rap-integritetsaret-2012

kimhak

rap-integritetsaret-2012

Integritetsåret 2012

80

lagar, lagförslag, beslut och händelser

som påverkade den personliga

integriteten under året


Med den här sammanställningen vill Datainspektionen ge en bild av hur det gångna året

såg ut från integritets synpunkt. Ambitionen är inte att ge en fullständig, heltäckande

beskrivning utan att ta upp ett antal av de viktigaste lagförslagen som kom under året,

beskriva några av Datainspektionens mest uppmärksammade beslut och ge exempel på

några av de händelser som kommit att påverka den personliga integriteten.


Integritetsåret 2012

80 lagar, lagförslag, beslut och händelser

som påverkade den personliga

integriteten under året

Text: Per Lövgren

Form: Fredrik Karlsson

Omslagsfoto: Erica Lindblom / SCANPIX

Foto sidan 7: Björn Larsson Rosvall / SCANPIX

Tryckt hos Ineko, i februari 2013

på Arctic Volume White. Miljömärkt trycksak 341 142.

Datainspektionen

Januari 2013


Innehåll

Året då integritetskränkningar ledde till kravaller

och upplopp . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 8

Kränkningar på nätet . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 10

Upplopp i Göteborg efter sexrykten på nätet .............10

Ytterst få åtal för brott mot personuppgiftslagen ..........11

Sajten Migileaks polisanmäls. . . . . . . . . . . . . . . . . . . . . . . . . . 12

Spred nakenbilder på sina personliga assistenter ...........13

Datainspektionen står maktlös ........................13

Bilfirma hänger ut kunder som klagar ...................14

Bloggande pappa fälld i domstol ......................14

Skadestånd för att ha publicerat dom på webbplats ........15

Facebook och Google . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 16

Europa riktar kritik mot Google .......................16

Den till synes oändliga följetongen: Google Street View .....17

Irritation gör att var tredje vill lämna Facebook ............18

Rekryterare kontrollerar dig på Facebook ................19

Facebook stänger av ansiktsigenkännning ...............19

Polis, åklagare, domstol . . . . . . . . . . . . . . . . . . . . . . . . . . . 21

Polisen hängde ut oskyldig med bild i ett halvår ...........21

Polisen får kritik för Facebook-efterlysning ...............22

Dåliga rutiner för gallring i polisens register ..............22

Polisen brister i sin underrättelseverksamhet ..............23

Rättsväsendet brister i sin hantering av känsliga uppgifter ...24

SKL använder DNA-databas olagligt ....................24

Polisen lagrar för mycket uppgifter från beslagtagna

mobiltelefoner ....................................25

Åklagarmyndigheten hänger ut SOS-sköterska ............26

Gotlands tingsrätt måste sluta publicera namn

på sin webbplats ..................................27

JO: Polisen kan aldrig garantera din anonymitet ...........28

4 Integritetsåret 2012 – Datainspektionen


Butik la upp film med tjuvar på Facebook ................28

Över 800 anmälda fall av stalkning .....................29

Samhället och medborgaren . . . . . . . . . . . . . . . . . . . . . . . 30

Sveriges Radio avslöjas ha hemlig databas ...............30

Färdtjänsten lagrar för mycket om sina resenärer ..........31

Kommuner brister i sin publicering på Internet ............31

Skadestånd för felaktig hantering av hemlig adress ........32

Nej till kameraövervakning i skolor .....................32

Elever kameraövervakas olagligt .......................33

Länsstyrelse måste begränsa tillgången till personuppgifter ..34

Databas för reklamationer får inte användas

som brottsregister .................................35

Bevakningsföretag kan fortsätta registrera klottrare ........36

Nej till företag som vill skapa central klotterdatabas ........36

Samtliga riksdagspartier under granskning ...............37

Jurist gjorde olaglig dataslagning ......................38

Högsta förvaltningsdomstolen gav Datainspektionen rätt ....38

Skadestånd för felskickad deklaration ...................38

Personnummer stals vid dataintrång ....................39

Kreditupplysningar och inkasso . . . . . . . . . . . . . . . . . . . . 40

Kreditupplysningsföretag hittar nya sätt att kringgå lagen ...40

Datainspektionen överklagar dom om kreditupplysningar ....40

Inkassobolag fortsätter skicka otydliga krav ..............41

Elkunder ersätts för dubbla inkassokostnader .............42

Övervakning i arbetslivet . . . . . . . . . . . . . . . . . . . . . . . . . 43

Så får arbetsgivare hantera personuppgifter ..............43

Bussbolag måste sluta kameraövervaka personal ..........44

Fel av butik använda dold kameraövervakning ............45

”Frivilliga” brottsutdrag ökar lavinartat ..................45

Vården, forskningen, patienten och lagen . . . . . . . . . . . . 46

Stor granskning: Svårt för patienter spärra journaluppgifter ..46

Fel av barnklinik spela in alla samtal ....................47

Integritetsåret 2012 – Datainspektionen

5


Brist i journalsystem omöjliggör kontroll .................47

Granskning av hur dementa registreras ..................48

Personuppgifter får inte användas för opreciserad forskning ..48

Kritik mot brister i journalsystem ......................49

Register över vårdpersonal läggs ut på nätet ..............49

Forskningsprojekt dåliga på att informera ................50

Kritik mot KBT-behandlingar på Internet .................51

Sjuksköterska dömd för dataintrång ....................51

Lagar, lagförslag och myndighetsregister . . . . . . . . . . . . 52

Inför straff för att motverka kränkningar ................52

Dåligt utrett förslag till ny lag om händelseanalyser

vid självmord .....................................52

Kritik mot att polisen får tillgång till FRA:s signalspaning ....53

Oacceptabla brister i förslag som ska stärka elevsekretess. . . . 53

Kritik mot mer registrering av arbetssökande .............54

Nej till CSN:s hälsostatistik ...........................55

Lättare kameraövervaka tunnelbanan ...................55

Skarp kritik mot förordning för befolkningsbaserad

forskning ........................................56

Brister i förslag till nytt huliganregister ..................57

Utblick Europa . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 58

EU-kommissionen vill stärka skyddet på nätet .............58

Kommissionen vill använda asylsökandes fingeravtryck ......59

EU-direktiv ska stärka skyddet av personuppgifter

hos polisen .......................................60

Appar, övervakade bilar och andra nya tekniker . . . . . . . 61

Bankernas appar måste bli säkrare .....................61

Försäkringsbolag vill övervaka hur du kör ................61

Granskning av hur socialnämnder använder surfplattor .....62

Bilägare måste informeras om riktad reklam

i parkeringsgarage .................................63

Svensk rädsla för hur personuppgifter hanteras ...........64

Företag som använder molntjänst åtgärdar brister .........65

Ny vägledning ska ge bättre integritetsskydd .............66

6 Integritetsåret 2012 – Datainspektionen


Integritetsåret 2012 – Datainspektionen

”Polisen tvingades kalla in hästar, hundar, piket,

ordningspolis och helikopter efter att hundratals

ungdomar på tisdagen samlats utanför Plusgymnasiet

i Göteborg . Anledningen var att en person

som enligt ett rykte hängt ut framför allt unga

tjejer på Instagram med kränkande kommentarer,

skulle befinna sig på skolan .”

Tidningen Expressen GT den 18 december 2012

7


Året då integritetskränkningar

ledde till kravaller och upplopp

18 december 2012. En hittills okänd person registrerar

ett konto på fotodelningssajten Instagram och publicerar

kränkande texter och bilder på en rad unga tjejer i

Göteborgstrakten. Någon dag senare sprids ett rykte att

personen som skapat kontot ska gå på ett visst gymnasium.

Upplopp bryter ut när flera hundra unga beger sig dit för

att hämnas på personen.

Händelsen får stor uppmärksamhet i massmedia. I en

debattartikel kallas upploppen för ”ett rop på lagstiftning

och en solidarisk reaktion mot kränkning”. Polisen startar

en utredning av händelsen medan andra manar till ökad

vuxennärvaro på nätet.

Det här är bara ett exempel på de kränkningar som blir

allt vanligare på Internet. På Datainspektionen tar vi i

princip dagligen emot samtal från personer som upplever


sig kränkta på nätet. I många fall är det

svårt eller omöjligt för oss att hjälpa till.

