Det blir allt vanligare att företag<br />
söker information om jobbkandidater på Facebook och<br />
Google. Därmed gäller det att arbetstagare tänker på<br />
vad de lägger ut för information på Facebook”, säger<br />
Johan Treschow vid Stockholms Handelskammare.<br />
Facebook stänger av<br />
ansiktsigenkännning<br />
Opinion<br />
Efter kritik från dataskyddsmyndigheterna i EU har<br />
Facebook stängt av sin kontroversiella funktion för<br />
ansiktsigenkänning i EU. Funktionen använder sig<br />
av information från redan taggade foton och föreslår<br />
sedan taggar på ansikten den känner igen i nya<br />
bilder som laddas upp till Facebook. Den irländska<br />
Integritetsåret <strong>2012</strong> – Datainspektionen<br />
19
publicering. Ofta saknas<br />
instruktioner till de<br />
anställda som beskriver<br />
vilka personuppgifter som<br />
får publiceras, hur länge<br />
uppgifterna ska ligga kvar<br />
på webben, hur känsliga<br />
uppgifter ska maskas och<br />
liknande.<br />
n Bristerna som upptäckts<br />
vid Datainspektionens<br />
granskning av kommuner<br />
gör att myndigheten tar<br />
fram en checklista för<br />
kommuner och landsting<br />
som tar upp de viktigaste<br />
punkterna vid webbpublicering<br />
av protokoll och<br />
diarier. Checklistan kan<br />
hämtas kostnadsfritt på<br />
myndighetens webbplats.<br />
n En utredning har lagt<br />
fram ett förslag att en<br />
särskild lag införs för så<br />
kallade händelseanalyser<br />
vid självmord. Datainspektionen<br />
anser att förslaget<br />
ger utrymme för en<br />
omfattande hantering av<br />
känsliga personuppgifter<br />
utan att behovet av detta<br />
är tillräckligt utrett.<br />
n Datainspektionen<br />
granskar hur Karolinska<br />
sjukhuset använder sitt<br />
journalsystem för så kallad<br />
sammanhållen journalföring,<br />
vilket innebär att<br />
sjukhuset kan utbyta<br />
motsvarigheten till<br />
Datainspektionen<br />
granskade i slutet av<br />
förra året Facebook<br />
och uppmanade<br />
då bland annat att<br />
funktionen för ansiktsigenkänning<br />
skulle<br />
stängas av. I september i år<br />
meddelade den irländska<br />
myndigheten att Facebook<br />
åtgärdat det mesta av kritiken<br />
från förra årets granskning.<br />
Fortfarande kvarstår viss<br />
kritik som att Facebook måste ta fram en funktion<br />
för att fullständigt och oåterkalleligt radera ett<br />
användarkonto inom 40 dagar från att användaren<br />
begärt det.<br />
Opinion<br />
20 Integritetsåret <strong>2012</strong> – Datainspektionen
Polis, åklagare, domstol<br />
Polisen hängde ut oskyldig<br />
med bild i ett halvår<br />
I början av november <strong>2012</strong> noterar Datainspektionen<br />
att Polismyndigheten i Uppsala län har låtit bilder<br />
tagna på en person i anslutning till en bankomat<br />
ligga ute på polisens hemsida (www.polisen.se) under<br />
drygt sex månader. Brottet som personen på bilderna<br />
misstänktes för var ett bedrägeri som hade begåtts i<br />
juli 2011.<br />
Den 14 november kontaktar Datainspektionen<br />
polismyndigheten med ett antal frågor om bildpubliceringen.<br />
Den 15 november tas bilderna bort från polisens<br />
hemsida.<br />
Datainspektionens granskning visar att personen på<br />
bilderna inte hade med brottet att göra och att polisen<br />
dessutom låtit bilderna på honom ligga kvar i mer än<br />
ett halvår efter det att förundersökningen lades ned.<br />
Datainspektionen är kritisk på flera punkter: bilder<br />
på en oskyldig har publicerats eftersom polisen inte har<br />
säkerställt att det rört sig om rätt person och bilderna<br />
har dessutom visats långt efter att polisen blivit<br />
medveten om felet och lång tid efter att utredningen<br />
lagts ned. Brottet som mannen misstänktes för är<br />
inte heller tillräckligt allvarligt för att motivera en<br />
publicering på Internet.<br />
– Att bli oskyldigt uthängd som misstänkt för brott<br />
kan få väldigt negativa konsekvenser för den berörda.<br />
När det är polisen som pekat ut fel person är det<br />
ännu allvarligare, säger Nicklas Hjertonsson som lett<br />
Datainspektionens granskning.<br />
Integritetsåret <strong>2012</strong> – Datainspektionen<br />
21
journaluppgifter med andra<br />
vårdgivare. Granskningen<br />
identifierar ett antal brister i<br />
journalsystemet som strider<br />
mot reglerna i patientdatalagen<br />
och Datainspektionen<br />
förelägger sjukhuset<br />
att återkomma med<br />
en skriftlig plan för hur<br />
bristerna ska åtgärdas.<br />
n I slutet av februari<br />
skickar den franska motsvarigheten<br />
till Datainspektionen,<br />
CNIL, ett brev till<br />
Google å de europeiska<br />
dataskyddsmyndigheternas<br />
vägnar. I brevet uppmanas<br />
Google att vänta med att<br />
införa sina nya användarvillkor<br />
som ska träda ikraft<br />
1 mars. ”CNIL och övriga<br />
europeiska dataskyddsmyndigheter<br />
är djupt oroade<br />
över hur personuppgifter<br />
kan sammanställas mellan<br />
olika tjänster och har starka<br />
tvivel på lagligheten i en<br />
sådan behandling och<br />
om den stöder europeisk<br />
dataskyddslagstiftning”,<br />
skriver CNIL i brevet.<br />
n På skottdagen, 29<br />
februari, meddelar<br />
Datainspektionen att man<br />
granskat polisen i Dalarna<br />
och Västerbotten och där<br />
funnit brister i hur personuppgifter<br />
registreras och<br />
gallras i underrättelseverksamheten.<br />
Polisen får kritik för<br />
Facebook-efterlysning<br />
Under sommaren <strong>2012</strong> efterlyser Södermalmspolisen i<br />
Stockholm tips från allmänheten på sin Facebook-sida.<br />
På sidan finns länkar till polisens webbplats, där bilder<br />
och en film från övervakningskameror publicerats.<br />
Bilderna visade några yngre män som misstänks<br />
vara inblandade i en grov misshandel. Enligt Dagens<br />
Nyheter fick polisens efterlysning på Facebook många<br />
kommentarer. Flera av kommentarerna rörde männens<br />
hudfärg och eventuella ursprung. ”Vi vet inte att de<br />
har begått gärningen, de kanske bara är vittnen, att<br />
då sprida det här genom sociala medier kan få oanade<br />
konsekvenser”, säger Advokatsamfundets Anne<br />
Ramberg till Dagens Nyheter.<br />
2009 lämnade Datainspektionen ett yttrande till Rikspolisstyrelsen<br />
där myndigheten ansåg att polisens Internetpublicering<br />
av bilder på okända gärningsmän endast är<br />
tillåten i undantagsfall, till exempel om det rör sig om<br />
särskilt allvarlig brottslighet eller att personen bedöms<br />
vara farlig för allmänheten.<br />
Dåliga rutiner för gallring<br />
i polisens register<br />
Datainspektionen granskar hur polismyndigheterna<br />
i Dalarna och Västerbottens län hanterar personuppgifter<br />
i sin verksamhet. Vid inspektionerna upptäckts<br />
att ett antal register i polisens underrättelseverksamhet<br />
inte följer gällande lagstiftning.<br />
– Bristerna i kriminalunderrättelseverksamheten<br />
har bland annat bestått i att personer registrerats<br />
i så kallade särskilda undersökningar utan att det<br />
funnits en koppling till allvarlig brottslig verksamhet,<br />
vilket är ett krav enligt polisdatalagen. Dessutom har<br />
22 Integritetsåret <strong>2012</strong> – Datainspektionen
polismyndigheterna haft otillräckliga rutiner när det<br />
gäller gallring av personuppgifter i underrättelseprojekten,<br />
säger Nicklas Hjertonsson som deltagit i<br />
Datainspektionens granskning.<br />
Lagen följs inte i polisens<br />
underrättelseverksamhet<br />
Datainspektionen granskar polismyndigheterna i<br />
Jämtland och Västmanland, och då framför allt hur<br />
personuppgifter hanteras i kriminalunderrättelseverksamheten.<br />
Undersökningen visar på en rad brister hos<br />
de båda polismyndigheterna. Bland bristerna finns:<br />
registrering av personer som inte har koppling till<br />
allvarlig brottslig verksamhet, bristande gallring av<br />
uppgifter som enligt lag ska tas bort och att uppgifter<br />
om personer som inte är misstänkta för brott inte<br />
märks upp i registren på ett tydligt sätt.<br />
– Det är oroande att vi återigen hittat brister i hur<br />
polisen hanterar personuppgifter i den integritetskänsliga<br />
kriminalunderrättelseverksamheten. Att<br />
samma fel påträffas hos flera olika polismyndigheter<br />
tyder på att det kan finnas ett metodfel hos polisen,<br />
säger Nicklas Hjertonsson, jurist på Datainspektionen.<br />
Integritetsåret <strong>2012</strong> – Datainspektionen<br />
23
Mars<br />
n Antalet arbetsgivare<br />
som kräver att en arbetssökande<br />
”frivilligt” ska<br />
visa upp ett utdrag från<br />
Polisens belastningsregister<br />
ökar lavinartat, skriver<br />
tidningen Dagens Juridik i<br />
mars. Tidningen refererar<br />
till statistik från Rikspolisstyrelsen<br />
som visar att<br />
antalet fall där enskilda<br />
begär registerutdrag mer<br />
än fyrdubblades mellan<br />
åren 2003 och 2011, från<br />
40 686 till 176 939. Rikspolisstyrelsen<br />
uppskattar att<br />
runt 90 procent av de som<br />
begär utdrag över sig själva<br />
är arbetssökande.<br />
n En bilfirma har på<br />
sin webbplats publicerat<br />
uppgifter om kunder<br />
som förlorat tvister mot<br />
firman i Allmänna reklamationsnämnden.<br />
Förutom<br />
nämndens avgörande<br />
har firman publicerat<br />
personernas namn och<br />
adress tillsammans med<br />
en kort formulering.<br />
Datainspektionen<br />
konstaterar att firman<br />
gjort fel eftersom ett av<br />
syftena varit att ”hänga<br />
ut” personer som klagat på<br />
bilfirmans tjänster.<br />
Rättsväsendet brister i sin<br />
hantering av känsliga uppgifter<br />
Datainspektionen granskar det elektroniska informationsflöde<br />
som förekommer mellan olika myndigheter<br />
i samband med brottmål. Detta utbyte av information<br />
kallas för rättsväsendets informationsförsörjning (RIF)<br />
och utvecklas i nuläget av Rikspolisstyrelsen, Åklagarmyndigheten,<br />
Domstolsverket, Kriminalvården,<br />
Ekobrottsmyndigheten, Skatteverket och Brottsförebyggande<br />
rådet. RIF införs etappvis och kommer<br />
framöver att omfatta fler myndigheter.<br />
I den information som skickas mellan myndigheterna<br />
förekommer många personuppgifter som ofta<br />
är integritetskänsliga. Datainspektionen har undersökt<br />
om bestämmelserna som ska skydda den personliga<br />
integriteten följs när personuppgifter överförs mellan<br />
myndigheterna som ingår i RIF.<br />
Granskningen visar att myndigheterna som ingår i<br />
RIF-samarbetet inte har gjort någon gemensam analys<br />
av vilka konsekvenser informationsutbytet har för den<br />
enskildes integritet och följaktligen inte heller av hur<br />
skyddet av personuppgifterna ska upprätthållas eller<br />
stärkas. Kunskapen och medvetenheten om de regler<br />
som ska skydda den personliga integriteten har också<br />
varierat mycket mellan myndigheterna.<br />
SKL använder<br />
DNA-databas olagligt<br />
Statens kriminaltekniska laboratorium, SKL, har byggt<br />
upp en så kallad elimineringsdatabas med DNA-prover.<br />
Syftet med databasen är att se om DNA-prover från<br />
brottsplatser har kontaminerats med DNA-spår från<br />
exempelvis brottsplatstekniker eller anställda på SKL.<br />
Databasen innehåller DNA-prover som lämnats<br />
frivilligt från SKL:s personal och besökare vid<br />
SKL. Databasen innehåller även DNAprofiler från<br />
24 Integritetsåret <strong>2012</strong> – Datainspektionen
Polisen lagrar för mycket uppgifter<br />
från beslagtagna mobiltelefoner<br />
Datainspektionen har granskat hur<br />
Länskriminalpolisen i Stockholm<br />
registrerar uppgifter som kommer<br />
från mobiltelefoner som tagits i beslag<br />
i förundersökningar. De<br />
registrerade uppgifterna<br />
kommer från telefoner<br />
som tillhör personer<br />
som är misstänkta<br />
för brott som kan<br />
ge två års fängelse.<br />
I registret finns all<br />
information från den<br />
”tömda” telefonen,<br />
vilket kan vara<br />
sms, samtalsloggar,<br />
adressbok med mera.<br />
Enligt det regelverk<br />
som polisen ska<br />
följa får enbart<br />
uppgifter som rör<br />
misstankar om allvarlig<br />
brottslig verksamhet lagras i<br />
registret. Innan en uppgift sparas<br />
i registret måste polisen pröva om<br />
uppgiften är relevant för undersökningen.<br />
Datainspektionen kan<br />
Integritetsåret <strong>2012</strong> – Datainspektionen<br />
dock konstatera att 98 procent av<br />
uppgifterna i telefonregistret inte har<br />
prövats mot lagens krav, vare sig då de<br />
registrerades eller då registret gallras.<br />
I en mobiltelefon kan<br />
det finnas uppgifter om<br />
många personer som<br />
inte alls är av intresse<br />
för polisen även om<br />
telefonens innehavare<br />
misstänks för<br />
delaktighet i brottslig<br />
verksamhet. Det kan<br />
vara kontaktuppgifter<br />
till släktingar, vänner<br />
och kollegor men<br />
också till kontakter<br />
som är ännu mindre<br />
relaterade till telefonens<br />
innehavare, som namn<br />
och telefonnummer till<br />
tandläkare, barnens lärare<br />
och klasskamrater. Den typen av<br />
uppgifter får inte registreras i polisens<br />
register men gör det alltså.<br />
25
n I mars varnar Skatteverket<br />
för att ett företag<br />
som hanterar uppgifter<br />
från folkbokföringen har<br />
utsatts för dataintrång.<br />
Personnummer för ett<br />
antal personer med<br />
skyddade personuppgifter<br />
har kopierats. ”Jag har<br />
stor förståelse för att man<br />
känner oro om ens personnummer<br />
har kopierats men<br />
det finns inget som tyder<br />
på att namn- eller adressuppgifter<br />
har kommit ut”,<br />
säger säkerhetschefen på<br />
Skatteverket. Myndigheten<br />
varnar dock för att det för<br />
drygt tusen personer kan<br />
vara teoretiskt möjligt att<br />
annan information har<br />
kopierats.<br />
n I mitten av mars riktar<br />
Datainspektionen kritik mot<br />
förslaget att den öppna<br />
polisen ska få tillgång<br />
till FRA:s signalspaning.<br />
Detta eftersom i förslaget<br />
inte tillräckligt utretts<br />
om polisens behov av att<br />
använda signalspaning<br />
väger tyngre än intrånget i<br />
den personliga integriteten.<br />
poliser, servicetekniker, hantverkare och personal<br />
hos vissa leverantörer av produkter som används vid<br />
DNAprofilering.<br />
SKL jämför alla nya DNAprofiler från undersökta<br />
brottsplatsspår med elimineringsdatabasen. Om<br />
en DNAprofil i spårregistret överensstämmer med<br />
en DNAprofil i elimineringsdatabasen sker en<br />
utredning. Om utredningen inte kan visa att det skett<br />
en oavsiktlig kontaminering, överlämnas frågan till<br />
polisens internutredare eller åklagare.<br />
Enligt polisdatalagen får polisen ha tre<br />
DNAregister: utredningsregistret (DNAprofiler från<br />
misstänkta personer), DNAregistret (DNAprofiler<br />
från dömda personer) och spårregistret (DNAprofiler<br />
som inte kan hänföras till en viss person).<br />
I polisdatalagen finns inget stöd för att jämföra<br />
DNAprofiler i spårregistret med de DNAprofiler som<br />
finns i SKL:s elimineringsdatabas. Därför förelägger<br />
Datainspektionen SKL att sluta jämföra DNAprofiler<br />
i elimineringsdatabasen med DNAprofiler i<br />
spår registret.<br />
Efter Datainspektionens konstaterande att<br />
elimineringsdatabasen inte har stöd i lagen tillsätter<br />
regeringen en utredning med uppdrag att ta fram<br />
lagstiftning, och därmed tydliga regler, för en framtida<br />
elimineringsdatabas.<br />
Datainspektionens beslut har överklagats.<br />
Åklagarmyndigheten<br />
hänger ut SOS-sköterska<br />
I juli 2011 åtalades en sjuksköterska, som varit anställd<br />
på SOS Alarm, för vållande till annans död, då han<br />
inte skickade ambulans när en ung man bad om hjälp.<br />
När sköterskan i slutet av november frias, publicerar<br />
Åklagarmyndigheten mannens namn, personnummer<br />
och adress på sin webbplats.<br />
26 Integritetsåret <strong>2012</strong> – Datainspektionen
Datainspektionen granskar Åklagarmyndigheten<br />
och konstaterar att publiceringen av domen med<br />
sjuksköterskans personuppgifter var kränkande och<br />
därmed otillåten enligt personuppgiftslagen. Om man<br />
publicerar personuppgifter med ett journalistiskt syfte<br />
för att informera eller debattera samhällsfrågor, finns<br />
ett undantag som gör att stora delar av personuppgiftslagen<br />
inte gäller. Datainspektionen anser dock<br />
att det inte kan vara fråga om något journalistiskt<br />
ändamål i det här fallet eftersom det är en myndighet<br />
som publicerat uppgifterna.<br />
Gotlands tingsrätt måste sluta<br />
publicera namn på sin webbplats<br />
Gotlands tingsrätt har på sin webbplats publicerat så<br />
kallade uppropslistor som innehåller namn på parter i<br />
mål och ärenden. Datainspektionen konstaterar att det<br />
är kränkande i personuppgiftslagens mening.<br />
– Eftersom uppgifter på Internet kan få en så stor<br />
och snabb spridning krävs det en särskild försiktighet<br />
när personuppgifter publiceras på Internet. I detta<br />
fall har bland annat uppgifter om personer som är<br />
brottsmisstänkta men inte dömda publicerats. Det är<br />
uppenbart att det kan orsaka de berörda stort obehag<br />
att sådana uppgifter sprids, säger Datainspektionens<br />
generaldirektör Göran Gräslund.<br />
Tingsrätten har åberopat offentlighetsprincipen som<br />
stöd för sin publicering.<br />
– Men att en handling är allmän och inte omfattas<br />
av sekretess innebär inte att det per automatik är fritt<br />
fram att publicera den på nätet.<br />
Datainspektionens beslut är överklagat.<br />
Integritetsåret <strong>2012</strong> – Datainspektionen<br />
27
n Efter att ha granskat<br />
de största kreditupplysningsföretagen<br />
uppmanar<br />
Datainspektionen<br />
regeringen att snabbt<br />
täppa till den lucka i lagen<br />
som gör att företagen<br />
fortfarande kan lämna<br />
ut kreditupplysningar på<br />
nätet utan att det finns ett<br />
legitimt behov och utan att<br />
informera personen som<br />
upplysningen gäller.<br />
n EU-kommissionen lade<br />
i januari fram ett förslag till<br />
ny dataskyddslagstiftning.<br />
I mars kommenterar<br />
Datainspektionen förslaget<br />
och tycker det är positivt<br />
att skyddet för den<br />
personliga integriteten<br />
stärks. Samtidigt efterlyser<br />
myndigheten förenklade<br />
regler när personuppgifter<br />
publiceras i löpande text,<br />
på till exempel webbsidor.<br />
n Datainspektionen<br />
riktar kritik mot förslaget<br />
att Arbetsförmedlingen<br />
ska registrera uppgifter<br />
om i vilken utsträckning<br />
arbetslösa söker jobb.<br />
Detta eftersom förslaget<br />
medför att känsliga personuppgifter<br />
som inte behövs<br />
kan komma att samlas in.<br />
n 2008 beslutade<br />
Datainspektionen att två<br />
gymnasieskolor skulle<br />
JO: Polisen kan aldrig<br />
garantera din anonymitet<br />
Justitieombudsmannen (JO) är kritisk till att polisen<br />
på sin webbplats använder formuleringar som ”du<br />
kan vara anonym om du vill”. Detta eftersom polisen<br />
inte kan garantera uppgiftslämnarens anonymitet.<br />
”I polisens fall råder en långtgående dokumentationsplikt.<br />
Bland annat gäller att personuppgifter om<br />
målsäganden och vittnen ska antecknas i förundersökningsmaterialet.<br />
Detta kan inkludera sådant som<br />
den som lämnar ett tips kanske inte tänker på att<br />
polisen kan uppmärksamma, till exempel numret till<br />
den telefon varifrån en uppgiftslämnare<br />
ringer”, skriver JO<br />
i sitt beslut. JO varnar för<br />
att formuleringarna på<br />
polisens webbplats bäddar<br />
för situationer där enskilda<br />
”kan ha anledning att<br />
känna sig svikna” och<br />
vill att polisen ser över<br />
texterna.<br />
Butik la upp film<br />
med tjuvar på Facebook<br />
Efter att ha fått datorer för nästan 50 000 kronor<br />
stulna, lade ett gotländskt företag ut en film från<br />
sin övervakningskamera på Facebook. På filmen ser<br />
man de tre misstänkta datortjuvarna tillsammans<br />
med texten ”Känner någon igen dessa tre herrar?” De<br />
misstänkta tjuvarna greps samma kväll av polisen.<br />
Enligt Gotlands Allehanda förekommer även andra<br />
kunder på filmen. Företaget i fråga tog bort filmen<br />
från sin Facebook-sida efter att männen gripits.<br />
Företagets chef berättar för tidningen att det var<br />
lång telefonkö till polisen och att han därför la upp<br />
28 Integritetsåret <strong>2012</strong> – Datainspektionen
filmen på Facebook för att se om det fick någon effekt.<br />
”Diskuterade ni om det var lagligt att lägga ut bilder<br />
från övervakningskameran på nätet”, frågar tidningens<br />
journalist företagets chef. ”Vi hade en diskussion<br />
om det i efterhand. Men syftet med kameran är att<br />
förhindra stöld, och det var i precis det syftet vi visade<br />
bilderna”.<br />
Över 800 anmälda fall av stalkning<br />
Sedan lagen om olaga förföljelse infördes den 1 oktober<br />
2011 fram till den 31 augusti <strong>2012</strong> har 829 anmälningar<br />
om olaga förföljelse gjorts i Sverige, skriver polisen i ett<br />
pressmeddelande i oktober. I majoriteten av fallen har<br />
brottsoffret varit en vuxen kvinna.<br />
Samtidigt som lagen trädde i kraft blev det också<br />
möjligt för åklagare att besluta om särskilt utvidgat<br />
kontaktförbud med elektronisk fotboja. I pressmeddelandet<br />
från oktober meddelar polisen att man inom<br />
kort ska skriva avtal med en leverantör av elektronisk<br />
fotboja och att förhoppningen är att den ska vara i drift<br />
vid årsskiftet. ”Syftet med fotbojan är framförallt att<br />
förebygga brott. Om gärningsmannen bryter kontaktförbudet<br />
larmas polisen som då kan rycka ut. Det ökar<br />
också möjligheterna att lagföra personen eftersom det<br />
finns teknisk bevisning”, säger polisen.<br />
Integritetsåret <strong>2012</strong> – Datainspektionen<br />
29
upphöra med kamera-<br />
övervakning inomhus<br />
under dagtid. De två<br />
gymnasierna har överklagat<br />
i olika instanser till dess<br />
att Högsta förvaltningsdomstolen,<br />
som är den<br />
högsta allmänna förvaltningsdomstolen<br />
i Sverige, i<br />
mars meddelar att den går<br />
på Datainspektionens linje<br />
och avslår överklagandena.<br />
April<br />
n I april meddelar<br />
Datainspektionen att<br />
myndigheten ska granska<br />
hur företag som förmedlar<br />
försäkringar hanterar<br />
personuppgifter om sina<br />
kunder. Det som ska<br />
granskas inom ramen för<br />
projektet är försäkringsförmedlare<br />
som förmedlar<br />
personförsäkringar som<br />
sjukförsäkringar och livförsäkringar.<br />
n Datainspektionen<br />
granskar Akademiska<br />
sjukhuset i Uppsala och<br />
riktar kritik mot att ett<br />
av sjukhusets IT-system<br />
är utformat så att det är<br />
omöjligt att kontrollera<br />
om läkare missbrukar sin<br />
möjlighet att läsa patientjournaler.<br />
Samhället och medborgaren<br />
Sveriges Radio avslöjas<br />
ha hemlig databas<br />
Sveriges Radios populära lyssnarprogram ”Ring P 1” har<br />
i det tysta registrerat tusentals personer i en hemlig<br />
databas. Uppgifter om namn, telefonnummer, politisk<br />
hemvist, sjukdomar och religionstillhörighet sparas i<br />
”telefondatabasen”.<br />
Så skriver Dagens Nyheter den 21 december.<br />
Avslöjandet väcker stor uppmärksamhet.<br />
Enligt tidningen har de som ringt in till det<br />
populära radioprogrammet under de senaste sju<br />
åren registrerats i en databas. Tidigare registrerades<br />
enbart namn, telefonnummer och vilka ämnen som<br />
personen i fråga ville debattera, men enligt uppgifter<br />
som DN tagit del av ska det sedan hösten <strong>2012</strong> finnas<br />
nya direktiv från programledningen att även uppgifter<br />
som politisk hemvist, religionstillhörighet, ålder och<br />
sjukdomar ska registreras i databasen. De som ringer<br />
får inte reda på att de registreras.<br />
DN skriver vidare att databasen inte ens är<br />
lösenordsskyddad och kan nås av all personal, bara<br />
man känner till adressen på intranätet.<br />
– Systemet har funnits i många år, det är ett redskap<br />
för att ha koll på att inte samma personer kommer med<br />
i programmet hela tiden, det<br />
kan jag tycka är helt rimligt.<br />
Men att vi ska skriva vad folk<br />
har för åsikter också det är fel,<br />
säger en SR-anställd till DN.<br />
Många vänder sig till<br />
Datainspektionen för att se<br />
om myndigheten ska göra<br />
något åt databasen. Datainspektion<br />
har dock normalt<br />
30 Integritetsåret <strong>2012</strong> – Datainspektionen
ingen rätt att granska redaktioners databaser, eftersom<br />
massmediebolag som Sverige Radio omfattas av<br />
grundlagsskydd, som gäller före personuppgiftslagen.<br />
Datainspektionen kan dock ha synpunkter om personuppgifterna<br />
i databasen inte är tillräckligt skyddade<br />
med exempelvis lösenord och kryptering. I skrivande<br />
stund har myndigheten inte beslutat om eventuella<br />
åtgärder mot Sveriges Radio.<br />
Färdtjänsten lagrar för mycket<br />
om sina resenärer<br />
I sitt verksamhetssystem lagrar färdtjänsten i<br />
Göteborg känsliga personuppgifter som inte behövs<br />
för handläggningen. Färdtjänstnämnden menar att<br />
handlingarna sparas på grund av krav i arkivlagen.<br />
Men arkivlagens bestämmelser ger inte en myndighet<br />
rätt att fortlöpande lagra stora mängder integritetskänsliga<br />
uppgifter i det IT-system som används i den<br />
dagliga verksamheten, konstaterar Datainspektionen<br />
i sin granskning. Uppgifter som inte längre behövs för<br />
handläggningen ska tas bort från verksamhetssystemet<br />
och i stället arkiveras.<br />
Kommuner brister<br />
i sin publicering på Internet<br />
Datainspektionen granskar hur ett 50-tal kommuner<br />
på sina webbplatser publicerar diarier, protokoll och<br />
andra liknande dokument som kan innehålla personuppgifter.<br />
Undersökningen visar att i princip samtliga<br />
kommuner brister i sin publicering.<br />
– Datainspektionen tar ofta emot klagomål från<br />