Det framförs enormt Varför? En artikel i Svenska Dagbladet

grova kränkningar på nätet sammanfattar problematiken på ett bra sätt:

där skribenten hävdar att ”När det gäller förtal och kränkningar

det finns ett journalistiskt på nätet kan det vara svårt att hitta den

ändamål.

ansvarige. Dessutom är det endast i ett fåtal

fall åklagare tar sig an ärendet. En del av

det som skrivs på nätet som kan uppfattas kränkande kan

faktiskt vara tillåtet.”

Det här är femte året i rad som Datainspektionen ger

ut skriften Integritetsåret. Redan andra året, 2009, skrev

jag i mitt förord att vi känner en allt större frustration och

maktlöshet när det gäller de omfattande kränkningarna av

enskilda på nätet. (Aftonbladet tycks ha tagit fasta på mina

farhågor när de under 2012 utnämnde Datainspektionen

till en av de mest maktlösa i Sverige, just på grund av att vi

har så svårt att komma åt nätkränkningar).

Ett närmast märkligt sammanträffande är att

Datainspektionen faktiskt samma dag som upploppen i

8 Integritetsåret 2012 – Datainspektionen


Göteborg skickade in ett yttrande till Justitiedepar-

tementet där vi skriver att det bör införas en straff-

bestämmelse för att motverka grova kränkningar på

bland annat Internet. Även om de stora problemen

inte finns inom det så kallade grundlagsskyddade

området, anser jag att straffbestämmelsen ska vara

generell och gälla överallt, från stora tidningars sajter

till små privatbloggar, och även om syftet uppges vara

journalistiskt. Det framförs enormt grova kränkningar

på nätet där skribenten hävdar att det finns ett

journalistiskt ändamål. Jag tror att en sådan straffbestämmelse

skulle skapa en bättre balans mellan

yttrandefrihet och integritetsskydd.

Även om kränkningar på nätet blir ett allt större

problem, så är det en liten del av Datainspektionens

verksamhetsområde. En känsla för bredden i vårt

uppdrag får du genom att bläddra i den här skriften.

Du kan bland annat läsa om några av de granskningar

vi gjort av polisen under året. En ny polisdatalag

har trätt ikraft och det pågår en intensiv utveckling av

ett antal stora IT-system hos polisen. Tyvärr visar våra

inspektioner att flera polismyndigheter har hanterat

personuppgifter i strid med gällande regler. Efter en

av årets sista granskningar, då vi påträffade i stort sett

samma brister som vid tidigare granskningar, uttryckte

vi oro för att det kan finnas ett metodfel i hur polisen

behandlar personuppgifter inom den särskilt integritetskänsliga

kriminalunderrättelseverksamheten.

Integritetsåret 2012 – Datainspektionen

Göran Gräslund,

Generaldirektör

Januari 2013

9


Januari

n Färdtjänsten i Göteborg

lagrar mycket känsliga

personuppgifter i sitt

verksamhetssystem som

inte behövs för handläggningen.

Dessa uppgifter ska

tas bort från systemet och i

stället arkiveras, konstaterar

Datainspektionen efter sin

granskning.

n ”Alla gör det. Publicerar

listor över vem som har

mest makt i Sverige.

Men vem har egentligen

minst makt?” Det undrar

Aftonbladet och publicerar

i januari en lista över

vad tidningen anser vara

de 100 mest maktlösa i

Sverige. Datainspektionen

kommer in på en mindre

hedrande 51:a plats, dock

efter Caremas anställda

och de vietnamesiska

bärplockarna. Aftonbladet

hänvisar till en debattartikel

där Datainspektionens

generaldirektör uttrycker

maktlöshet när det gäller

att bekämpa kränkningarna

på Internet.

n Ett förslag har lagts

fram för hur sekretessen för

elevuppgifter ska stärkas.

Datainspektionen är kritisk

till att utredningen inte

föreslår något generellt

sekretesskydd för känsliga

Kränkningar på nätet

Upplopp i Göteborg efter

sexrykten på nätet

Polisen tvingades kalla in hästar, hundar, piket,

ordningspolis och helikopter efter att hundratals

ungdomar på tisdagen samlats utanför Plusgymnasiet i

Göteborg. Anledningen var att en person som enligt ett

rykte hängt ut framför allt unga tjejer på Instagram med

kränkande kommentarer, skulle befinna sig på skolan.

Så skriver tidningen Expressen GT den 18 december.

Ett par dagar tidigare hade någon registrerat ett

användarkonto på Instagram, en tjänst för att dela med

sig av foton. Via kontot har sedan unga tjejer hängts ut

med sexuella anspelningar och påståenden, och bilder

stulna från bland annat Facebook och Twitter.

– Det är helt klart en kränkning att försöka skandalisera

andra människor på det här sättet på nätet. Om

Oroligheterna i Göteborg i december fick stor

uppmärksamhet i massmedia .

10 Integritetsåret 2012 – Datainspektionen


man behandlar känsliga uppgifter, som en persons

sexuella aktiviteter, på det här sättet, så kan det vara

straffbart. Och det finns fängelse med på straffskalan,

sa Datainspektionens chefsjurist Hans-Olof Lindblom

till Expressen GT i samband med händelsen.

Det var ett rykte att personen bakom kontot skulle

befinna sig på gymnasiet i Göteborg som ledde till

att flera hundra ungdomar samlats vid skolan. Senare

under dagen hämtades en 17­årig flicka in till förhör av

polisen. 17-åringen är dock inte längre misstänkt för

att ha registrerat kontot och publicerat uppgifterna.

”Inför straff för att motverka kränkningar”

Samma dag som upploppen i Göteborg skriver

Datainspektionen i ett yttrande att myndigheten anser

att det behövs en generell straffbestämmelse som

kriminaliserar grova kränkningar. Läs mer på sidan 52.

Ytterst få åtal för brott mot

personuppgiftslagen

Kränkningar på Internet kan vara fråga om

både ärekränkningsbrott och brott mot personuppgiftslagen.

Åklagarmyndigheten har under åren

2007–2010 registrerat 80–100 misstankar per år om

brott mot personuppgiftslagen, att jämföra med 7 700

registrerade misstankar om ärekränkningsbrott per år.

Under åren 2006–2010 finns det dessutom endast två

registrerade åtal för brott mot personuppgiftslagen.

”Eftersom många ärekränkningsbrott numera

äger rum på Internet kan det antas att ett stort antal

misstankar om brott mot personuppgiftslagen inte

anmäls eller registreras hos varken polisen eller

Åklagarmyndigheten”, skriver myndigheten i en så

kallad rättspromemoria som publiceras i januari 2012.

”En orsak till detta kan vara att en del klagomål ställs

Integritetsåret 2012 – Datainspektionen

11


uppgifter utanför den

särskilda elevstödjande

verksamheten. ”Inom

undervisningen tenderar

mer och mer uppgifter om

elevernas personliga åsikter,

tankar och förmågor

att dokumenteras.

Att sådana uppgifter

saknar sekretesskydd

är oacceptabelt”, säger

Datainspektionens generaldirektör.

n Inför den internationella

dataskyddsdagen

den 28 januari, deltar

Datainspektionens generaldirektör

i två chattar

om nätkränkningar på

webbplatserna för Sveriges

största dagstidningar,

Dagens Nyheter och

Svenska Dagbladet.

n Kränkningar på

Internet kan vara fråga om

både ärekränkningsbrott

och brott mot personuppgiftslagen.

I januari

publicerar Åklagarmyndigheten

en rättspromemoria

om brott mot

personuppgiftslagen. I

den framgår att Åklagarmyndigheten

under åren

2007–2010 har registrerat

80–100 misstankar per

år om brott mot personuppgiftslagen,

att jämföra

med 7 700 registrerade

misstankar om ärekränk-

direkt till Datainspektionen, som sedan gör en första

gallring och därefter i några enstaka fall beslutar att

polisanmäla personuppgiftsbehandlingen. En annan

förklaring kan vara okunskap om regelsystemet hos

dem som blivit utsatta för en kränkande publicering.”

Sajten Migileaks polisanmäls

Datainspektionen tar emot emot klagomål mot sajten

Migileaks som publicerar domar från migrationsdomstolar.

På sajten publiceras i bloggform inlägg om

domar som rör asylsökande. Inläggen består typiskt av

en kortare skriven text och en länk till den inskannade

domen.