enskilda som fått sina personuppgifter publicerade<br />
på kommuners webbplatser. Bland de stickprovskontroller<br />
som vi utfört har vi sett ett antal exempel på att<br />
kommunerna inte följer reglerna i personuppgiftslagen,<br />
Integritetsåret <strong>2012</strong> – Datainspektionen<br />
31
n EU-kommissionen har<br />
lagt fram ett förslag till<br />
direktiv som ska stärka<br />
skyddet av personuppgifter<br />
som hanteras av polisen<br />
och andra brottsbekämpande<br />
myndigheter.<br />
Datainspektionen ställer<br />
sig positiv till förslaget men<br />
menar också att direktivet<br />
inte får sänka skyddsnivån<br />
för de länder som redan har<br />
en hög skyddsnivå.<br />
n Klagomål gör<br />
gällande att ett bussbolag<br />
i Varberg kameraövervakar<br />
sin personal.<br />
Datainspektionens<br />
granskning visar att bolaget<br />
har tio övervakningskameror<br />
på sin anläggning.<br />
Bolaget har inte utrett<br />
om övervakningen<br />
verkligen behövs vilket<br />
gör att Datainspektionen<br />
förelägger att kameraövervakningen<br />
ska upphöra<br />
under ordinarie arbetstid.<br />
n Datainspektionen<br />
yttrar sig om det kompletterade<br />
underlaget till en ny<br />
kameraövervakningslag.<br />
Myndigheten är positiv<br />
till att det ska bli lättare<br />
att kameraövervaka<br />
tunnelbanan men anser att<br />
det även fortsättningsvis<br />
bör krävas tillstånd för att<br />
övervaka parkeringshus.<br />
säger Ingela Alverfors som lett<br />
undersökningen.<br />
Bristerna har lett till att<br />
Datainspektionen tagit fram<br />
en checklista för kommuner<br />
och landsting som tar upp<br />
de viktigaste punkterna vid<br />
webbpublicering av protokoll och<br />
diarier. Checklistan kan hämtas<br />
kostnadsfritt på myndighetens webbplats.<br />
Skadestånd för felaktig<br />
hantering av hemlig adress<br />
En kvinna med skyddad adress har fått en kallelse från<br />
en domstol skickad till sin hemliga adress med hennes<br />
personuppgifter synliga på kuvertet. Justitiekanslern<br />
konstaterar att kvinnans personuppgifter har hanteras<br />
på ett sätt som står i strid med personuppgiftslagen<br />
och ålägger Domstolsverket att betala 10 000 kronor i<br />
ersättning till kvinnan.<br />
Nej till kameraövervakning i skolor<br />
2008 beslutade Datainspektionen att Bromma<br />
gymnasium och Tensta gymnasium måste upphöra<br />
med kameraövervakning inomhus under dagtid. De två<br />
gymnasierna överklagade till<br />
länsrätten som avslog överklagandena,<br />
och till kammarrätten<br />
som även den avslog överklagandena, med undantag<br />
för ett par kameror i den ena skolan.<br />
Skolorna överklagade därefter till Högsta förvaltningsdomstolen,<br />
som är den högsta allmänna förvaltningsdomstolen<br />
i Sverige. I mars meddelar domstolen<br />
att den går på Datainspektionens linje och avslår<br />
överklagandena.<br />
32 Integritetsåret <strong>2012</strong> – Datainspektionen
”I likhet med underinstanserna finner Högsta<br />
förvaltningsdomstolen att kameraövervakning av<br />
lektionssalar, korridorer, bibliotek, uppehållsrum och<br />
liknande i en skola under skoltid generellt sett måste<br />
betraktas som ett intrång i de registrerades integritet”,<br />
skriver Högsta förvaltningsdomstolen i sina två domar.<br />
Elever kameraövervakas olagligt<br />
I början av december <strong>rap</strong>porterar Dagens Nyheter<br />
om en stor kartläggning som landets länsstyrelser<br />
genomför och som visar att övervakningskameror sätts<br />
upp olagligt i skolor och riktas mot barn och allmänhet<br />
på ett integritetskränkande sätt.<br />
DN har fått ta del av delresultat från länsstyrelsernas<br />
första stora kontroll av kameraövervakning på<br />
skolor och restauranger. Tidningen <strong>rap</strong>porterar att<br />
en rad skolor kommer att få allvarlig kritik för att de<br />
bedriver olaglig övervakning.<br />
– Människor har blivit föremål för integritetskränkning.<br />
Detta är mycket allvarligt och visar att<br />
tillsynen är angelägen, säger Henrik Kvennberg,<br />
ansvarig för tillsyn av allmän kameraövervakning på<br />
länsstyrelsen i Skåne län, till tidningen.<br />
Kameraövervakning<br />
regleras i två lagar<br />
Fakta<br />
Det finns två lagar som reglerar användningen av<br />
kameraövervakning: lagen om allmän kameraövervakning<br />
och personuppgiftslagen. Enligt lagen om<br />
allmän kameraövervakning krävs det vanligtvis tillstånd<br />
från länsstyrelsen för att få sätta upp en kamera på<br />
en plats dit allmänheten har tillträde. På platser dit<br />
allmänheten inte har tillträde, som exempelvis i kontorslokaler,<br />
lagerutrymmen och personalutrymmen, gäller<br />
personuppgiftslagen. Enligt personuppgiftslagen krävs<br />
inget tillstånd, däremot måste lagen följas och det<br />
kontrolleras av Datainspektionen.<br />
Integritetsåret <strong>2012</strong> – Datainspektionen<br />
33
n En tjänst samlar in data<br />
från olika forskningsprojekt<br />
som sedan ska kunna<br />
användas för ospecificerad<br />
framtida forskning.<br />
Datainspektionen<br />
konstaterar att insamlingen<br />
strider mot personuppgiftslagen<br />
eftersom<br />
syftet är för diffust och<br />
att de som förekommer i<br />
registren inte har gett sitt<br />
samtycke.<br />
n I slutet av april<br />
meddelar Datainspektionen<br />
att myndigheten ska<br />
kontrollera hur socialnämnder<br />
använder Ipad<br />
och andra surfplattor.<br />
Det som granskas är om<br />
personuppgifter som lagras<br />
i surfplattorna är skyddade<br />
på ett tillräckligt sätt.<br />
Granskningen ska vara klar<br />
under våren 2013.<br />
n Hur får GPS-positionering<br />
används i firmabilar<br />
utan att det inkräktar på<br />
de anställdas personliga<br />
integritet? Vilka regler<br />
gäller för kameraövervakning<br />
på företag?<br />
Får företag spela in de<br />
anställdas telefonsamtal?<br />
Det och mycket annat tas<br />
upp i Datainspektionens<br />
48-sidiga broschyr ”Personuppgifter<br />
i arbetslivet” som<br />
publiceras i april.<br />
I Skåne har man enligt DN hittills upptäckt att<br />
kameraövervakning skett på ett felaktigt sätt i nära<br />
hälften av de inspekterade skolorna. I Gävleborg och<br />
Dalarna får över hälften av de inspekterade skolorna<br />
anmärkningar. Resultaten från övriga län ska visa på<br />
liknande siffror.<br />
Felen som gör kameraövervakningen olaglig är<br />
bland annat att skolorna saknar tillstånd att sätta upp<br />
kamerorna, att kamerorna övervakar större områden<br />
än vad som medgivits i länsstyrelsens beslut eller att<br />
skolorna har bristande skyltning om att kameraövervakning<br />
pågår.<br />
– När vi har tittat på skolor är ett av de vanligaste<br />
och allvarligaste felen att kamerorna är i gång även på<br />
dagtid, vilket de inte har tillstånd till, säger Ingemar<br />
Sunnerdahl på Länsstyrelsen i Västra Götalands län till<br />
Dagens Nyheter.<br />
Länsstyrelse måste begränsa<br />
tillgången till personuppgifter<br />
I juni 2010 identifierade Datainspektionen en rad<br />
brister i hur länsstyrelsen i Västra Götalands län<br />
hanterar personuppgifter i sitt handläggningssystem.<br />
Datainspektionen var bland annat<br />
kritisk till att användarna kunde<br />
komma åt alla handlingar som inte<br />
var sekretessbelagda, och ansåg att respektive<br />
användare enbart ska komma åt de uppgifter som<br />
behövs för att kunna lösa de egna arbetsuppgifterna.<br />
Myndigheten var även kritisk till hur länsstyrelsen<br />
publicerat uppgifter i det webbdiarium som kan nås av<br />
allmänheten. I webbdiariet fanns personuppgifter som<br />
direkt pekade ut enskilda i ärenden som rörde bland<br />
annat brott mot djurskyddslagen och fiskelagen.<br />
Länsstyrelsen har överklagat Datainspektionens<br />
beslut till förvaltningsrätten i Stockholm som dock går<br />
på Datainspektionens linje och avslår överklagandet.<br />
34 Integritetsåret <strong>2012</strong> – Datainspektionen
I sin dom skriver rätten bland annat att ”Genom<br />
publicering på Internet blir uppgifterna lätt tillgängliga<br />
och kan komma att få mycket stor spridning”.<br />
Databas för reklamationer får inte<br />
användas som brottsregister<br />
Taxi Stockholm har en databas med klagomål mot<br />
förarna. Databasen påstås enligt anmälningar till<br />
Datainspektionen innehålla felaktigheter, uppgifterna<br />
ska finnas kvar för alltid och förarna får inte ta del av<br />
de uppgifter som finns registrerade om dem.<br />
Vid Datainspektionens<br />
granskning framkommer<br />
att bolaget har en databas<br />
där det på förarnivå går<br />
att få fram samtliga registrerade<br />
reklamationer sedan<br />
1998. Varje år tillkommer<br />
cirka 3 500 reklamationer.<br />
En del av dessa reklamationer<br />
innehåller uppgifter<br />
om lagöverträdelser. I<br />
ett fritextfält registrerar<br />
bolaget uppgifter om bland annat domar och beslut,<br />
åtal som lagts ner eller förare som dömts för allvarlig<br />
brottslighet. ”Det är sammantaget fråga om en<br />
omfattande och systematisk behandling av personuppgifter<br />
om lagöverträdelser”, skriver Datainspektionen i<br />
sitt beslut.<br />
– Jag har förståelse för att ett taxibolag kan<br />
behöva registrera klagomål från sina kunder och att<br />
klagomålen kan innehålla uppgifter om påstådda brott.<br />
Men, bolaget får inte använda sin reklamationsdatabas<br />
som en form av brottsregister där bolaget hämtar<br />
uppgifter från helt andra håll än från sina kunder,<br />
säger Datainspektionens generaldirektör Göran<br />
Gräslund.<br />
Integritetsåret <strong>2012</strong> – Datainspektionen<br />
35
n Sajten Migileaks<br />
polisanmäls av Datainspek-<br />
tionen. På sajten publiceras<br />
domar från migrationsdomstolar.<br />
I vissa domar<br />
förekommer känsliga<br />
personuppgifter samt<br />
uppgifter om lagöverträdelser<br />
om namngivna<br />
personer som sökt asyl i<br />
Sverige.<br />
n Datainspektionen<br />
granskar hur Länskriminalpolisen<br />
i Stockholm<br />
registrerar uppgifter som<br />
kommer från mobiltelefoner<br />
som tagits i beslag<br />
i förundersökningar.<br />
Myndigheten är kritisk till<br />
att polisen lagrar uppgifter<br />
om sms, telefonsamtal och<br />
kontakter från telefoner<br />
som beslagtagits, utan<br />
att pröva om uppgifterna<br />
behövs i underrättelseverksamheten.<br />
Maj<br />
n I maj meddelar<br />
förvaltningsrätten i<br />
Stockholm att den går på<br />
Datainspektionens linje<br />
och anser att länsstyrelsen<br />
i Västra Götalands<br />
län måste begränsa<br />
åtkomsten till dokument i<br />
det interna diariet och ta<br />
bort direkta och indirekta<br />
Bevakningsföretag kan fortsätta<br />
registrera klottrare<br />
Datainspektionen tar emot klagomål om att ett<br />
bevakningsföretag registrerar uppgifter om personer<br />
som gripits för skadegörelse. Myndighetens granskning<br />
visar att Storstockholms Lokaltrafik (SL) anlitar<br />
företaget ifråga för egendomsbevakning och att<br />
företaget <strong>rap</strong>porterar in skadegörelse till SL:s klotterdatabas,<br />
som Datainspektionen gav klartecken till<br />
2005. Datainspektionen har inga synpunkter på hur<br />
företaget <strong>rap</strong>porterar in uppgifter till SL:s databas.<br />
Nej till företag som vill skapa<br />
central klotterdatabas<br />
Ett företag ansöker hos Datainspektionen om undantag<br />
från den regel i personuppgiftslagen som säger att<br />
det normalt endast är myndigheter som får hantera<br />
uppgifter om brott och misstänkta brott.<br />
Företaget registrerar klotter åt flera olika uppdragsgivare<br />
för att polisanmäla skadegörelsen. Bland<br />
företagets kunder finns kommuner, landsting och<br />
myndigheter inom transportområdet. Företaget vill<br />
registrera fler uppgifter och skapa en central klotterdatabas<br />
som omfattar alla de uppgifter som företaget<br />
samlar in för sina olika kunders räkning.<br />
Datainspektionen konstaterar i sitt svar på<br />
företagets ansökan att företaget på så sätt skulle bygga<br />
36 Integritetsåret <strong>2012</strong> – Datainspektionen
upp ett register med en omfattande mängd personupp-<br />
gifter om brott och misstänkta brott.<br />
– När personuppgiftslagen inrättades var lagstif-<br />
tarens tanke att andra än myndigheter endast i<br />
undantagsfall ska få hantera sådana uppgifter. Därför<br />
har Datainspektionen en restriktiv hållning till att dela<br />
ut den här typen av undantag. Det gör att vi säger nej i<br />
det här fallet, säger generaldirektör Göran Gräslund.<br />
Samtliga riksdagspartier<br />
under granskning<br />
Datainspektionen granskar hur samtliga åtta riksdagspartier<br />
hanterar personuppgifter om medlemmar och<br />
andra personer som tagit kontakt med dem. Uppgifter<br />
som avslöjar politiska åsikter är enligt personuppgiftslagen<br />
känsliga och extra skyddsvärda.<br />
– Granskningen visar att det hos samtliga partier<br />
har funnits bristande kunskaper om personuppgiftslagen<br />