Myndigheten granskar sajten och bedömer att den

i stora delar har ett journalistiskt ändamål. Då gäller

inte personuppgiftslagen. Det finns dock uppgifter

publicerade som är av rent privat karaktär och som

därför inte kan anses ha ett journalistiskt syfte. I de

publicerade domarna förekommer känsliga personuppgifter

och uppgifter om lagöverträdelser om

namngivna personer som sökt asyl i Sverige. I de flesta

fall publiceras den asylsökandes personnummer och

adress.

– Att debattera och kritisera den svenska asylprocessen

med hjälp av information från migrationsdomstolar

kan ha ett journalistiskt ändamål men det

finns en gräns för vad man kan publicera på Internet

utan att man behöver ta hänsyn till bestämmelserna

i personuppgiftslagen. I det här fallet har den gränsen

passerats, säger Datainspektionens generaldirektör

Göran Gräslund.

Den ursprungliga Migileaks-sajten har lagts ner

men materialet har tagits över av en annan sajt.

Dessutom publiceras materialet på ytterligare en sajt.

I april polisanmäler Datainspektionen samtliga tre

sajter.

12 Integritetsåret 2012 – Datainspektionen


Datainspektionen står maktlös

”Alla gör det. Publicerar listor över vem som har mest makt i Sverige. Men vem

har egentligen minst makt?” Det undrar Aftonbladet och publicerar i januari en

lista över vad tidningen anser vara de 100 mest maktlösa i Sverige. Datainspektionen

kommer in på en mindre hedrande 51:a plats, dock efter Caremas

anställda, de vietnamesiska

bärplockarna och arbetsförmedlarna.

Aftonbladet

hänvisar till en debattartikel

där Datainspektionens

generaldirektör uttrycker

maktlöshet när det gäller att

bekämpa kränkningarna på

Internet.

Listan i sin helhet hittar du

Enligt Aftonbladet är Datainspektionen

här: http://bit.ly/xmL6KK

en av de 100 mest maktlösa i Sverige .

Spred nakenbilder på

sina personliga assistenter

En 37-årig man döms för grovt förtal efter att

ha publicerat nakenbilder på sina två personliga

assistenter på olika webbsidor. Mannen hade satt upp

en kamera inne på sin toalett och fotograferade en

av sina personliga assistenter där. Han skaffade sig

även åtkomst till den andra kvinnans dator och stal

från den flera nakenbilder som kvinnan hade på sig

själv. Förutom nakenbilder publicerade mannen även

kvinnornas namn, telefonnummer och e-postadress.

Mannen dömdes till 75 timmars samhällstjänst och att

betala sammanlagt 50 000 kronor i skadestånd till de

två kvinnorna.

Integritetsåret 2012 – Datainspektionen

13


ningsbrott per år. Under

åren 2006–2010 finns det

dessutom endast två registrerade

åtal för brott mot

personuppgiftslagen.

n Den 27 januari,

dagen före den internationella

dataskyddsdagen,

presenterar EU-kommissionen

en omfattande

reform av EU:s regler om

dataskydd med syftet att

stärka integritetsskyddet på

Internet. EU-kommissionen

föreslår att en enda lag

införs som kommer att

gälla lika i alla EU-länder

för att på så sätt ”göra sig

av med den nuvarande

fragmenteringen och

kostsamma administrativa

bördor”.

n I slutet av januari

presenterar Datainspektionen

en vägledning för

privacy by design eller

inbyggt integritetsskydd,

som beskriver hur IT-system

bör utformas för att redan

från början uppfylla kraven

i personuppgiftslagen.

Vägledningen kan hämtas

kostnadsfritt på myndighetens

webbplats.

Februari

n Datainspektionen

tar emot klagomål att

Bilfirma hänger ut

kunder som klagar

Datainspektionen granskar efter klagomål en

bilfirma som publicerar uppgifter om kunder som

förlorat tvister mot firman i Allmänna reklamationsnämnden.

Förutom nämndens avgörande publiceras

personernas namn och adress tillsammans med en kort

formulering.

Datainspektionen konstaterar att ett av syftena med

publiceringen har varit att ”hänga ut” de personer som

klagat på bilfirmans tjänster och på så sätt misskreditera

dessa. Publiceringen är därför kränkande mot

de personer som nämns och strider mot personuppgiftslagen.

Att besluten från Allmänna reklamationsnämnden

är allmänna handlingar innebär inte att det

är fritt fram att sprida dem vidare. Webbplatsen är nu

stängd.

Bloggande pappa fälld i domstol

En pappa som har bloggat om sin pågående

vårdnadstvist döms för brott mot personuppgiftslagen.

Datainspektionen har tagit emot

flera klagomål mot bloggen och

konstaterade 2010 att ett par

14 Integritetsåret 2012 – Datainspektionen


av inläggen på den bröt mot personuppgiftslagen.

Mannen hävdade att bloggen har ett journalistiskt

ändamål vilket gör att stora delar av personuppgiftslagen

inte skulle gälla. Datainspektionen ansåg

dock att undantaget för journalistiskt ändamål inte

gäller om uppgifterna som publiceras är av rent privat

karaktär. Inläggen ifråga har tagits bort från bloggen

men åklagare ansåg ändå att det fanns skäl att väcka

åtal för brott mot personuppgiftslagen. Mannen döms i

april 2012 till 50 dagsböter.

Skadestånd för att ha publicerat

dom på webbplats

Efter en tvist i tingsrätten lade en juristbyrå, som

företrätt en av parterna, ut domen på sin webbplats. I

den publicerade domen fanns namn och adress på den

andra parten i tvisten. Personuppgifterna

anonymiserades senare

men motparten väckte talan mot

juristbyrån och yrkade på skadestånd enligt personuppgiftslagen,

skriver tidningen Dagens Juridik.

I tingsrätten dömdes juristbyrån att betala 12 000

kronor i skadestånd. Domen överklagades till

hovrätten som också den ansåg att publiceringen hade

inneburit en kränkning av den personliga integriteten.

Eftersom inga felaktiga uppgifter hade publicerats och

personen inte pekats ut som brottsling sänktes ersättningen

till 4 000 kronor.

Juristbyrån överklagade hovrättens dom och

menade att varken spridning, kränkning eller

skada uppkommit. Även den utpekade mannen har

överklagat och yrkar på ett skadestånd på 12 000

kronor. I slutet av 2012 meddelar Högsta domstolen

prövningstillstånd i tvisten.

Integritetsåret 2012 – Datainspektionen

15


en dagligvarubutik i

Östersund har övervakat

sina anställda och anställda

på ett grannföretag med

dold kamera. Orsaken ska

vara problem med svinn.

Myndighetens granskning

visar att övervakningen

varit olaglig. Kameraövervakning

får bara användas

om de som övervakas har

blivit informerade och

övervakningskameror får

normalt bara sättas upp för

att förebygga brott.

n Post- och Telestyrelsen,

PTS, undersöker

tillsammans med TNS Sifo

hur svenska konsumenter

ser på Internetsäkerhet.

Undersökningen visar att

den största risken med att

använda Internet anses vara

att personuppgifter hamnar

i orätta händer. Var femte

har under det senaste

året också valt att avsluta,

eller inte börja använda,

en tjänst på grund av hur

tjänsten använder personuppgifter.

n Internetsökningar och

att kontrollera sociala

medier som Facebook blir

en allt viktigare källa till

information för dem som

arbetar med rekrytering.

Det visar en undersökning

som Stockholms Handelskammare

och Info-Torg

Facebook och Google

Europa riktar kritik mot Google

Den 1 mars 2012 ändrar Google sin sekretesspolicy och

sina användarvillkor. Ett 60-tal olika sekretesspolicyer

ersätts med en enda som enligt Google är kortare och

lättare att förstå. Syftet ska vara att göra ”upplevelsen

på Google enklare och tydligare”. I princip handlar

ändringen om att information som du tillhandahåller

i en produkt när du är inloggad på ditt Google-konto

kan kombineras med information som du tillhandahåller

i andra Google-produkter.

Bara dagar före Googles nya villkor träder i kraft

skickar CNIL, den franska motsvarigheten till Datainspektionen,

ett brev till Google på de europeiska

dataskyddsmyndigheternas vägnar. I brevet uppmanas

Google att vänta med att införa sina nya villkor.

”CNIL och övriga europeiska dataskyddsmyndigheter

är djupt oroade över hur personuppgifter kan

sammanställas mellan olika tjänster och har starka

tvivel på lagligheten i en sådan behandling och om den

stöder europeisk dataskyddslagstiftning”,

skriver CNIL.

Tisdagen 16 oktober

skickar CNIL ytterligare ett

brev till Google. Brevet är

underskrivet av cheferna för

samtliga dataskyddsmyndigheter

i EU:s 27 medlemsstater

och riktar kritik mot

Googles sätt att hantera

personuppgifter.

I brevet konstateras att

Google inte följer vissa

av EU:s grundläggande

dataskyddsprinciper. Brevet till Google .

16 Integritetsåret 2012 – Datainspektionen


Kritiken mot Google består bland annat av att

företaget inte tillräckligt informerar alla som använder

företagets tjänster om hur deras personuppgifter

kan komma att användas. Företaget ger heller inte

användarna kontroll över hur deras personuppgifter

från olika Google-tjänster samkörs. Dessutom är man

kritisk till att företaget inte vill tala om hur länge

insamlade personuppgifter kommer att sparas.

Europas dataskyddsmyndigheter uppmanar Google

att se över sina integritetsvillkor och i övrigt ta fasta på

de rekommendationer som listas i brevet.

Den till synes oändliga

följetongen: Google Street View

Januari, 2010. Google lanserar gatubildstjänsten Street

View i Sverige.

Maj, 2010. Företaget erkänner att när svenska städer

fotograferades så registrerade företagets kamerabilar

även de trådlösa nätverk som fanns i närheten av bilen.

Dessutom samlades data in från de trådlösa nätverken,

vilket inte var meningen.

Maj, 2010. Google kontaktar Datainspektionen och

säger att företaget av misstag samlade in data från

de trådlösa nätverken och att det nu vill radera dessa

data. Datainspektionen ger sitt godkännande till att

uppgifterna tas bort.

November 2010. På grund av pågående rättsprocesser

i andra länder valde Google att spara svenska data.

Nu ställer företaget igen frågan till Datainspektionen

om de data som samlades in i Sverige kan raderas.

Datainspektionen tillstyrker att dessa data kan, och

bör, raderas.

Juni, 2011. Google meddelar Datainspektionen att

uppgifterna tagits bort.

Integritetsåret 2012 – Datainspektionen

17


publicerar i februari.

Enligt undersökningen

kontrollerar 40 procent av

alla rekryterare kandidater

på Facebook och 37

procent söker information

på nätet.

n I juli 2011 åtalades en

sjuksköterska, som varit

anställd på SOS Alarm, för

vållande till annans död, då

han inte skickade ambulans

när en ung man bad om

hjälp. När sköterskan i

slutet av november 2011

frias, publicerar Åklagarmyndigheten

mannens

namn, personnummer och

adress på sin webbplats.

Kort därefter tar Åklagarmyndigheten

dock bort

uppgifterna. Datainspektionen

konstarerar

att publiceringen var

kränkande, och därmed

otillåten, enligt personuppgiftslagen.

n Datainspektionen

granskar hur ett 50-tal

kommuner på sina

webbplatser publicerar

diarier, protokoll och andra

liknande dokument som

kan innehålla personuppgifter.

Undersökningen

visar att i princip samtliga

kommuner brister i sin

Augusti, 2012. Google har genomfört en inventering

av samtliga hårddiskar som innehållit data från

trådlösa nätverk som samlats in i samband med Street

View-fotograferingen. Företaget upptäckte då 21

hårddiskar med svenska data som inte hade raderats.

Oktober, 2012. Google meddelar att ett oberoende

företag nu raderat samtliga hårddiskar. Följer

fortsättning?

Irritation gör att var tredje

vill lämna Facebook

Enligt Aftonbladet överväger var tredje svensk att

lämna Facebook. Den främsta orsaken? Irritation över

människor som ”publicerar för mycket om allt varje

dag”. Tidningen hänvisar till en undersökning som

en kommunikationsbyrå låtit genomföra där 7 200

personer i åldrarna 18 till 65 år i flera olika länder

svarat på frågor om sociala medier. Men, som tidningen

också säger, det återstår att se hur många som faktiskt

gör slag i saken och raderar sitt Facebook-konto.

Opinion

18 Integritetsåret 2012 – Datainspektionen


Rekryterare kontrollerar

dig på Facebook

Internetsökningar och att kontrollera sociala

medier som Facebook blir en allt viktigare källa till

information för dem som arbetar med rekrytering.

Det visar en undersökning som gjorts av Stockholms

Handelskammare och Info-Torg. Enligt undersökningen

kontrollerar 40 procent av alla rekryterare

kandidater på Facebook och 37 procent söker

information på nätet. ”Det blir allt vanligare att företag

söker information om jobbkandidater på Facebook och

Google. Därmed gäller det att arbetstagare tänker på

vad de lägger ut för information på Facebook”, säger

Johan Treschow vid Stockholms Handelskammare.

Facebook stänger av

ansiktsigenkännning

Opinion

Efter kritik från dataskyddsmyndigheterna i EU har

Facebook stängt av sin kontroversiella funktion för

ansiktsigenkänning i EU. Funktionen använder sig

av information från redan taggade foton och föreslår

sedan taggar på ansikten den känner igen i nya

bilder som laddas upp till Facebook. Den irländska

Integritetsåret 2012 – Datainspektionen

19


publicering. Ofta saknas

instruktioner till de

anställda som beskriver

vilka personuppgifter som

får publiceras, hur länge

uppgifterna ska ligga kvar

på webben, hur känsliga

uppgifter ska maskas och

liknande.

n Bristerna som upptäckts

vid Datainspektionens

granskning av kommuner

gör att myndigheten tar

fram en checklista för

kommuner och landsting

som tar upp de viktigaste

punkterna vid webbpublicering

av protokoll och

diarier. Checklistan kan

hämtas kostnadsfritt på

myndighetens webbplats.

n En utredning har lagt

fram ett förslag att en

särskild lag införs för så

kallade händelseanalyser

vid självmord. Datainspektionen

anser att förslaget

ger utrymme för en

omfattande hantering av

känsliga personuppgifter

utan att behovet av detta

är tillräckligt utrett.

n Datainspektionen

granskar hur Karolinska

sjukhuset använder sitt

journalsystem för så kallad

sammanhållen journalföring,

vilket innebär att

sjukhuset kan utbyta

motsvarigheten till

Datainspektionen

granskade i slutet av

förra året Facebook

och uppmanade

då bland annat att

funktionen för ansiktsigenkänning

skulle

stängas av. I september i år

meddelade den irländska

myndigheten att Facebook

åtgärdat det mesta av kritiken

från förra årets granskning.

Fortfarande kvarstår viss

kritik som att Facebook måste ta fram en funktion

för att fullständigt och oåterkalleligt radera ett

användarkonto inom 40 dagar från att användaren

begärt det.

Opinion

20 Integritetsåret 2012 – Datainspektionen


Polis, åklagare, domstol

Polisen hängde ut oskyldig

med bild i ett halvår

I början av november 2012 noterar Datainspektionen

att Polismyndigheten i Uppsala län har låtit bilder

tagna på en person i anslutning till en bankomat

ligga ute på polisens hemsida (www.polisen.se) under

drygt sex månader. Brottet som personen på bilderna

misstänktes för var ett bedrägeri som hade begåtts i

juli 2011.

Den 14 november kontaktar Datainspektionen

polismyndigheten med ett antal frågor om bildpubliceringen.

Den 15 november tas bilderna bort från polisens

hemsida.

Datainspektionens granskning visar att personen på

bilderna inte hade med brottet att göra och att polisen

dessutom låtit bilderna på honom ligga kvar i mer än

ett halvår efter det att förundersökningen lades ned.

Datainspektionen är kritisk på flera punkter: bilder

på en oskyldig har publicerats eftersom polisen inte har

säkerställt att det rört sig om rätt person och bilderna

har dessutom visats långt efter att polisen blivit

medveten om felet och lång tid efter att utredningen

lagts ned. Brottet som mannen misstänktes för är

inte heller tillräckligt allvarligt för att motivera en

publicering på Internet.

– Att bli oskyldigt uthängd som misstänkt för brott

kan få väldigt negativa konsekvenser för den berörda.

När det är polisen som pekat ut fel person är det

ännu allvarligare, säger Nicklas Hjertonsson som lett

Datainspektionens granskning.