och vilka regler som gäller när man<br />
hanterar känsliga personuppgifter. Men, glädjande nog<br />
har det även funnits en stor vilja att åtgärda bristerna,<br />
säger Gunilla Öberg som är jurist på Datainspektionen<br />
och som deltagit i granskningarna.<br />
Bland felen som upptäckts finns: bristande<br />
information till medlemmar och andra som tar<br />
kontakt med partierna om hur deras personuppgifter<br />
kommer att hanteras, avsaknad av gallringsrutiner<br />
som ska se till att uppgifter inte sparas onödigt länge<br />
samt bristande IT-säkerhet för att skydda personuppgifterna.<br />
Integritetsåret <strong>2012</strong> – Datainspektionen<br />
37
personuppgifter från<br />
webbdiariet som kan nås av<br />
allmänheten.<br />
n Datainspektionen<br />
granskar Taxi Stockholm<br />
som har en databas där<br />
det på förarnivå går att få<br />
fram samtliga registrerade<br />
reklamationer sedan 1998.<br />
En del av dessa reklamationer<br />
innehåller uppgifter<br />
om lagöverträdelser. I<br />
ett fritextfält registrerar<br />
bolaget på egen hand in<br />
uppgifter om bland annat<br />
domar och beslut, åtal<br />
som lagts ner eller förare<br />
som dömts för allvarlig<br />
brottslighet. Bolaget får<br />
inte använda sin reklamationsdatabas<br />
som en<br />
form av brottsregister där<br />
bolaget hämtar uppgifter<br />
från helt andra håll än från<br />
sina kunder, konstaterar<br />
Datainspektionen.<br />
n Statens kriminaltekniska<br />
laboratorium, SKL, har<br />
byggt upp en DNA-databas<br />
som används på ett sätt<br />
som bryter mot lagen,<br />
konstaterar Datainspektionen<br />
efter att ha granskat<br />
laboratoriet.<br />
n Vilka regler som<br />
gäller om en kommun<br />
webbsänder exempelvis<br />
kommunfullmäktiges<br />
sammanträden?<br />
Jurist gjorde olaglig dataslagning<br />
En kommunjurist bröt mot lagen när hon i privat<br />
syfte kollade en ung kvinnas inkomst, <strong>rap</strong>porterar<br />
Helsingborgs Dagblad i oktober. Orsaken till<br />
slagningen ska vara att juristen var involverad i en tvist<br />
med sin exmake, som är den unga kvinnans pappa.<br />
Juristen har fått ett strafföreläggande på 11 500 kronor.<br />
Juristen har godkänt böterna vilket innebär att hon<br />
slipper rättegång.<br />
Högsta förvaltningsdomstolen<br />
gav Datainspektionen rätt<br />
2007 beslutade Datainspektionen att Försäkringskassan<br />
måste genomföra en risk- och sårbarhetsanalys<br />
av sin sms-tjänst för anmälan av tillfällig föräld<strong>rap</strong>enning.<br />
Beslutet omfattade även<br />
en annan tjänst som används då<br />
arbetsgivare anmäler anställdas<br />
sjukdomsfall.<br />
Försäkringskassan överklagade beslutet, först till<br />
Länsrätten, sedan till Kammarrätten och därefter<br />
till Högsta förvaltningsdomstolen, som i juni <strong>2012</strong><br />
meddelar att den avslagit överklagandet och gett<br />
Datainspektionen rätt.<br />
– Domen visar att ansvaret för att skydda personuppgifter<br />
i e-tjänster faller på den som ställer<br />
e-tjänsten till förfogande, i det här fallet Försäkringskassan,<br />
säger Datainspektionens generaldirektör<br />
Göran Gräslund.<br />
Skadestånd för<br />
felskickad deklaration<br />
En kvinnas inkomstdeklaration har av misstag följt<br />
med en annans persons deklaration och därmed<br />
skickats till fel mottagare. Kvinnan har begärt<br />
38 Integritetsåret <strong>2012</strong> – Datainspektionen
skadestånd av staten då hon anser att hennes<br />
personliga integritet har kränkts eftersom andra<br />
personer har haft möjlighet att ta del av hennes<br />
inkomst- och personuppgifter. Justitiekanslern anser<br />
att hanteringen av kvinnans personuppgifter skett<br />
i strid med personuppgiftslagen och beslutar att<br />
kvinnan ska få 3 000 kronor i ersättning.<br />
Personnummer stals<br />
vid dataintrång<br />
I mars varnar Skatteverket för att ett företag som<br />
hanterar uppgifter från folkbokföringen har utsatts<br />
för dataintrång. Personnummer för ett antal personer<br />
med skyddade personuppgifter har kopierats. ”Jag<br />
har stor förståelse för att man känner oro om ens<br />
personnummer har kopierats men det finns inget som<br />
tyder på att namn- eller adressuppgifter har kommit<br />
ut”, säger Anders Kylesten, säkerhetschef på Skatteverket.<br />
Myndigheten varnar dock för att det för drygt<br />
tusen personer kan vara teoretiskt möjligt att annan<br />
information har kopierats. Händelsen har polisanmälts<br />
av företaget som utsattes för dataintrånget.<br />
Skatteverket varnar för att personnummer stulits vid ett<br />
dataintrång . Även andra personuppgifter kan ha stulits .<br />
Integritetsåret <strong>2012</strong> – Datainspektionen<br />
39
Data inspektionen utreder<br />
frågan och kommer fram<br />
till att en kommun som<br />
sänder Internet-video<br />
från sina möten inte är<br />
skyddad av grundlag.<br />
Kommunen måste följa<br />
personuppgiftslagen och<br />
sändningen får inte vara<br />
kränkande i lagens mening.<br />
Om ett massmedieföretag<br />
eller privatperson genomför<br />
en webbsändning så<br />
skyddas den av grundlag<br />
vilket gör att reglerna i<br />
personuppgiftslagen inte<br />
gäller.<br />
n Den 22 maj i Oslo<br />
träffas cheferna för<br />
dataskyddsmyndigheterna<br />
i Norge, Finland, Sverige,<br />
Danmark, Island, Färöarna<br />
och Åland för att diskutera<br />
hur EU-kommissionens<br />
förslag till ny dataskyddslagstiftning<br />
kommer<br />
att påverka myndigheternas<br />
interna arbete<br />
och samarbete. ”Detta<br />
är den mest omfattande<br />
ändringen av europeisk<br />
dataskyddslagstiftning på<br />
många år. Det kommer<br />
att ställa helt nya krav på<br />
dataskyddsmyndigheterna i<br />
Kreditupplysningar<br />
och inkasso<br />
Kreditupplysningsföretag hittar<br />
nya sätt att kringgå lagen<br />
Den 1 januari 2011 trädde nya regler i kreditupplysningslagen<br />
i kraft som skulle stärka skyddet för<br />
enskilda när kreditupplysningar lämnas ut via Internet.<br />
Enligt lagändringarna måste den som begär en kreditupplysning<br />
ha ett legitimt behov av upplysningen,<br />
till exempel kan en hyresvärd ha behov av en kreditupplysning<br />
om den person som ska hyra en bostad.<br />
Dessutom måste en kopia av kreditupplysningen<br />
skickas till den som upplysningen gäller.<br />
Sedan lagändringarna trädde i kraft har Datainspektionen<br />
granskat samtliga större kreditupplysningsföretag.<br />
Myndigheten konstaterar att lagändringarna<br />
till en början fick effekt men att flera företag nu hittat<br />
nya möjligheter att kringgå lagen.<br />
– Därför skickar vi en skrivelse till regeringen där<br />
vi föreslår att det görs en snabbutredning för att täppa<br />
till den här luckan i lagen, säger Datainspektionens<br />
generaldirektör Göran Gräslund i mars.<br />
I skrivelsen till regeringen föreslår Datainspektionen<br />
att det antingen görs en snabbutredning för att<br />
täppa till luckan eller att det görs en mer omfattande<br />
översyn av lagen.<br />
Datainspektionen överklagar<br />
dom om kreditupplysningar<br />
I januari 2011 trädde nya regler i kreditupplysningslagen<br />
i kraft som bland annat innebär att kreditupplysningsföretag<br />
måste skicka en kopia av kreditupplysningen<br />
till den person som upplysningen gäller.<br />
40 Integritetsåret <strong>2012</strong> – Datainspektionen
Denna skyldighet gäller även när kreditupplysningen<br />
lämnas ut via en webbplats.<br />
I juni <strong>2012</strong> förelägger Datainspektionen ett kreditupplysningsföretag<br />
att börja skicka kreditupplysningskopior<br />
till de omfrågade även då kreditupplysningarna<br />
lämnas ut via en webbplats.<br />
Företaget överklagar Datainspektionens beslut till<br />
förvaltningsdomstolen som i november <strong>2012</strong> meddelar<br />
att den kommit fram till att den nya bestämmelsen<br />
om kopieplikt står i strid med grundlag. Det innebär i<br />
så fall att företaget inte behöver skicka kreditupplysningskopior<br />
till de omfrågade när kreditupplysningen<br />
lämnats ut via företagets webbplats.<br />
– Vår bedömning är dock att förvaltningsdomstolens<br />
slutsats är felaktig och att ändringarna i<br />
kreditupplysningslagen inte på något sätt står i<br />
strid med grundlag, säger Hans Kärnlöf som är<br />
Datainspektionens expert på kreditupplysningslagen.<br />
I slutet av november överklagar Datainspektionen<br />
därför förvaltningsrättens dom till kammarrätten.<br />
Inkassobolag fortsätter<br />
skicka otydliga krav<br />
För två år sedan riktade Datainspektionen skarp kritik<br />
mot ett antal inkassobolag för att deras inkassokrav<br />
som rör tele-, TV- och Internetavgifter var för<br />
otydliga. I november <strong>2012</strong> är myndigheten klar med en<br />
uppföljande granskning som visar att bristerna till stor<br />
del kvarstår.<br />
– Många inkassobolag använder fortfarande för<br />
vida och sammanfattande begrepp för att beskriva vad<br />
fordran avser. Det gör det svårt för den skuldsatte att<br />
veta vad fordran avser och att kunna ta ställning till<br />
om kravet är riktigt eller inte, säger Malin Fredholm<br />
som lett myndighetens granskning.<br />
Inkassobolagen brister också i att specificera<br />
kostnaderna i kravet. Kostnader för själva inkasso-<br />
Integritetsåret <strong>2012</strong> – Datainspektionen<br />
41
Europa och förändra sättet<br />
som vi arbetar på”, säger<br />
Datainspektionens generaldirektör<br />
Göran Gräslund i<br />
samband med mötet.<br />
n Ett bevakningsföretag<br />
som SL anlitar för att gripa<br />
klottrare i tunnelbanan<br />
bryter inte mot personuppgiftslagen<br />
när det<br />
registrerar uppgifter<br />
om gripanden och<br />
skadegörelse, konstaterar<br />
Datainspektionen efter att<br />
ha granskat företaget.<br />
Juni<br />
n I juni är Datainspektionen<br />
klar med sin<br />
granskning av hur riksdagspartierna<br />
hanterar personuppgifter<br />
om medlemmar<br />
och andra personer som<br />
tagit kontakt med dem.<br />
Granskningen visar att<br />
samtliga riksdagspartier<br />
har bristande kunskaper<br />
om personuppgiftslagens<br />
regler, men partierna har<br />
även visat en stor vilja att<br />
förbättra sin hantering av<br />
personuppgifter.<br />
n Identitetsstölder har<br />
blivit ett jätteproblem och<br />
bedrägerier är numera<br />
den fjärde vanligaste<br />
typen av brott i Sverige<br />
efter brott som snatteri<br />
kravet och en eventuell betalningspåminnelse, men<br />
också faktureringsavgifter och andra administrativa<br />
avgifter ska redovisas var för sig i inkassokravet.<br />
Elkunder ersätts för dubbla<br />
inkassokostnader<br />
Datainspektionen granskar ett elbolag och upptäcker<br />
en rad brister i företagets inkassohantering. Elbolaget<br />
har tillsammans med det inkassobolag som företaget<br />
tidigare anlitade debiterat närmare 3 000 kunder<br />
dubbla inkassokostnader. Elbolaget har brutit mot<br />
inkassolagen genom att skicka dubbla inkassokrav och<br />
debitera dubbla inkassokostnader.<br />
Myndigheten har därefter gjort en uppföljande<br />
kontroll för att se om bristerna åtgärdats. Elbolaget<br />
har sett över sin inkassohantering och sköter den<br />
själv. Företaget har också börjat ersätta de kunder som<br />
drabbats av dubbla inkassokostnader.<br />
– Det är positivt att vår granskning lett till att<br />
bolaget har förbättrat sin inkassohantering och att<br />
de drabbade kunderna nu får ersättning, säger Malin<br />
Fredholm på Datainspektionen.<br />
Närmare 3 000 kunder har debiterats dubbla inkassokostnader<br />
av ett elbolag .<br />
42 Integritetsåret <strong>2012</strong> – Datainspektionen
Övervakning i arbetslivet<br />
Så får arbetsgivare hantera<br />
personuppgifter<br />
I slutet av april publicerar Datainspektionen en ny<br />
48-sidig broschyr som klargör vilka regler som gäller<br />
för hur arbetsgivare får hantera personuppgifter.<br />
”Personuppgifter i arbetslivet” svarar bland annat<br />
på frågor som hur får GPS-positionering användas<br />
i firmabilar utan att det inkräktar på de anställdas<br />
personliga integritet, vilka regler gäller för kameraövervakning<br />
på företag och får företag spela in de<br />
anställdas telefonsamtal?<br />
– Oavsett verksamhet hanterar alla företag personuppgifter<br />
på en rad olika sätt i varierande utsträckning.<br />
Med den här broschyren vill vi göra det lättare för<br />
arbetsgivare att följa reglerna i personuppgiftslagen,<br />
säger Datainspektionens generaldirektör Göran<br />
Gräslund.<br />
Beställ som trycksak eller hämta gratis<br />
”Personuppgifter i arbetslivet” vänder sig till arbetsgivare,<br />
arbetstagare, fackförbund och branschorganisationer<br />
inom både privat och offentlig sektor. Skriften kan<br />
hämtas kostnadsfritt som pdf-dokument på myndighetens<br />
webbplats eller beställas som trycksak och kostar<br />
då 53 kronor.<br />
Integritetsåret <strong>2012</strong> – Datainspektionen<br />
43