Integritetsåret 2012 – Datainspektionen

21


journaluppgifter med andra

vårdgivare. Granskningen

identifierar ett antal brister i

journalsystemet som strider

mot reglerna i patientdatalagen

och Datainspektionen

förelägger sjukhuset

att återkomma med

en skriftlig plan för hur

bristerna ska åtgärdas.

n I slutet av februari

skickar den franska motsvarigheten

till Datainspektionen,

CNIL, ett brev till

Google å de europeiska

dataskyddsmyndigheternas

vägnar. I brevet uppmanas

Google att vänta med att

införa sina nya användarvillkor

som ska träda ikraft

1 mars. ”CNIL och övriga

europeiska dataskyddsmyndigheter

är djupt oroade

över hur personuppgifter

kan sammanställas mellan

olika tjänster och har starka

tvivel på lagligheten i en

sådan behandling och

om den stöder europeisk

dataskyddslagstiftning”,

skriver CNIL i brevet.

n På skottdagen, 29

februari, meddelar

Datainspektionen att man

granskat polisen i Dalarna

och Västerbotten och där

funnit brister i hur personuppgifter

registreras och

gallras i underrättelseverksamheten.

Polisen får kritik för

Facebook-efterlysning

Under sommaren 2012 efterlyser Södermalmspolisen i

Stockholm tips från allmänheten på sin Facebook-sida.

På sidan finns länkar till polisens webbplats, där bilder

och en film från övervakningskameror publicerats.

Bilderna visade några yngre män som misstänks

vara inblandade i en grov misshandel. Enligt Dagens

Nyheter fick polisens efterlysning på Facebook många

kommentarer. Flera av kommentarerna rörde männens

hudfärg och eventuella ursprung. ”Vi vet inte att de

har begått gärningen, de kanske bara är vittnen, att

då sprida det här genom sociala medier kan få oanade

konsekvenser”, säger Advokatsamfundets Anne

Ramberg till Dagens Nyheter.

2009 lämnade Datainspektionen ett yttrande till Rikspolisstyrelsen

där myndigheten ansåg att polisens Internetpublicering

av bilder på okända gärningsmän endast är

tillåten i undantagsfall, till exempel om det rör sig om

särskilt allvarlig brottslighet eller att personen bedöms

vara farlig för allmänheten.

Dåliga rutiner för gallring

i polisens register

Datainspektionen granskar hur polismyndigheterna

i Dalarna och Västerbottens län hanterar personuppgifter

i sin verksamhet. Vid inspektionerna upptäckts

att ett antal register i polisens underrättelseverksamhet

inte följer gällande lagstiftning.

– Bristerna i kriminalunderrättelseverksamheten

har bland annat bestått i att personer registrerats

i så kallade särskilda undersökningar utan att det

funnits en koppling till allvarlig brottslig verksamhet,

vilket är ett krav enligt polisdatalagen. Dessutom har

22 Integritetsåret 2012 – Datainspektionen


polismyndigheterna haft otillräckliga rutiner när det

gäller gallring av personuppgifter i underrättelseprojekten,

säger Nicklas Hjertonsson som deltagit i

Datainspektionens granskning.

Lagen följs inte i polisens

underrättelseverksamhet

Datainspektionen granskar polismyndigheterna i

Jämtland och Västmanland, och då framför allt hur

personuppgifter hanteras i kriminalunderrättelseverksamheten.

Undersökningen visar på en rad brister hos

de båda polismyndigheterna. Bland bristerna finns:

registrering av personer som inte har koppling till

allvarlig brottslig verksamhet, bristande gallring av

uppgifter som enligt lag ska tas bort och att uppgifter

om personer som inte är misstänkta för brott inte

märks upp i registren på ett tydligt sätt.

– Det är oroande att vi återigen hittat brister i hur

polisen hanterar personuppgifter i den integritetskänsliga

kriminalunderrättelseverksamheten. Att

samma fel påträffas hos flera olika polismyndigheter

tyder på att det kan finnas ett metodfel hos polisen,

säger Nicklas Hjertonsson, jurist på Datainspektionen.

Integritetsåret 2012 – Datainspektionen

23


Mars

n Antalet arbetsgivare

som kräver att en arbetssökande

”frivilligt” ska

visa upp ett utdrag från

Polisens belastningsregister

ökar lavinartat, skriver

tidningen Dagens Juridik i

mars. Tidningen refererar

till statistik från Rikspolisstyrelsen

som visar att

antalet fall där enskilda

begär registerutdrag mer

än fyrdubblades mellan

åren 2003 och 2011, från

40 686 till 176 939. Rikspolisstyrelsen

uppskattar att

runt 90 procent av de som

begär utdrag över sig själva

är arbetssökande.

n En bilfirma har på

sin webbplats publicerat

uppgifter om kunder

som förlorat tvister mot

firman i Allmänna reklamationsnämnden.

Förutom

nämndens avgörande

har firman publicerat

personernas namn och

adress tillsammans med

en kort formulering.

Datainspektionen

konstaterar att firman

gjort fel eftersom ett av

syftena varit att ”hänga

ut” personer som klagat på

bilfirmans tjänster.

Rättsväsendet brister i sin

hantering av känsliga uppgifter

Datainspektionen granskar det elektroniska informationsflöde

som förekommer mellan olika myndigheter

i samband med brottmål. Detta utbyte av information

kallas för rättsväsendets informationsförsörjning (RIF)

och utvecklas i nuläget av Rikspolisstyrelsen, Åklagarmyndigheten,

Domstolsverket, Kriminalvården,

Ekobrottsmyndigheten, Skatteverket och Brottsförebyggande

rådet. RIF införs etappvis och kommer

framöver att omfatta fler myndigheter.

I den information som skickas mellan myndigheterna

förekommer många personuppgifter som ofta

är integritetskänsliga. Datainspektionen har undersökt

om bestämmelserna som ska skydda den personliga

integriteten följs när personuppgifter överförs mellan

myndigheterna som ingår i RIF.

Granskningen visar att myndigheterna som ingår i

RIF-samarbetet inte har gjort någon gemensam analys

av vilka konsekvenser informationsutbytet har för den

enskildes integritet och följaktligen inte heller av hur

skyddet av personuppgifterna ska upprätthållas eller

stärkas. Kunskapen och medvetenheten om de regler

som ska skydda den personliga integriteten har också

varierat mycket mellan myndigheterna.

SKL använder

DNA-databas olagligt

Statens kriminaltekniska laboratorium, SKL, har byggt

upp en så kallad elimineringsdatabas med DNA-prover.

Syftet med databasen är att se om DNA-prover från

brottsplatser har kontaminerats med DNA-spår från

exempelvis brottsplatstekniker eller anställda på SKL.

Databasen innehåller DNA-prover som lämnats

frivilligt från SKL:s personal och besökare vid

SKL. Databasen innehåller även DNA­profiler från

24 Integritetsåret 2012 – Datainspektionen


Polisen lagrar för mycket uppgifter

från beslagtagna mobiltelefoner

Datainspektionen har granskat hur

Länskriminalpolisen i Stockholm

registrerar uppgifter som kommer

från mobiltelefoner som tagits i beslag

i förundersökningar. De

registrerade uppgifterna

kommer från telefoner

som tillhör personer

som är misstänkta

för brott som kan

ge två års fängelse.

I registret finns all

information från den

”tömda” telefonen,

vilket kan vara

sms, samtalsloggar,

adressbok med mera.

Enligt det regelverk

som polisen ska

följa får enbart

uppgifter som rör

misstankar om allvarlig

brottslig verksamhet lagras i

registret. Innan en uppgift sparas

i registret måste polisen pröva om

uppgiften är relevant för undersökningen.

Datainspektionen kan

Integritetsåret 2012 – Datainspektionen

dock konstatera att 98 procent av

uppgifterna i telefonregistret inte har

prövats mot lagens krav, vare sig då de

registrerades eller då registret gallras.

I en mobiltelefon kan

det finnas uppgifter om

många personer som

inte alls är av intresse

för polisen även om

telefonens innehavare

misstänks för

delaktighet i brottslig

verksamhet. Det kan

vara kontaktuppgifter

till släktingar, vänner

och kollegor men

också till kontakter

som är ännu mindre

relaterade till telefonens

innehavare, som namn

och telefonnummer till

tandläkare, barnens lärare

och klasskamrater. Den typen av

uppgifter får inte registreras i polisens

register men gör det alltså.

25


n I mars varnar Skatteverket

för att ett företag

som hanterar uppgifter

från folkbokföringen har

utsatts för dataintrång.

Personnummer för ett

antal personer med

skyddade personuppgifter

har kopierats. ”Jag har

stor förståelse för att man

känner oro om ens personnummer

har kopierats men

det finns inget som tyder

på att namn- eller adressuppgifter

har kommit ut”,

säger säkerhetschefen på

Skatteverket. Myndigheten

varnar dock för att det för

drygt tusen personer kan

vara teoretiskt möjligt att

annan information har

kopierats.

n I mitten av mars riktar

Datainspektionen kritik mot

förslaget att den öppna

polisen ska få tillgång

till FRA:s signalspaning.

Detta eftersom i förslaget

inte tillräckligt utretts

om polisens behov av att

använda signalspaning

väger tyngre än intrånget i

den personliga integriteten.

poliser, servicetekniker, hantverkare och personal

hos vissa leverantörer av produkter som används vid

DNA­profilering.

SKL jämför alla nya DNA­profiler från undersökta

brottsplatsspår med elimineringsdatabasen. Om

en DNA­profil i spårregistret överensstämmer med

en DNA­profil i elimineringsdatabasen sker en

utredning. Om utredningen inte kan visa att det skett

en oavsiktlig kontaminering, överlämnas frågan till

polisens internutredare eller åklagare.

Enligt polisdatalagen får polisen ha tre

DNA­register: utredningsregistret (DNA­profiler från

misstänkta personer), DNA­registret (DNA­profiler

från dömda personer) och spårregistret (DNA­profiler

som inte kan hänföras till en viss person).

I polisdatalagen finns inget stöd för att jämföra

DNA­profiler i spårregistret med de DNA­profiler som

finns i SKL:s elimineringsdatabas. Därför förelägger

Datainspektionen SKL att sluta jämföra DNA­profiler

i elimineringsdatabasen med DNA­profiler i

spår registret.

Efter Datainspektionens konstaterande att

elimineringsdatabasen inte har stöd i lagen tillsätter

regeringen en utredning med uppdrag att ta fram

lagstiftning, och därmed tydliga regler, för en framtida

elimineringsdatabas.

Datainspektionens beslut har överklagats.

Åklagarmyndigheten

hänger ut SOS-sköterska

I juli 2011 åtalades en sjuksköterska, som varit anställd

på SOS Alarm, för vållande till annans död, då han

inte skickade ambulans när en ung man bad om hjälp.

När sköterskan i slutet av november frias, publicerar

Åklagarmyndigheten mannens namn, personnummer

och adress på sin webbplats.

26 Integritetsåret 2012 – Datainspektionen


Datainspektionen granskar Åklagarmyndigheten

och konstaterar att publiceringen av domen med

sjuksköterskans personuppgifter var kränkande och

därmed otillåten enligt personuppgiftslagen. Om man

publicerar personuppgifter med ett journalistiskt syfte

för att informera eller debattera samhällsfrågor, finns

ett undantag som gör att stora delar av personuppgiftslagen

inte gäller. Datainspektionen anser dock

att det inte kan vara fråga om något journalistiskt

ändamål i det här fallet eftersom det är en myndighet

som publicerat uppgifterna.

Gotlands tingsrätt måste sluta

publicera namn på sin webbplats

Gotlands tingsrätt har på sin webbplats publicerat så

kallade uppropslistor som innehåller namn på parter i

mål och ärenden. Datainspektionen konstaterar att det

är kränkande i personuppgiftslagens mening.

– Eftersom uppgifter på Internet kan få en så stor

och snabb spridning krävs det en särskild försiktighet

när personuppgifter publiceras på Internet. I detta

fall har bland annat uppgifter om personer som är

brottsmisstänkta men inte dömda publicerats. Det är

uppenbart att det kan orsaka de berörda stort obehag

att sådana uppgifter sprids, säger Datainspektionens

generaldirektör Göran Gräslund.

Tingsrätten har åberopat offentlighetsprincipen som

stöd för sin publicering.

– Men att en handling är allmän och inte omfattas

av sekretess innebär inte att det per automatik är fritt

fram att publicera den på nätet.

Datainspektionens beslut är överklagat.

Integritetsåret 2012 – Datainspektionen

27


n Efter att ha granskat

de största kreditupplysningsföretagen

uppmanar

Datainspektionen

regeringen att snabbt

täppa till den lucka i lagen

som gör att företagen

fortfarande kan lämna

ut kreditupplysningar på

nätet utan att det finns ett

legitimt behov och utan att

informera personen som

upplysningen gäller.

n EU-kommissionen lade

i januari fram ett förslag till

ny dataskyddslagstiftning.

I mars kommenterar

Datainspektionen förslaget

och tycker det är positivt

att skyddet för den

personliga integriteten

stärks. Samtidigt efterlyser

myndigheten förenklade

regler när personuppgifter

publiceras i löpande text,

på till exempel webbsidor.

n Datainspektionen

riktar kritik mot förslaget

att Arbetsförmedlingen

ska registrera uppgifter

om i vilken utsträckning

arbetslösa söker jobb.

Detta eftersom förslaget

medför att känsliga personuppgifter

som inte behövs

kan komma att samlas in.

n 2008 beslutade

Datainspektionen att två

gymnasieskolor skulle

JO: Polisen kan aldrig

garantera din anonymitet

Justitieombudsmannen (JO) är kritisk till att polisen

på sin webbplats använder formuleringar som ”du

kan vara anonym om du vill”. Detta eftersom polisen

inte kan garantera uppgiftslämnarens anonymitet.

”I polisens fall råder en långtgående dokumentationsplikt.

Bland annat gäller att personuppgifter om

målsäganden och vittnen ska antecknas i förundersökningsmaterialet.

Detta kan inkludera sådant som

den som lämnar ett tips kanske inte tänker på att

polisen kan uppmärksamma, till exempel numret till

den telefon varifrån en uppgiftslämnare

ringer”, skriver JO

i sitt beslut. JO varnar för

att formuleringarna på

polisens webbplats bäddar

för situationer där enskilda

”kan ha anledning att

känna sig svikna” och

vill att polisen ser över

texterna.

Butik la upp film

med tjuvar på Facebook

Efter att ha fått datorer för nästan 50 000 kronor

stulna, lade ett gotländskt företag ut en film från

sin övervakningskamera på Facebook. På filmen ser

man de tre misstänkta datortjuvarna tillsammans

med texten ”Känner någon igen dessa tre herrar?” De

misstänkta tjuvarna greps samma kväll av polisen.

Enligt Gotlands Allehanda förekommer även andra

kunder på filmen. Företaget i fråga tog bort filmen

från sin Facebook-sida efter att männen gripits.

Företagets chef berättar för tidningen att det var

lång telefonkö till polisen och att han därför la upp

28 Integritetsåret 2012 – Datainspektionen


filmen på Facebook för att se om det fick någon effekt.

”Diskuterade ni om det var lagligt att lägga ut bilder

från övervakningskameran på nätet”, frågar tidningens

journalist företagets chef. ”Vi hade en diskussion

om det i efterhand. Men syftet med kameran är att

förhindra stöld, och det var i precis det syftet vi visade

bilderna”.

Över 800 anmälda fall av stalkning

Sedan lagen om olaga förföljelse infördes den 1 oktober

2011 fram till den 31 augusti 2012 har 829 anmälningar

om olaga förföljelse gjorts i Sverige, skriver polisen i ett

pressmeddelande i oktober. I majoriteten av fallen har

brottsoffret varit en vuxen kvinna.

Samtidigt som lagen trädde i kraft blev det också

möjligt för åklagare att besluta om särskilt utvidgat

kontaktförbud med elektronisk fotboja. I pressmeddelandet

från oktober meddelar polisen att man inom

kort ska skriva avtal med en leverantör av elektronisk

fotboja och att förhoppningen är att den ska vara i drift

vid årsskiftet. ”Syftet med fotbojan är framförallt att

förebygga brott. Om gärningsmannen bryter kontaktförbudet

larmas polisen som då kan rycka ut. Det ökar

också möjligheterna att lagföra personen eftersom det

finns teknisk bevisning”, säger polisen.

Integritetsåret 2012 – Datainspektionen

29


upphöra med kamera-

övervakning inomhus

under dagtid. De två

gymnasierna har överklagat

i olika instanser till dess

att Högsta förvaltningsdomstolen,

som är den

högsta allmänna förvaltningsdomstolen

i Sverige, i

mars meddelar att den går

på Datainspektionens linje

och avslår överklagandena.