och skadegörelse varnar<br />
polisen i en artikel i<br />
Datainspektionens tidning<br />
Integritet i fokus. ”Den<br />
svenska offentlighetsprincipen<br />
har blivit ett<br />
verktyg som utnyttjas<br />
av skurkar”, säger en<br />
av polisens utredare i<br />
tidningen.<br />
n I parkeringsgarage<br />
vid flera köpcentrum<br />
används ny teknik som<br />
visar riktad reklam till<br />
bilförare. Systemet läser av<br />
bilarnas registreringsskyltar<br />
när de åker in i garaget.<br />
Med hjälp av bilregistrets<br />
uppgifter om bilmodell och<br />
bostadsort samt statistik<br />
från SCB, visas riktad<br />
reklam på ljusskyltar längre<br />
in i garaget. Datainspektionen<br />
konstaterar att<br />
företaget bakom tekniken<br />
måste informera bilisterna<br />
om hur deras registreringsnummer<br />
används för att<br />
visa reklamen.<br />
n Datainspektionens<br />
beslut från 2007 mot<br />
Försäkringskassan om<br />
sms-tjänsten för anmälan<br />
av tillfällig föräld<strong>rap</strong>enning<br />
överklagades till Högsta<br />
förvaltningsdomstolen.<br />
I mitten av juni ger<br />
domstolen Datainspektionen<br />
rätt och beslutet står<br />
fast.<br />
Bussbolag måste sluta<br />
kameraövervaka personal<br />
Datainspektionen tar emot klagomål som gör gällande<br />
att ett bussbolag i Varberg kameraövervakar<br />
sin personal.<br />
Myndighetens<br />
granskning<br />
visar att<br />
bolaget har tio<br />
övervakningskameror<br />
på sin<br />
anläggning.<br />
Bolaget<br />
uppger att<br />
bildmaterialet<br />
är tänkt att<br />
användas för att<br />
utreda eventuell<br />
skadegörelse eller annat<br />
brott vid anläggningen.<br />
Materialet är också tänkt att<br />
användas om det skulle ske en skada eller<br />
annan incident i exempelvis verkstad eller tvätthall.<br />
Hittills har bildmaterialet aldrig behövt användas.<br />
– Det måste finnas ett påtagligt behov av kameraövervakning<br />
för att den ska vara laglig, säger Lars<br />
Söderberg som lett Datainspektionens granskning.<br />
Datainspektionen förelägger därför bolaget att<br />
upphöra med kameraövervakningen under ordinarie<br />
arbetstid och att göra en analys av om övervakningen<br />
verkligen behövs och om den i så fall ska begränsas<br />
vad gäller tider och platser. Myndigheten riktar också<br />
kritik mot att bolaget saknar policy och rutiner för hur<br />
bildmaterial får lämnas ut till utomstående.<br />
44 Integritetsåret <strong>2012</strong> – Datainspektionen
Fel av butik använda<br />
dold kameraövervakning<br />
En dagligvarubutik i Östersund har, enligt klagomål<br />
till Datainspektionen, övervakat sina anställda och<br />
anställda på ett annat företag med dold kamera.<br />
Butiken uppger till Datainspektionen att man<br />
under lång tid haft problem med svinn och att<br />
man därför i augusti 2011 installerade en dold<br />
övervakningskamera i det lunchrum som är<br />
gemensamt för de två företagens personal.<br />
Datainspektionen konstaterar i sin<br />
utredning att övervakningen varit olaglig.<br />
Kameraövervakning får bara användas om<br />
de som övervakas har blivit informerade.<br />
Ett undantag är polisen och andra brottsutredande<br />
myndigheter som får använda<br />
dold kameraövervakning men då<br />
endast om det är av synnerlig vikt för<br />
utredningen och gäller allvarlig brottslighet.<br />
”Frivilliga” brottsutdrag<br />
ökar lavinartat<br />
Antalet arbetsgivare som kräver att en arbetssökande<br />
”frivilligt” ska visa upp ett utdrag från Polisens belastningsregister<br />
ökar lavinartat, skriver tidningen Dagens<br />
Juridik. Tidningen refererar till statistik från Rikspolisstyrelsen<br />
som visar att antalet fall där enskilda begär<br />
registerutdrag mer än fyrdubblades mellan åren 2003<br />
och 2011, från 40 686 till 176 939. Rikspolisstyrelsen<br />
uppskattar att runt 90 procent av de som begär utdrag<br />
över sig själva är arbetssökande.<br />
Integritetsåret <strong>2012</strong> – Datainspektionen<br />
45
n Fortfarande fyra år<br />
efter att patientdatalagen<br />
trädde i kraft lever svenska<br />
vårdgivare inte upp till<br />
lagens krav. Patienternas<br />
rätt att få uppgifter<br />
spärrade i sina journaler<br />
åsidosätts. Det visar<br />
Datainspektionens stora<br />
granskning av samtliga<br />
landsting samt fem privata<br />
vårdgivare.<br />
n I slutet av juni<br />
förelägger Datainspektionen<br />
Gotlands tingsrätt<br />
att sluta publicera namn på<br />
parter i mål och ärenden<br />
på domstolens webbplats<br />
eftersom publiceringen<br />
strider mot personuppgiftslagen.<br />
Juli<br />
n I början av juli yttrar sig<br />
Datainspektionen om ett<br />
förslag till förordning om<br />
”register för viss befolkningsbaserad<br />
forskning”<br />
som tagits fram av<br />
regeringen. I sitt yttrande<br />
riktar myndigheten skarp<br />
kritik mot förslaget.<br />
Myndigheten är framför<br />
allt kritisk till att det är<br />
en förordning, som kan<br />
beslutas av regeringen,<br />
och inte ett lagförslag, som<br />
måste beslutas i riksdagen.<br />
Vården, forskningen,<br />
patienten och lagen<br />
Stor granskning: Svårt för patienter<br />
spärra journaluppgifter<br />
Enligt patientdatalagen har patienten rätt att spärra<br />
uppgifter från att lämnas ut, dels mellan olika<br />
vårdenheter inom samma vårdgivare, dels mellan olika<br />
vårdgivare som använder sammanhållen journalföring.<br />
Datainspektionen har under flera år fått klagomål från<br />
patienter att det ofta brister i hanteringen av dessa<br />
spärrar.<br />
– Nästan varje dag är det patienter som hör av sig<br />
till Datainspektionen och berättar att de inte kan få sin<br />
önskan om spärr tillgodosedd, säger Maria Bergdahl,<br />
jurist på Datainspektionen.<br />
Datainspektionen genomför därför ett stort<br />
nationellt tillsynsprojekt av samtliga landsting och<br />
regioner samt fem privata vårdgivare. Resultatet<br />
av granskningen ger en dyster bild av hur patientdatalagen<br />
följs.<br />
– Ingen av de granskade vårdgivarna uppfyller sina<br />
skyldigheter fullt ut mot patienterna när det gäller<br />
möjligheten att spärra uppgifter. Eftersom lagen<br />
funnits i snart fyra år kan man inte längre skylla<br />
på omställningsproblem, säger Datainspektionens<br />
generaldirektör Göran Gräslund.<br />
I juni förelägger Datainspektionen samtliga<br />
vårdgivare att redogöra för när funktioner för tekniska<br />
spärrar som lever upp till patientdatalagens krav<br />
kommer att vara genomförda i systemen. Sedan dess<br />
har ytterligare kompletteringar begärts in och granskningen<br />
beräknas nu vara helt klar under våren 2013.<br />
46 Integritetsåret <strong>2012</strong> – Datainspektionen
Fel av barnklinik<br />
spela in alla samtal<br />
På barnkliniken vid Ystads lasarett spelas alla<br />
inkommande samtal in. Även vissa utgående samtal<br />
spelas in. Inspelningarna sparas i minst tre år. Syftet<br />
uppges vara kvalitetssäkring, då de inspelade samtalen<br />
kan användas för att fastställa vilken information som<br />
patienterna fått av personalen. Dessutom vill man<br />
minska mängden hot och otrevligheter som riktas<br />
mot de som arbetar i telefonrådgivningen. Hittills har<br />
kliniken inte behövt granska något sparat telefonsamtal.<br />
– Inspelning av telefonsamtal innebär ett integritetsintrång<br />
för såväl patienter som anhöriga och<br />
anställda. För att det ska vara lagligt måste det finnas<br />
ett påtagligt behov av systematisk kvalitetssäkring<br />
som inte kan lösas på något annat, mindre integritetskänsligt<br />
sätt. Kliniken har inte visat att det finns ett<br />
sådant behov som motiverar att alla samtal spelas in,<br />
säger Katarina Högquist, jurist på Datainspektionen.<br />
Barnkliniken har numera upphört att spela in alla<br />
samtal.<br />
Brist i journalsystem<br />
omöjliggör kontroll<br />
Datainspektionen tar emot ett klagomål som rör<br />
Akademiska sjukhuset i Uppsala. Klagomålet rör en<br />
funktion som visar läkaranteckningar för en vald<br />
patient. Datainspektionens granskning visar att när<br />
en läkare öppnar funktionen så visas de 20 senaste<br />
anteckningarna. I systemets logg, som ska användas<br />
för att upptäcka obehörig åtkomst av patientjournaler,<br />
registreras att läkaren ifråga tittat på samtliga 20<br />
anteckningar vid exakt samma tidpunkt. Det går alltså<br />
inte att se vilken anteckning som läkaren faktiskt läste.<br />
Integritetsåret <strong>2012</strong> – Datainspektionen<br />
47
n I september 2011<br />
konstaterade Datainspek-<br />
tionen att det bryter<br />
mot lagen att registrera<br />
uppgifter om dementa i så<br />
kallade kvalitetsregister. Via<br />
klagomål har Datainspektionen<br />
fått uppgifter om<br />
att dementa trots det<br />
fortsätter att registreras.<br />
Därför drar myndigheten<br />
igång en granskning av<br />
hur kommuner hanterar<br />
uppgifter om dementa i<br />
kvalitetsregister.<br />
Augusti<br />
n Datainspektionen<br />
yttrar sig om ett förslag<br />
till huliganregister som<br />
lagts fram i en utredning.<br />
Myndigheten är positiv till<br />
lagstiftning för ett centralt<br />
register över huliganer, men<br />
anser att det nuvarande<br />
förslaget innehåller ett<br />
antal brister och oklarheter<br />
som först måste åtgärdas.<br />
n Enligt ett förslag ska<br />
Centrala Studiemedelsnämnden,<br />
CSN, kunna<br />
sammanställa statistik<br />
över studenters hälsa.<br />
Datainspektionen säger nej<br />
till förslaget eftersom det<br />
saknar en tillräcklig analys<br />
och motivering av varför<br />
– En så bristfällig loggning gör det i praktiken<br />
omöjligt att kontrollera obehörig åtkomst, men gör<br />
även att personal på felaktiga grunder kan pekas ut<br />
som att ha tagit del av för mycket patientuppgifter,<br />
säger Maria Bergdahl som lett Datainspektionens<br />
granskning.<br />
I mitten av oktober konstaterar Datainspektionen<br />
att de brister som upptäcktes har åtgärdats eller är på<br />
väg att åtgärdas.<br />
Granskning av hur<br />
dementa registreras<br />
I juli <strong>2012</strong> inleder Datainspektionen en granskning för<br />
att ta reda på om kommuner bryter mot lagen genom<br />
att registrera uppgifter om dementa. I september året<br />
innan konstaterade Datainspektionen att det bryter<br />
mot lagen att i så kallade kvalitetsregister registrera<br />
uppgifter om dementa och andra som varaktigt saknar<br />
beslutsförmåga. För att få registrera sådana uppgifter<br />
krävs det att den demente har en legal ställföreträdare<br />
som inte motsätter sig att uppgifterna registreras.<br />
Myndigheten har tagit emot klagomål som säger<br />
att uppgifter om dementa trots det fortsätter att<br />
registreras.<br />
Personuppgifter får inte användas<br />
för opreciserad forskning<br />
Svensk Nationell Datatjänst (SND) är en tjänst<br />
vid Göteborgs universitet som samlar in data från<br />
forskningsprojekt runtom i landet för att sedan göra<br />
dessa data tillgängliga för andra forskare i Sverige och<br />
utomlands. Det material som samlas in bearbetas för<br />
att sedan kunna användas för ospecificerad framtida<br />
forskning.<br />
48 Integritetsåret <strong>2012</strong> – Datainspektionen
Register över vårdpersonal läggs ut på nätet<br />
En utredning föreslår att Socialstyrelsens register över legitimerad hälso- och<br />
sjukvårdspersonal (HOSP-registret) ska bli tillgängligt på Internet. Registret är<br />
redan idag offentligt på så sätt att det går att mejla Socialstyrelsen och begära<br />
uppgifter om en enskild persons<br />
behörighet. Enligt förslaget ska<br />
allmänheten i framtiden kunna söka<br />
uppgifter själv via Internet och få<br />
reda på uppgifter om legitimerade<br />
personers namn, födelseår, yrke,<br />
specialitet samt datum för utfärdande<br />
av legitimation eller bevis om specialistkompetens.<br />
Datainspektionen granskar SND och konstaterar<br />
att organisationen inte informerar de personer vars<br />
uppgifter finns i det forskningsmaterial som lämnas in<br />
till SND. Man inhämtar inte heller samtycke från dessa<br />
personer.<br />
– Det är fel på fel att först samla in uppgifter<br />
från andra forskningsprojekt utan att få de registrerades<br />
samtycke, och sedan ha ett så diffust syfte<br />
som framtida forskning, säger Erik Janzon som är<br />
tillsynschef för vård-, forsknings- och utbildningsfrågor<br />
på Datainspektionen.<br />
Datainspektionen förelägger därför Göteborgs<br />
universitet att sluta samla in mer material och sluta<br />
använda det material som redan samlats in.<br />
Kritik mot brister i journalsystem<br />
Datainspektionen granskar hur Karolinska sjukhuset<br />
använder så kallad sammanhållen journalföring, vilket<br />
innebär att sjukhuset kan utbyta journaluppgifter med<br />
andra vårdgivare. Myndigheten har identifierat ett<br />
Integritetsåret <strong>2012</strong> – Datainspektionen<br />
49
hälsostatistiken måste föras<br />
på individnivå.<br />
September<br />