April

n I april meddelar

Datainspektionen att

myndigheten ska granska

hur företag som förmedlar

försäkringar hanterar

personuppgifter om sina

kunder. Det som ska

granskas inom ramen för

projektet är försäkringsförmedlare

som förmedlar

personförsäkringar som

sjukförsäkringar och livförsäkringar.

n Datainspektionen

granskar Akademiska

sjukhuset i Uppsala och

riktar kritik mot att ett

av sjukhusets IT-system

är utformat så att det är

omöjligt att kontrollera

om läkare missbrukar sin

möjlighet att läsa patientjournaler.

Samhället och medborgaren

Sveriges Radio avslöjas

ha hemlig databas

Sveriges Radios populära lyssnarprogram ”Ring P 1” har

i det tysta registrerat tusentals personer i en hemlig

databas. Uppgifter om namn, telefonnummer, politisk

hemvist, sjukdomar och religionstillhörighet sparas i

”telefondatabasen”.

Så skriver Dagens Nyheter den 21 december.

Avslöjandet väcker stor uppmärksamhet.

Enligt tidningen har de som ringt in till det

populära radioprogrammet under de senaste sju

åren registrerats i en databas. Tidigare registrerades

enbart namn, telefonnummer och vilka ämnen som

personen i fråga ville debattera, men enligt uppgifter

som DN tagit del av ska det sedan hösten 2012 finnas

nya direktiv från programledningen att även uppgifter

som politisk hemvist, religionstillhörighet, ålder och

sjukdomar ska registreras i databasen. De som ringer

får inte reda på att de registreras.

DN skriver vidare att databasen inte ens är

lösenordsskyddad och kan nås av all personal, bara

man känner till adressen på intranätet.

– Systemet har funnits i många år, det är ett redskap

för att ha koll på att inte samma personer kommer med

i programmet hela tiden, det

kan jag tycka är helt rimligt.

Men att vi ska skriva vad folk

har för åsikter också det är fel,

säger en SR-anställd till DN.

Många vänder sig till

Datainspektionen för att se

om myndigheten ska göra

något åt databasen. Datainspektion

har dock normalt

30 Integritetsåret 2012 – Datainspektionen


ingen rätt att granska redaktioners databaser, eftersom

massmediebolag som Sverige Radio omfattas av

grundlagsskydd, som gäller före personuppgiftslagen.

Datainspektionen kan dock ha synpunkter om personuppgifterna

i databasen inte är tillräckligt skyddade

med exempelvis lösenord och kryptering. I skrivande

stund har myndigheten inte beslutat om eventuella

åtgärder mot Sveriges Radio.

Färdtjänsten lagrar för mycket

om sina resenärer

I sitt verksamhetssystem lagrar färdtjänsten i

Göteborg känsliga personuppgifter som inte behövs

för handläggningen. Färdtjänstnämnden menar att

handlingarna sparas på grund av krav i arkivlagen.

Men arkivlagens bestämmelser ger inte en myndighet

rätt att fortlöpande lagra stora mängder integritetskänsliga

uppgifter i det IT-system som används i den

dagliga verksamheten, konstaterar Datainspektionen

i sin granskning. Uppgifter som inte längre behövs för

handläggningen ska tas bort från verksamhetssystemet

och i stället arkiveras.

Kommuner brister

i sin publicering på Internet

Datainspektionen granskar hur ett 50-tal kommuner

på sina webbplatser publicerar diarier, protokoll och

andra liknande dokument som kan innehålla personuppgifter.

Undersökningen visar att i princip samtliga

kommuner brister i sin publicering.

– Datainspektionen tar ofta emot klagomål från

enskilda som fått sina personuppgifter publicerade

på kommuners webbplatser. Bland de stickprovskontroller

som vi utfört har vi sett ett antal exempel på att

kommunerna inte följer reglerna i personuppgiftslagen,

Integritetsåret 2012 – Datainspektionen

31


n EU-kommissionen har

lagt fram ett förslag till

direktiv som ska stärka

skyddet av personuppgifter

som hanteras av polisen

och andra brottsbekämpande

myndigheter.

Datainspektionen ställer

sig positiv till förslaget men

menar också att direktivet

inte får sänka skyddsnivån

för de länder som redan har

en hög skyddsnivå.

n Klagomål gör

gällande att ett bussbolag

i Varberg kameraövervakar

sin personal.

Datainspektionens

granskning visar att bolaget

har tio övervakningskameror

på sin anläggning.

Bolaget har inte utrett

om övervakningen

verkligen behövs vilket

gör att Datainspektionen

förelägger att kameraövervakningen

ska upphöra

under ordinarie arbetstid.

n Datainspektionen

yttrar sig om det kompletterade

underlaget till en ny

kameraövervakningslag.

Myndigheten är positiv

till att det ska bli lättare

att kameraövervaka

tunnelbanan men anser att

det även fortsättningsvis

bör krävas tillstånd för att

övervaka parkeringshus.

säger Ingela Alverfors som lett

undersökningen.

Bristerna har lett till att

Datainspektionen tagit fram

en checklista för kommuner

och landsting som tar upp

de viktigaste punkterna vid

webbpublicering av protokoll och

diarier. Checklistan kan hämtas

kostnadsfritt på myndighetens webbplats.

Skadestånd för felaktig

hantering av hemlig adress

En kvinna med skyddad adress har fått en kallelse från

en domstol skickad till sin hemliga adress med hennes

personuppgifter synliga på kuvertet. Justitiekanslern

konstaterar att kvinnans personuppgifter har hanteras

på ett sätt som står i strid med personuppgiftslagen

och ålägger Domstolsverket att betala 10 000 kronor i

ersättning till kvinnan.

Nej till kameraövervakning i skolor

2008 beslutade Datainspektionen att Bromma

gymnasium och Tensta gymnasium måste upphöra

med kameraövervakning inomhus under dagtid. De två

gymnasierna överklagade till

länsrätten som avslog överklagandena,

och till kammarrätten

som även den avslog överklagandena, med undantag

för ett par kameror i den ena skolan.

Skolorna överklagade därefter till Högsta förvaltningsdomstolen,

som är den högsta allmänna förvaltningsdomstolen

i Sverige. I mars meddelar domstolen

att den går på Datainspektionens linje och avslår

överklagandena.

32 Integritetsåret 2012 – Datainspektionen


”I likhet med underinstanserna finner Högsta

förvaltningsdomstolen att kameraövervakning av

lektionssalar, korridorer, bibliotek, uppehållsrum och

liknande i en skola under skoltid generellt sett måste

betraktas som ett intrång i de registrerades integritet”,

skriver Högsta förvaltningsdomstolen i sina två domar.

Elever kameraövervakas olagligt

I början av december rapporterar Dagens Nyheter

om en stor kartläggning som landets länsstyrelser

genomför och som visar att övervakningskameror sätts

upp olagligt i skolor och riktas mot barn och allmänhet

på ett integritetskränkande sätt.

DN har fått ta del av delresultat från länsstyrelsernas

första stora kontroll av kameraövervakning på

skolor och restauranger. Tidningen rapporterar att

en rad skolor kommer att få allvarlig kritik för att de

bedriver olaglig övervakning.

– Människor har blivit föremål för integritetskränkning.

Detta är mycket allvarligt och visar att

tillsynen är angelägen, säger Henrik Kvennberg,

ansvarig för tillsyn av allmän kameraövervakning på

länsstyrelsen i Skåne län, till tidningen.

Kameraövervakning

regleras i två lagar

Fakta

Det finns två lagar som reglerar användningen av

kameraövervakning: lagen om allmän kameraövervakning

och personuppgiftslagen. Enligt lagen om

allmän kameraövervakning krävs det vanligtvis tillstånd

från länsstyrelsen för att få sätta upp en kamera på

en plats dit allmänheten har tillträde. På platser dit

allmänheten inte har tillträde, som exempelvis i kontorslokaler,

lagerutrymmen och personalutrymmen, gäller

personuppgiftslagen. Enligt personuppgiftslagen krävs

inget tillstånd, däremot måste lagen följas och det

kontrolleras av Datainspektionen.

Integritetsåret 2012 – Datainspektionen

33


n En tjänst samlar in data

från olika forskningsprojekt

som sedan ska kunna

användas för ospecificerad

framtida forskning.