n Under 2011 riktade<br />
Datainspektionen kritik<br />
mot hur företaget Brevo<br />
använde en molntjänst.<br />
I september <strong>2012</strong><br />
konstaterar Datainspektionen<br />
att företaget har<br />
åtgärdat de brister som<br />
upptäcktes vid inspektionen.<br />
n Datainspektionen<br />
granskar webbplatsen<br />
laget.se, där idrottsklubbar<br />
kan skapa en egen<br />
hemsida. Myndigheten<br />
konstaterar att det är<br />
klubbarna själva som<br />
ansvarar för de personuppgifter<br />
som läggs in i<br />
systemet.<br />
Oktober<br />
n Under 2011<br />
genomförde Datainspektionen<br />
en granskning<br />
av hur Salems kommun<br />
använde en molntjänst<br />
från Google och konstaterade<br />
att kommunen inte<br />
följde reglerna i personuppgiftslagen.<br />
I oktober<br />
<strong>2012</strong> begär Datainspek-<br />
antal brister i journalsystemet som strider mot reglerna<br />
i patientdatalagen. En sådan brist är att användaren<br />
redan i utgångsläget får se för mycket information<br />
om patienten. I stället för att systemet bara indikerar<br />
att det finns journaluppgifter om patienten även hos<br />
andra vårdgivare så listas direkt vilka vårdgivare som<br />
har uppgifter om patienten. Dessutom visas dessa<br />
uppgifter innan man fått patientens medgivande att ta<br />
del av uppgifterna.<br />
Datainspektionen är även kritisk till hur patienten<br />
ges möjlighet att samtycka till att journaluppgifterna<br />
lämnas ut. Ger patienten sitt samtycke blir alla<br />
uppgifter hos alla vårdgivare som har uppgifter om<br />
patienten tillgängliga, oavsett om uppgifterna behövs<br />
för den aktuella vårdprocessen. Detta gäller alla<br />
uppgifter som patienten inte själv aktivt spärrat.<br />
Forskningsprojekt dåliga<br />
på att informera<br />
I december <strong>2012</strong> är Datainspektionen klar med en<br />
stor undersökning av forskningsprojekt. Totalt har<br />
närmare 50 projekt granskats hos ett 20-tal universitet,<br />
högskolor och myndigheter. I samtliga projekt<br />
registreras känsliga personuppgifter, i de flesta fall<br />
uppgifter om hälsa. Det som undersökts är bland annat<br />
hur man informerar deltagarna i forskningsprojekt<br />
om hur deras personuppgifter kommer att hanteras<br />
och hur man får deltagarnas<br />
medgivande att registrera<br />
dessa uppgifter. Granskningen<br />
visar att det finns brister i hur<br />
man informerar de personer<br />
vars uppgifter registreras.<br />
Hur pass bra man informerar<br />
kan dessutom variera inom<br />
en och samma högskola eller<br />
universitet.<br />
50 Integritetsåret <strong>2012</strong> – Datainspektionen
Kritik mot KBT-behandlingar<br />
på Internet<br />
Datainspektionen granskar ett företag och tre<br />
vårdgivare som erbjuder KBT-behandlingar via<br />
Internet. Behandlingarna rör exempelvis ångest och<br />
oro, stresshantering och depression.<br />
Myndigheten identifierar en del brister. De<br />
som deltar i behandlingarna kan logga in med<br />
användarnamn och lösenord vilket inte ger tillräckligt<br />
hög säkerhet när man ska komma åt känsliga personuppgifter.<br />
Kontrollen av vilken personal som tar del<br />
av patienternas uppgifter saknas eller är bristfällig<br />
och patienterna blir inte tillräckligt informerade om<br />
deras rättigheter att ta del av sina uppgifter eller att få<br />
uppgifter rättade.<br />
– KBT-behandling via Internet gör det möjligt för<br />
patienter att snabbt få tillgång till behandling, vilket<br />
är positivt. Men man får inte glömma att det i den<br />
här typen av system lagras känsliga uppgifter om<br />
patienterna. Då är det viktigt att alla säkerhetsåtgärder<br />
är på plats och fungerar, säger Ingela Alverfors som lett<br />
granskningarna.<br />
Sjuksköterska dömd<br />
för dataintrång<br />
En sjuksköterska döms av Alingsås tingsrätt till 21 600<br />
kronor i böter för dataintrång. Enligt Göteborgs-<br />
Posten var upprinnelsen till dataintrånget att kvinnans<br />
styvdotter tagit en kreditupplysning på kvinnan och<br />
sett att sjuksköterskan hade stora skulder. Sjuksköterskan<br />
ska därefter vid tio olika tillfällen läst sin<br />
styvdotters elektroniska patientjournal och hotat<br />
att avslöja uppgifter från journalen. Det gjorde att<br />
styvdottern kontaktade polisen. Förutom dagsböter ska<br />
sjuksköterskan betala 5 000 kronor till styvdottern.<br />
Integritetsåret <strong>2012</strong> – Datainspektionen<br />
51
tionen att kommunen<br />
ska redogöra för vilka<br />
åtgärder som vidtagits för<br />
att göra sin användning av<br />
molntjänsten laglig.<br />
n Ett försäkringsbolag vill<br />
införa en bilförsäkring som<br />
bygger på att försäkringstagaren<br />
betalar en premie<br />
som beräknas utifrån hur<br />
bilen körs. Uppgifterna<br />
som försäkringsbolaget får<br />
tillgång till gör det möjligt<br />
att se om bilen har körts<br />
för fort. I normala fall är<br />
det endast myndigheter<br />
som får registrera uppgifter<br />
om brott, som exempelvis<br />
fortkörningar. Försäkringsbolaget<br />
har därför ansökt<br />
om ett undantag som gör<br />
det möjligt att registrera<br />
den här typen av uppgifter i<br />
systemet. Datainspektionen<br />
beviljar bolaget undantag<br />
bland annat på grund av att<br />
det är frivilligt att teckna<br />
försäkringen.<br />
n Bevis som samlats<br />
in från Facebook väger<br />
allt tyngre i vårdnadstvister.<br />
I en artikel i<br />
Datainspektionens tidning<br />
Integritet i fokus berättar<br />
juristen Linda Bohlin att<br />
bevis i form av texter och<br />
bilder från sociala medier<br />
numera förekommer i<br />
hälften av de vårdnadstvister<br />
hon arbetar med. I<br />
Lagar, lagförslag<br />
och myndighetsregister<br />
Inför straff för att<br />
motverka kränkningar<br />
En utredning har på uppdrag av regeringen tagit<br />
fram ett förslag till översyn av lagarna för tryck- och<br />
yttrandefrihet. I slutet av december <strong>2012</strong> yttrar sig<br />
Datainspektionen över förslaget och konstaterar att<br />
det inte innehåller några bestämmelser som stärker<br />
skyddet för enskildas integritet och privatliv på<br />
webbplatser som är grundlagsskyddade. Webbplatser<br />
som drivs av massmediebolag är grundlagsskyddade<br />
men även andra webbplatser kan grundlagsskyddas<br />
med så kallade utgivningsbevis.<br />
Datainspektionen anser att det behövs en<br />
generell straffbestämmelse som kriminaliserar grova<br />
kränkningar och att det är viktigt att en utredning i<br />
denna fråga snarast kommer till stånd.<br />
– Vi kommer dagligen i kontakt med människor som<br />
uppfattar att deras integritet kränks på Internet. En<br />
generell straffbestämmelse skulle vara ett verktyg för<br />
att stävja dessa kränkningar. Det ska inte spela någon<br />
roll om allvarliga kränkningar av integriteten sker<br />
innanför eller utanför det grundlagsskyddade området.<br />
En sådan straffbestämmelse skulle bidra till att skapa<br />
balans mellan yttrandefrihet och integritetsskydd,<br />
säger Datainspektionens generaldirektör Göran<br />
Gräslund.<br />
Dåligt utrett förslag till ny lag om<br />
händelseanalyser vid självmord<br />
En utredning lägger fram ett förslag att en särskild lag<br />
införs för så kallade händelseanalyser vid självmord.<br />
52 Integritetsåret <strong>2012</strong> – Datainspektionen
Datainspektionen granskar förslaget och anser att det<br />
ger utrymme för en omfattande hantering av känsliga<br />
personuppgifter utan att behovet av detta är tillräckligt<br />
utrett. Exempelvis möjliggör förslaget sammanställningar<br />
av känsliga personuppgifter om nu levande<br />
personer, utan att det förklaras varför och när det<br />
skulle behövas.<br />
– Det är angeläget att få till stånd ett så bra<br />
självmordsförebyggande arbete som möjligt men<br />
bristerna i utredningen gör att Datainspektionen inte<br />
kan ställa sig bakom det, säger generaldirektör Göran<br />
Gräslund.<br />
Kritik mot att polisen får tillgång<br />
till FRA:s signalspaning<br />
I en promemoria föreslås att Säkerhetspolisen och<br />
den öppna polisen, genom Rikskriminalpolisen, ska få<br />
använda FRA:s signalspaning i försvarsunderrättelseverksamhet.<br />
Datainspektionen granskar förslaget och<br />
anser att det inte är tillräckligt utrett om den öppna<br />
polisens behov av att använda FRA:s signalspaning<br />
väger tyngre än intrånget i den personliga integriteten.<br />
En sådan analys krävs enligt svensk grundlag.<br />
– Vi utesluter inte att den öppna polisen har<br />
tillräckliga skäl men det saknas en tillräckligt<br />
djup och ingående analys som påvisar det, säger<br />
Datainspektionens generaldirektör Göran Gräslund.<br />
Oacceptabla brister i förslag<br />
som ska stärka elevsekretess<br />
En utredning har på uppdrag av regeringen tagit fram<br />
ett förslag för hur sekretessen för elevuppgifter ska<br />
stärkas. Datainspektionen granskar förslaget och<br />
anser att det stärker sekretessen för personuppgifter<br />
som registreras i samband med åtgärdsprogram,<br />
Integritetsåret <strong>2012</strong> – Datainspektionen<br />
53
vissa fall utgör sådana bevis<br />
själva huvudbevisningen i<br />
tvisten.<br />
n I januari 2010 fotograferade<br />
Google svenska<br />
städer inför lanseringen av<br />
bildtjänsten Google Street<br />
View i Sverige. Det visade<br />
sig sedan att företaget även<br />
”tjuvlyssnat” på trådlösa<br />
nätverk och snappat upp<br />
och lagrat trafik från dessa.<br />
I maj samma år godkände<br />
Datainspektionen att<br />
Google kunde radera dessa<br />
uppgifter. I juni året efter<br />
kom en bekräftelse att data<br />
raderats. Det har dock visat<br />
sig att data funnits kvar<br />
på säkerhetskopior och<br />
först den 10 oktober <strong>2012</strong><br />
meddelar ett oberoende<br />
raderingsföretag att alla<br />
data verkligen raderats.<br />
n Datainspektionen<br />
granskar ett par<br />
olika bankers appar.<br />
Myndigheten anser att<br />
sättet som bankerna<br />
använder för att identifiera<br />
kunden (personnummer<br />
plus pinkod) är för osäkert<br />
och vill att bankerna inför<br />
säkrare sätt för kunderna<br />
att logga in.<br />
n I mitten av oktober<br />
går samtliga EU:s<br />
dataskyddsmyndigheter<br />
samman och riktar kritik<br />
individuella utvecklingsplaner och andra särskilt<br />
elevstödjande verksamheter. Myndigheten är dock<br />
kritisk till att förslaget inte innehåller några sekretessbestämmelser<br />
för känsliga personuppgifter inom<br />
skolväsendet i övrigt.<br />
– Vår erfarenhet pekar på att det i skolorna<br />
förekommer en mängd uppgifter om elevers personliga<br />
förhållanden som är av mycket integritetskänslig natur<br />
och som hamnar utanför den särskilt elevstödjande<br />
verksamheten. Inom undervisningen dokumenteras<br />
mer och mer uppgifter om elevernas personliga åsikter,<br />
tankar och förmågor. Att sådana uppgifter saknar<br />
sekretesskydd är oacceptabelt, säger Göran Gräslund.<br />
Kritik mot mer registrering<br />
av arbetssökande<br />
En utredning har tagit fram ett lagförslag som gör<br />
det möjligt för Arbetsförmedlingen att registrera<br />
uppgifter om vilka aktiviteter som arbetslösa vidtar för<br />
att få jobb. Tanken är att den sökande själv ska fylla i<br />
uppgifter, bland annat i fritextfält.<br />
– Fritextsfält är alltid förenat med risker som<br />
att onödigt mycket och känsliga personuppgifter<br />
skrivs in, och därmed sparas för lång tid framöver<br />
och blir tillgängliga för många personer, säger<br />
Datainspektionens generaldirektör Göran Gräslund.<br />
Datainspektionen kan inte ställa sig bakom förslaget<br />
eftersom det inte redogör för hur Arbetsförmedlingen<br />
ska minimera mängden känsliga personuppgifter som<br />
kan komma att registreras i fritextfälten.<br />
Datainspektionen konstaterar även i sitt yttrande<br />
att det under relativt kort tid föreslagits flera ändringar<br />
i Arbetsförmedlingens registerlag som har försvagat<br />
skyddet för den personliga integriteten. Kravet att<br />
arbetssökande måste ge sitt medgivande för att vissa<br />
uppgifter ska registreras har tagits bort. Handläggarna<br />
får göra bredare sökningar i förmedlingens databaser<br />
54 Integritetsåret <strong>2012</strong> – Datainspektionen
och uppgifter om lagöverträdelser och andra känsliga<br />
personuppgifter får registreras.<br />
Nej till CSN:s hälsostatistik<br />
Enligt ett förslag ska CSN kunna sammanställa<br />
statistik över studenters hälsa. Datainspektionen<br />
är kritisk till förslaget och anser att det är så<br />
knapphändigt formulerat att det är svårt att utläsa<br />
varför hälsostatistik måste föras på individnivå.<br />
Datainspektionen riktar även kritik mot att<br />
förslaget innebär att personuppgifter om enskildas<br />
hälsotillstånd får behandlas för det vitt formulerade<br />
ändamålet att framställa statistik över studiestöd.<br />
Inspektionen saknar dessutom en närmare bedömning<br />
av hur de som finns registrerade hos CSN ska<br />
informeras om att deras känsliga uppgifter kommer att<br />
användas för att framställa statistik.<br />
Lättare kameraövervaka tunnelbanan<br />
En utredning har på uppdrag av regeringen tagit fram ett förslag till ny kameraövervakningslag<br />
som ska samla alla bestämmelser om kameraövervakning som<br />
idag finns i två olika lagar, nämligen lagen om allmän kameraövervakning och<br />
personuppgiftslagen. Datainspektionen<br />
yttrade sig om förslaget<br />
under 2010 och yttrar sig i april <strong>2012</strong><br />
över ett kompletterande underlag.<br />
Myndigheten är kritisk till att kameraövervakning<br />
ska kunna införas i<br />
parkeringshus utan tillstånd, däremot<br />
delar Datainspektionen utredningens<br />
mening att det ska kunna bli lättare<br />
En utredning föreslår att det ska<br />
att kameraövervaka i tunnelbanan<br />
bli lättare att kameraövervaka<br />
eftersom människor ofta kan känna sig tunnelbanan eftersom människor<br />
mer utsatta där än på andra platser.<br />
kan känna sig mer utsatta där .<br />
Integritetsåret <strong>2012</strong> – Datainspektionen<br />
55
mot Google, bland annat<br />
för att företaget inte<br />
tillräckligt informerar<br />
användarna om hur deras<br />
uppgifter kommer att<br />
användas och inte ger<br />
användarna möjlighet att<br />
kontrollera hur uppgifter<br />
från företagets olika<br />
tjänster samkörs. Det är<br />
första gången som alla<br />
dataskyddsmyndigheter i<br />
Europa går samman på det<br />
här sättet.<br />
n Ett företag som i dag<br />
registrerar klotter för flera<br />
uppdragsgivares räkning<br />
vill sammanställa dessa<br />
uppgifter i en central<br />
databas för att underlätta<br />
skadeståndsanspråk.<br />
Lagstiftarens tanke att<br />
andra än myndigheter<br />
bara i undantagsfall ska få<br />
hantera sådana uppgifter,<br />
vilket gör att Datainspektionen<br />
säger nej till<br />
databasen.<br />
n Den 18 oktober är<br />
Datainspektionen klar<br />
med sin granskning av<br />
Folkpartiet. Partiet lever<br />
inte upp till lagens krav när<br />
det gäller hur användare<br />
kommer åt personuppgifter<br />
i partiets centrala medlemsregister.<br />
Samma brist<br />
upptäcktes även hos andra<br />
granskade riksdagspartier.<br />
Skarp kritik mot förordning för<br />
befolkningsbaserad forskning<br />
Ett förslag till förordning har lagts fram av regeringen<br />
för att göra omfattande befolkningsbaserad forskning<br />
som exempelvis LifeGene möjlig. Datainspektionen<br />
granskar förslaget och riktar i ett yttrande skarp kritik<br />
mot det.<br />
Myndigheten är framför allt<br />
kritisk till att det är en förordning,<br />
som kan beslutas av regeringen,<br />
och inte ett lagförslag, som måste<br />
beslutas i riksdagen.<br />
– Det är riksdagens uttalade<br />
ambition att myndighetsregister<br />
med ett stort antal registrerade<br />
personer och ett särskilt känsligt<br />
innehåll ska regleras i lag. Därför<br />
bör det tillsättas en statlig utredning<br />
som tar fram ett noga genomtänkt<br />
och övervägt förslag till hur<br />
denna typ av befolkningsbaserad<br />
forskning ska få stöd i lagen, säger<br />
Data inspektionens chefsjurist<br />
Hans-Olof Lindblom.<br />
Detta är Lifegene<br />
Fakta<br />
Lifegene startade 2010 och är tänkt att vara den största<br />
och mest långsiktiga befolkningsstudie som någonsin<br />
genomförts i Sverige. Planen är att en halv miljon<br />
människor i åldrarna 0–45 år ska finnas med i studien.<br />
Deltagarna ska följas under många år med regelbundna<br />
webbenkäter, hälsokontroller och deras blod- och<br />
urinprover ska sparas i en biobank. Strax före jul 2011<br />
sätter Datainspektionen stopp för projektet efter att ha<br />
inspekterat det. Ändamålet med Lifegene är ”framtida<br />
forskning” vilket Datainspektionen anser är för otydligt.<br />
56 Integritetsåret <strong>2012</strong> – Datainspektionen
Brister i förslag till nytt huliganregister<br />
I mars 2011 tillsatte regeringen en<br />
nationell samordnare med uppdrag<br />
att lämna förslag på hur man kan<br />
motverka brottsligheten i samband<br />
med idrottsarrangemang. I<br />
april <strong>2012</strong> lämnade utredaren<br />
över betänkandet ”Mindre<br />
våld för pengarna” till<br />
regeringen.<br />
Datainspektionen har<br />
granskat betänkandet och<br />
är positiv till förslaget att<br />
Riksidrottsförbundet tillåts<br />
upprätta ett centralt register<br />
över personer med tillträdesförbud.<br />
– Det finns alltid risk att<br />
uppgifter i den här typen av<br />
känsliga register kommer i<br />
orätta händer. Utredningens<br />
ambition att skyddet för<br />
den personliga integriteten<br />
Integritetsåret <strong>2012</strong> – Datainspektionen<br />
ska ligga på en hög nivå är därför<br />
lovvärd. Men förslaget innehåller<br />
ett antal brister och oklarheter<br />
som måste åtgärdas innan registret<br />
kan bli verklighet, säger<br />
Datainspektionens generaldirektör<br />
Göran Gräslund.<br />
I sitt yttrande listar<br />
myndigheten flera<br />
otydligheter: beskrivningen<br />
av ändamålen i lagtexten<br />
motsvarar inte de syften<br />
som man vill uppnå med<br />
det centrala registret, vilka<br />
uppgifter som registret ska<br />
innehålla måste preciseras<br />
och man behöver närmare<br />
analysera i vilka situationer<br />
specialidrottsförbund<br />
och idrottsarrangörer ska<br />
få tillgång till de olika<br />
uppgifterna.<br />
57
n I april riktade<br />
Datainspektionen kritik<br />
mot brister i Akademiska<br />
sjukhusets IT-system som<br />
gjorde det omöjligt att<br />
kontrollera om läkare<br />
missbrukar sin möjlighet<br />
att läsa patientjournaler.<br />
I oktober konstaterar<br />
Datainspektionen att<br />
bristerna har åtgärdats eller<br />
är på väg att åtgärdas.<br />
n Barnkliniken vid Ystads<br />
lasarett spelar in alla<br />
inkommande samtal och<br />
sparar dessa i minst tre år.<br />
Kliniken kan inte tillräckligt<br />
motivera inspelningarna,<br />
konstaterar Datainspektionen.<br />
November<br />
n Datainspektionen<br />
undersöker det elektroniska<br />
informationsflöde som nu<br />
utvecklas i rättsväsendet. I<br />
en <strong>rap</strong>port som publiceras<br />
den 15 november beskriver<br />
myndigheten flödet och<br />
identifierar brister i skyddet<br />
av de personuppgifter som<br />
skickas mellan de olika<br />
myndigheterna.<br />
n Ett elbolag har<br />
tillsammans med sitt<br />
inkassobolag debiterat<br />
närmare 3 000 kunder<br />
dubbla inkasso-<br />
Utblick Europa<br />
EU-kommissionen vill stärka<br />
skyddet på nätet<br />
Den europeiska kommissionen presenterar i januari<br />
<strong>2012</strong> en omfattande reformering av EU:s regler om<br />
dataskydd med syftet att stärka integritetsskyddet<br />
på Internet. ”Tekniska framsteg och globaliseringen<br />
har i grunden förändrat hur våra data samlas in<br />
och används. Dessutom har EU:s 27 medlemsstater<br />
genomfört reglerna från 1995 på olika sätt, vilket<br />
resulterar i skillnader i tillämpningen”, säger kommissionen.<br />
EU-kommissionen föreslår att en enda lag införs<br />
som kommer att gälla lika i alla EU-länder för att på så<br />
sätt ”göra sig av med den nuvarande fragmenteringen<br />
och kostsamma administrativa bördor”.<br />
Datainspektionen är positiv till många av de tankar<br />
som uttrycks i förslaget. De som är ansvariga för att<br />
personuppgifter samlas in och hanteras kommer<br />
på ett tydligare sätt behöva visa att de lever upp till<br />
dataskyddsreglerna. Riskfylld behandling av personuppgifter<br />
måste föregås av noggranna analyser av vilka<br />
konsekvenserna blir för den personliga integriteten.<br />
Riskfylld behandling kan till exempel vara storskaliga<br />
register som innehåller genetiska eller biometriska<br />
uppgifter, eller uppgifter om barn. När nya IT-system<br />
designas måste man bygga in integritetsskydd redan<br />
från början. Det ställs också strängare krav på hur man<br />
informerar dem vars personuppgifter man samlar in.<br />
– Samtidigt finns det delar i förslaget som är<br />
svåra att tillämpa i praktiken eller som riskerar att<br />
leda till ett sämre skydd i vissa situationer, varnar<br />
Datainspektionens generaldirektör Göran Gräslund.<br />
I Sverige finns idag ett stort antal speciallagar,<br />
registerförfattningar, som bland annat reglerar hur<br />
58 Integritetsåret <strong>2012</strong> – Datainspektionen
myndigheter får hantera personuppgifter. EU-kommis-<br />
sionens förslag gör det svårt att ha sådana särskilda<br />
regler i nationell lagstiftning.<br />
– På så sätt kan kommissionens förslag, tvärtemot<br />
vad som är avsett, riskera att leda till ett försvagat<br />
integritetsskydd i Sverige.<br />
I Sverige får man idag publicera personuppgifter i<br />
löpande text på exempelvis en webbsida, så länge man<br />
inte kränker enskildas personliga integritet. Kommissionens<br />
förslag ser inte ut att ta hänsyn till sådan<br />
publicering av personuppgifter.<br />
– För att regleringen ska bli effektiv och vinna<br />
acceptans bland medborgarna behövs det även<br />
fortsättningsvis förenklade regler för den här typen av<br />
vardaglig publicering av personuppgifter, säger Göran<br />
Gräslund.<br />
Kommissionen vill använda<br />
asylsökandes fingeravtryck<br />
I september riktar den europeiska datatillsynsmannen<br />
(EDPS) kritik mot ett nytt förslag för hur den så kallade<br />
Eurodac-databasen ska få användas. Eurodac är en<br />
databas som innehåller fingeravtryck från alla personer<br />
över 14 år som sökt asyl i någon av EU:s medlemsstater<br />
eller i Island, Norge eller Schweiz. Databasen ska<br />
Integritetsåret <strong>2012</strong> – Datainspektionen<br />
59
kostnader. Tack vare<br />
Datainspektionens<br />
granskning har elbolaget<br />
nu börjat ersätta de<br />
drabbade kunderna.<br />
n För två år sedan<br />
riktade Datainspektionen<br />
skarp kritik mot ett antal<br />
inkassobolag för att deras<br />
inkassokrav som rör tele-,<br />
TV- och Internetavgifter<br />
var för otydliga. Nu har<br />
myndigheten gjort en<br />
uppföljande granskning<br />
som visar att bristerna till<br />
stor del kvarstår.<br />
n Datainspektionen<br />
granskar polismyndigheterna<br />
i Jämtland<br />
och Västmanland och<br />
konstaterar att det finns<br />
brister i hur personuppgifter<br />
hanteras i<br />
kriminalunderrättelseverksamheten.<br />
”Att samma fel<br />
påträffas hos flera olika<br />
polismyndigheter tyder<br />
på att det kan finnas ett<br />
metodfel hos polisen”,<br />
säger Nicklas Hjertonsson<br />
som lett granskningen.<br />
n I slutet av november<br />
överklagar Datainspektionen<br />
förvaltningsrättens<br />
förhindra så kallad asylshopping, vilket innebär att en<br />
asylsökande tar sig in i EU via ett land men sedan söker<br />
asyl i ett annat land. EU-kommissionen har nu lagt<br />
fram ett förslag att brottsutredande myndigheter ska<br />
få leta efter fingeravtryck i databasen. Den europeiska<br />
datatillsynsmannen menar att databasen förvisso<br />
skulle kunna vara ett användbart verktyg för att<br />
bekämpa brott men att förslaget innebär ”ett allvarligt<br />
intrång i rättigheterna för en utsatt grupp människor<br />
som är i behov av skydd”. EDPS vill att kommissionen<br />
lägger fram bevis och pålitlig statistik som visar på<br />
behovet av att förslaget genomförs.<br />
EU-direktiv ska stärka skyddet<br />
av personuppgifter hos polisen<br />
EU-kommissionen lägger fram ett förslag till direktiv<br />
som ska stärka skyddet av personuppgifter som<br />
hanteras av polisen och andra brottsbekämpande<br />
myndigheter. Direktivet reglerar all hantering av<br />
personuppgifter hos polisen, både sådana uppgifter<br />
som utbyts mellan polismyndigheter i olika EU-länder<br />
och uppgifter som hanteras inom det egna landet.<br />
Datainspektionen välkomnar förslaget men betonar<br />
i sitt yttrande att de nya reglerna inte får innebära att<br />
en medlemsstat som redan idag har en hög skyddsnivå<br />
tvingas att sänka sin nivå.<br />
Myndigheten pekar ut ett antal punkter som bör<br />
förtydligas i direktivet. Bland annat kan det som<br />
räknas som brottsbekämpande verksamheter skilja<br />
sig åt mellan olika medlemsstater. Direktivet bör<br />
även tydligare klargöra vad som gäller när privata<br />
aktörer hanterar uppgifter för brottsbekämpande<br />
myndigheters räkning. Förslaget bör kompletteras<br />
med bestämmelser som anger att personuppgifter<br />
som behöver bevaras för arkivering inte ska finnas<br />
tillgängliga i den operativa verksamheten under<br />
obegränsad tid.<br />
60 Integritetsåret <strong>2012</strong> – Datainspektionen
Appar, övervakade bilar och<br />
andra nya tekniker<br />
Ett av Datainspektionens uppdrag är att följa och<br />
beskriva utvecklingen på IT-området när det gäller<br />
frågor som rör integritet och ny teknik. Här följer några<br />
exempel på teknik- och samhällsutveckling under <strong>2012</strong>.<br />
Bankernas appar måste bli säkrare<br />
Datainspektionen granskar ett par olika bankers appar.<br />
Myndigheten anser att sättet som bankerna använder<br />
för att identifiera kunden (personnummer plus pinkod)<br />
är för osäkert och vill att bankerna inför säkrare sätt<br />
för kunderna att logga in.<br />
– Via bankernas appar går det att se lån, betalningar<br />
och andra transaktioner som genomförts på en kunds<br />
konton. Det gör det möjligt att kartlägga personens<br />
förehavanden i detalj, säger Adolf Slama som är<br />
IT-säkerhetsspecialist på Datainspektionen.<br />
Datainspektionen har uppmanat bankerna att<br />
redovisa hur de ska införa säkrare inloggningar i<br />
sina appar. De tre banker som undersökts är Nordea,<br />
Handelsbanken och Danske bank.<br />
– Besluten för dessa banker är vägledande även<br />
för övriga banker. Vår förhoppning är resultatet från<br />
vår granskning kommer att mynna ut i en form av<br />
branschstandard som höjer säkerheten i samtliga<br />
bankers appar, säger Adolf Slama.<br />
Försäkringsbolag<br />
vill övervaka hur du kör<br />
Försäkringsbolaget Folksam vill införa en bilförsäkring<br />
som bygger på att försäkringstagaren betalar en<br />
premie som beräknas utifrån hur bilen körs. För att det<br />
ska vara möjligt måste speciell utrustning installeras<br />
Integritetsåret <strong>2012</strong> – Datainspektionen<br />
61
dom i ett mål som rör<br />
hur ett kreditupplysningsföretag<br />
lämnar ut<br />
kreditupplysningar utan<br />
att skicka kopior till de<br />
personer som upplysningarna<br />
gäller.<br />
December<br />
n Den 10 december är<br />
Datainspektionen klar med<br />
en stor undersökning av<br />
forskningsprojekt. Totalt<br />
har närmare 50 projekt<br />
granskats hos ett 20-tal<br />
universitet, högskolor och<br />
myndigheter. Granskningen<br />
visar att det finns brister<br />
i hur man informerar de<br />
personer vars uppgifter<br />
registreras. Hur pass<br />
bra man informerar kan<br />
dessutom variera inom en<br />
och samma högskola eller<br />
universitet.<br />
n Datainspektionen<br />
granskar KBT-behandlingar<br />
på nätet och riktar kritik<br />
mot bland annat för<br />
låg säkerhet, bristande<br />
information till de som<br />
deltar och för dålig kontroll<br />
av vilka som tar del av<br />
patienternas uppgifter.<br />
n Polisen i Uppsala<br />
får skarp kritik av<br />
Datainspektionen efter<br />
att ha publicerat bilder<br />
i bilen. Utrustningen består av en GPS-mottagare och<br />
en mobiltelefon. GPS-mottagaren mäter kontinuerligt<br />
var bilen befinner sig. Bilens position jämförs med<br />
en vägdatabas som innehåller uppgifter om vilken<br />
hastighetsbegränsning som gäller på Sveriges vägar.<br />
Bilens hastighet jämförs med den gällande hastighetsbegränsningen.<br />
Via mobiltelefonen i utrustningen<br />
<strong>rap</strong>porteras uppgifterna till försäkringsbolaget.<br />
Uppgifterna som försäkringsbolaget får tillgång<br />
till gör det möjligt att se om bilen har körts för fort.<br />
I normala fall är det endast myndigheter som får<br />
registrera uppgifter om brott, som exempelvis fortkörningar.<br />
Försäkringsbolaget har därför ansökt om ett<br />
undantag som gör det möjligt för bolaget att registrera<br />
den här typen av uppgifter i systemet.<br />
I oktober beviljar Datainspektionen Folksams<br />
ansökan att få registrera personuppgifter som kan röra<br />
brott (i det här fallet fortkörningar).<br />
– Avgörande faktorer i vår bedömning är att det<br />
är frivilligt att använda det här försäkringsupplägget<br />
och att bolaget inte får använda uppgifterna till något<br />
annat än att beräkna försäkringspremien, säger Martin<br />
Brinnen, jurist på Datainspektionen.<br />
Granskning av hur socialnämnder<br />
använder surfplattor<br />
Det blir allt vanligare att kommunala nämnder digitaliserar<br />
sin pappershantering för att komma ifrån<br />
stora mängder pappersutskick, bland annat inför<br />
nämnd- och utskottssammanträden. De digitala<br />
handlingarna kan läsas och hanteras via surfplattor<br />
som Ipad. ”Kommer en surfplatta i orätta händer kan<br />
potentiellt känsliga personuppgifter spridas snabbt och<br />
okontrollerat. Därför är det viktigt att informationen<br />
på surfplattorna är tillräckligt skyddad”, säger Ingela<br />
Alverfors som leder det projekt som Datainspektionen<br />
drar igång i april <strong>2012</strong>.<br />
62 Integritetsåret <strong>2012</strong> – Datainspektionen
Bilägare måste informeras om riktad reklam<br />
som visas i parkeringsgarage<br />
Ett företag har tagit<br />
fram en lösning för<br />
att visa riktad reklam<br />
i parkeringsgarage.<br />
Systemet läser av<br />
bilarnas registreringsskyltar<br />
när de åker in i<br />
garaget. Med hjälp av<br />
bilregistrets uppgifter<br />
om bilmodell och<br />
bostadsort samt<br />
Ny teknik gör det möjligt att visa riktad reklam till<br />
statistik från SCB om bilister . Vilken reklam som visas avgörs av bland annat<br />
bland annat åldersför- bilmodell och var bilägaren bor .<br />
delning och inkomst<br />
för bostadsområdet, visas riktad bilförarna om att deras uppgifter<br />
reklam på ljusskyltar lite längre in registreras och används för att visa<br />
i garaget. Uppgifterna i systemet riktad reklam i garaget. Datainspek-<br />
används även för statistik över<br />
tionen förelägger därför företaget att<br />
besöksfrekvens och återbesök.<br />
se till att sådan information lämnas.<br />
Datainspektionen har granskat Den informationen kan till exempel<br />
systemet och konstaterar att sättet finnas på skyltar i garaget med en<br />
som personuppgifter hanteras är kortfattad text samt hänvisning till<br />
tillåtet enligt personuppgiftslagen. ytterligare information på företagets<br />
Däremot saknas information till webbplats.<br />
Integritetsåret <strong>2012</strong> – Datainspektionen<br />
63
på en oskyldig person på<br />
Internet och låtit bilderna<br />
på honom ligga kvar i mer<br />
än ett halvår efter det att<br />
förundersökningen lades<br />
ned.<br />
n Den 18 december<br />
publicerar Datainspektionen<br />
en checklista för<br />
hur skolor bör hantera<br />
skyddade personuppgifter.<br />
Till grund för checklistan<br />
ligger en granskning av<br />
hur kommuner hanterar<br />
skyddade personuppgifter<br />
inom skolan.<br />
n Sveriges Radios<br />
populära radioprogram<br />
Ring P1 har en hemlig<br />
databas över de lyssnare<br />
som ringt till programmet,<br />
avslöjar Dagens Nyheter.<br />
Databasen ska ha funnits i<br />
flera år och de som ringer<br />
får inte reda på att de<br />
registreras.<br />
n En utredning har på<br />
uppdrag av regeringen<br />
tagit fram ett förslag<br />
till översyn av lagarna<br />
för tryck- och yttrandefrihet.<br />
Datainspektionen<br />
kommenterar förslaget och<br />
anser att det bör införas<br />
Myndigheten ska undersöka socialnämnder i<br />
Gislaved, Järfälla, Norrköping och Halmstad. Bland<br />
frågorna som ska besvaras finns: kan de förtroendevalda<br />
använda egna, privat inköpta, surfplattor,<br />
har nämnden infört förbud eller begränsningar för<br />
privat användning eller hinder mot att ladda ner<br />
eller installera vissa appar, finns det någon central<br />
spärrfunktion eller distansradering, innehåller<br />
surfplattorna sekretessbelagd information eller<br />
dokument som innehåller känsliga eller integritetskänsliga<br />
personuppgifter. Projektet ska vara slutfört<br />
under våren 2013.<br />
Svensk rädsla för hur<br />
personuppgifter hanteras<br />
Post- och Telestyrelsen, PTS, undersöker tillsammans<br />
med TNS Sifo hur svenska konsumenter ser på<br />
Internetsäkerhet. Merparten av de tusen personer som<br />
intervjuats uppger att det finns risker med att använda<br />
Internet. Den största risken anses vara att personuppgifter<br />
hamnar i orätta händer. Var femte har under<br />
det senaste året också valt att avsluta, eller inte börja<br />
använda, en tjänst på grund av hur tjänsten använder<br />
personuppgifter.<br />
Drygt hälften av de tillfrågade anser att det är bra<br />
med en tjänst som innebär att man kan positionera<br />
sig själv. Däremot är uppfattningen mindre positiv till<br />
möjligheten att positionera eller själv bli positionerad<br />
av vänner/familjemedlemmar. 37 procent tycker inte<br />
att det är bra att kunna positionera sina nära och kära<br />
och 44 procent vill inte själva bli positionerade.<br />
Läs undersökningen här: http://bit.ly/wxjBAH<br />
64 Integritetsåret <strong>2012</strong> – Datainspektionen
Företag som använder<br />
molntjänst åtgärdar brister<br />
I september 2011 konstaterade Datainspektionen att<br />
flera granskade organisationer bröt mot personuppgiftslagen<br />
i sitt sätt att använda molntjänster.<br />
Myndigheten riktade bland annat<br />
kritik mot bristande avtal och att<br />
företagen inte vet vilka underleverantörer<br />
som hanterar deras personuppgifter.<br />
Ett av de företag som granskades var Brevo.<br />
Företaget har under <strong>2012</strong> redovisat en rad åtgärder som<br />
vidtagits och i september meddelar Datainspektionen<br />
att företaget åtgärdat de brister som identifierades vid<br />
myndighetens inspektion.<br />
Kommun ska redovisa åtgärder<br />
I samma granskning av molntjänster riktade Datainspektionen<br />
kritik mot hur Salems kommun använder en tjänst<br />
från Google. I oktober <strong>2012</strong> begär Datainspektionen att<br />
kommunstyrelsen ska redogöra för vilka åtgärder som<br />
vidtagits sedan granskningen. Kommunstyrelsen ska<br />
också redogöra för om kommunen använder ytterligare<br />
molntjänster och vilka dessa i så fall är.<br />
Integritetsåret <strong>2012</strong> – Datainspektionen<br />
65
en straffbestämmelse<br />
för att motverka grova<br />
kränkningar på bland annat<br />
Internet.<br />
n Polisen kallas in efter ett<br />
upplopp vid ett gymnasium<br />
i Göteborg där hundratals<br />
ungdomar samlats för att<br />
få tag på den person som<br />
enligt rykten hängt ut<br />
tjejer på fotodelningssajten<br />
Instagram.<br />
Nyhetsbrev<br />
Fortsätt att följa vad<br />
som händer på integritetsområdet.<br />
Beställ en<br />
prenumeration på vårt<br />
nyhetsbrev på www.<br />
datainspektionen.se<br />
Ny vägledning ska ge<br />
bättre integritetsskydd<br />
I slutet av januari <strong>2012</strong> presenterar Datainspektionens<br />
IT-säkerhetsspecialister en vägledning för ”privacy by<br />
design”, det vill säga för hur IT-system bör utformas<br />
för att redan från början uppfylla kraven i personuppgiftslagen.<br />
Personuppgiftslagen bygger på ett par<br />
grundläggande principer: man ska inte samla in mer<br />
information än vad som behövs, inte ha kvar informationen<br />
längre än man behöver och inte använda den till<br />
något annat än vad man samlade in den för.<br />
– Få IT-system tar hänsyn till de här principerna.<br />
Därför har vi tagit fram den här vägledningen.<br />
Genom att göra rätt redan från början kan man<br />
göra stora kostnadsbesparingar eftersom man då<br />
inte behöver bygga till<br />
integritetsskyddande<br />
funktioner i efterhand,<br />
säger Datainspektionens<br />
IT-säkerhetsspecialist<br />
Mikael Ejner.<br />
Vägledningen kan<br />
kostnadsfritt hämtas som<br />
pdf-dokument på myndighetens<br />
webbplats.<br />
66 Integritetsåret <strong>2012</strong> – Datainspektionen
Vill du veta mer om<br />
integritetsfrågor?<br />
På Datainspektionens webbplats www.datainspektionen.se<br />
kan du läsa mer om integritetsfrågor och<br />
ladda ner eller beställa informationsmaterial. Där kan<br />
du också anmäla att du vill få våra pressmeddelanden<br />
på mejl eller teckna en kostnadsfri prenumeration på<br />
vår tidning Integritet i fokus.<br />
Anmäl dig till en kurs<br />
Datainspektionen anordnar regelbundet grundkurser i<br />
personuppgiftslagen. Där får du en allmän genomgång<br />
av personuppgiftslagen och hur den tillämpas. Vi<br />
anordnar också specialanpassade kurser som vänder<br />
sig till olika branscher.<br />
Läs mer om aktuella kurser på www.datainspektionen.se/utbildning.<br />
Integritetsåret <strong>2012</strong> – Datainspektionen<br />
67
Datainspektionen<br />
Datainspektionen är en myndighet som arbetar för att behandlingen<br />
av personuppgifter i samhället inte ska medföra otillbörliga intrång i<br />
enskilda människors personliga integritet. Ansvarsområdet omfattar<br />
framförallt personuppgiftslagen, inkassolagen och kreditupplysningslagen.<br />
Datainspektionen gör inspektioner och hanterar klagomål från enskilda<br />
medborgare samt tar fram vägledningar och ger synpunkter på utredningar<br />
och lagförslag. Datainspektionen har också en omfattande informationsverksamhet,<br />
vi utbildar, svarar på frågor och ger stöd till personuppgiftsombud.<br />
Kontakta Datainspektionen<br />
E-post: datainspektionen@datainspektionen.se Webb: www.datainspektionen.se<br />
Tfn 08-657 61 00. Postadress: Datainspektionen, Box 8114, 104 20 Stockholm.