Datainspektionen

konstaterar att insamlingen

strider mot personuppgiftslagen

eftersom

syftet är för diffust och

att de som förekommer i

registren inte har gett sitt

samtycke.

n I slutet av april

meddelar Datainspektionen

att myndigheten ska

kontrollera hur socialnämnder

använder Ipad

och andra surfplattor.

Det som granskas är om

personuppgifter som lagras

i surfplattorna är skyddade

på ett tillräckligt sätt.

Granskningen ska vara klar

under våren 2013.

n Hur får GPS-positionering

används i firmabilar

utan att det inkräktar på

de anställdas personliga

integritet? Vilka regler

gäller för kameraövervakning

på företag?

Får företag spela in de

anställdas telefonsamtal?

Det och mycket annat tas

upp i Datainspektionens

48-sidiga broschyr ”Personuppgifter

i arbetslivet” som

publiceras i april.

I Skåne har man enligt DN hittills upptäckt att

kameraövervakning skett på ett felaktigt sätt i nära

hälften av de inspekterade skolorna. I Gävleborg och

Dalarna får över hälften av de inspekterade skolorna

anmärkningar. Resultaten från övriga län ska visa på

liknande siffror.

Felen som gör kameraövervakningen olaglig är

bland annat att skolorna saknar tillstånd att sätta upp

kamerorna, att kamerorna övervakar större områden

än vad som medgivits i länsstyrelsens beslut eller att

skolorna har bristande skyltning om att kameraövervakning

pågår.

– När vi har tittat på skolor är ett av de vanligaste

och allvarligaste felen att kamerorna är i gång även på

dagtid, vilket de inte har tillstånd till, säger Ingemar

Sunnerdahl på Länsstyrelsen i Västra Götalands län till

Dagens Nyheter.

Länsstyrelse måste begränsa

tillgången till personuppgifter

I juni 2010 identifierade Datainspektionen en rad

brister i hur länsstyrelsen i Västra Götalands län

hanterar personuppgifter i sitt handläggningssystem.

Datainspektionen var bland annat

kritisk till att användarna kunde

komma åt alla handlingar som inte

var sekretessbelagda, och ansåg att respektive

användare enbart ska komma åt de uppgifter som

behövs för att kunna lösa de egna arbetsuppgifterna.

Myndigheten var även kritisk till hur länsstyrelsen

publicerat uppgifter i det webbdiarium som kan nås av

allmänheten. I webbdiariet fanns personuppgifter som

direkt pekade ut enskilda i ärenden som rörde bland

annat brott mot djurskyddslagen och fiskelagen.

Länsstyrelsen har överklagat Datainspektionens

beslut till förvaltningsrätten i Stockholm som dock går

på Datainspektionens linje och avslår överklagandet.

34 Integritetsåret 2012 – Datainspektionen


I sin dom skriver rätten bland annat att ”Genom

publicering på Internet blir uppgifterna lätt tillgängliga

och kan komma att få mycket stor spridning”.

Databas för reklamationer får inte

användas som brottsregister

Taxi Stockholm har en databas med klagomål mot

förarna. Databasen påstås enligt anmälningar till

Datainspektionen innehålla felaktigheter, uppgifterna

ska finnas kvar för alltid och förarna får inte ta del av

de uppgifter som finns registrerade om dem.

Vid Datainspektionens

granskning framkommer

att bolaget har en databas

där det på förarnivå går

att få fram samtliga registrerade

reklamationer sedan

1998. Varje år tillkommer

cirka 3 500 reklamationer.

En del av dessa reklamationer

innehåller uppgifter

om lagöverträdelser. I

ett fritextfält registrerar

bolaget uppgifter om bland annat domar och beslut,

åtal som lagts ner eller förare som dömts för allvarlig

brottslighet. ”Det är sammantaget fråga om en

omfattande och systematisk behandling av personuppgifter

om lagöverträdelser”, skriver Datainspektionen i

sitt beslut.

– Jag har förståelse för att ett taxibolag kan

behöva registrera klagomål från sina kunder och att

klagomålen kan innehålla uppgifter om påstådda brott.

Men, bolaget får inte använda sin reklamationsdatabas

som en form av brottsregister där bolaget hämtar

uppgifter från helt andra håll än från sina kunder,

säger Datainspektionens generaldirektör Göran

Gräslund.

Integritetsåret 2012 – Datainspektionen

35


n Sajten Migileaks

polisanmäls av Datainspek-

tionen. På sajten publiceras

domar från migrationsdomstolar.

I vissa domar

förekommer känsliga

personuppgifter samt

uppgifter om lagöverträdelser

om namngivna

personer som sökt asyl i

Sverige.

n Datainspektionen

granskar hur Länskriminalpolisen

i Stockholm

registrerar uppgifter som

kommer från mobiltelefoner

som tagits i beslag

i förundersökningar.

Myndigheten är kritisk till

att polisen lagrar uppgifter

om sms, telefonsamtal och

kontakter från telefoner

som beslagtagits, utan

att pröva om uppgifterna

behövs i underrättelseverksamheten.

Maj

n I maj meddelar

förvaltningsrätten i

Stockholm att den går på

Datainspektionens linje

och anser att länsstyrelsen

i Västra Götalands

län måste begränsa

åtkomsten till dokument i

det interna diariet och ta

bort direkta och indirekta

Bevakningsföretag kan fortsätta

registrera klottrare

Datainspektionen tar emot klagomål om att ett

bevakningsföretag registrerar uppgifter om personer

som gripits för skadegörelse. Myndighetens granskning

visar att Storstockholms Lokaltrafik (SL) anlitar

företaget ifråga för egendomsbevakning och att

företaget rapporterar in skadegörelse till SL:s klotterdatabas,

som Datainspektionen gav klartecken till

2005. Datainspektionen har inga synpunkter på hur

företaget rapporterar in uppgifter till SL:s databas.

Nej till företag som vill skapa

central klotterdatabas

Ett företag ansöker hos Datainspektionen om undantag

från den regel i personuppgiftslagen som säger att

det normalt endast är myndigheter som får hantera

uppgifter om brott och misstänkta brott.

Företaget registrerar klotter åt flera olika uppdragsgivare

för att polisanmäla skadegörelsen. Bland

företagets kunder finns kommuner, landsting och

myndigheter inom transportområdet. Företaget vill

registrera fler uppgifter och skapa en central klotterdatabas

som omfattar alla de uppgifter som företaget

samlar in för sina olika kunders räkning.

Datainspektionen konstaterar i sitt svar på

företagets ansökan att företaget på så sätt skulle bygga

36 Integritetsåret 2012 – Datainspektionen


upp ett register med en omfattande mängd personupp-

gifter om brott och misstänkta brott.

– När personuppgiftslagen inrättades var lagstif-

tarens tanke att andra än myndigheter endast i

undantagsfall ska få hantera sådana uppgifter. Därför

har Datainspektionen en restriktiv hållning till att dela

ut den här typen av undantag. Det gör att vi säger nej i

det här fallet, säger generaldirektör Göran Gräslund.

Samtliga riksdagspartier

under granskning

Datainspektionen granskar hur samtliga åtta riksdagspartier

hanterar personuppgifter om medlemmar och

andra personer som tagit kontakt med dem. Uppgifter

som avslöjar politiska åsikter är enligt personuppgiftslagen

känsliga och extra skyddsvärda.

– Granskningen visar att det hos samtliga partier

har funnits bristande kunskaper om personuppgiftslagen

och vilka regler som gäller när man

hanterar känsliga personuppgifter. Men, glädjande nog

har det även funnits en stor vilja att åtgärda bristerna,

säger Gunilla Öberg som är jurist på Datainspektionen

och som deltagit i granskningarna.

Bland felen som upptäckts finns: bristande

information till medlemmar och andra som tar

kontakt med partierna om hur deras personuppgifter

kommer att hanteras, avsaknad av gallringsrutiner

som ska se till att uppgifter inte sparas onödigt länge

samt bristande IT-säkerhet för att skydda personuppgifterna.

Integritetsåret 2012 – Datainspektionen

37


personuppgifter från

webbdiariet som kan nås av

allmänheten.

n Datainspektionen

granskar Taxi Stockholm

som har en databas där

det på förarnivå går att få

fram samtliga registrerade

reklamationer sedan 1998.

En del av dessa reklamationer

innehåller uppgifter

om lagöverträdelser. I

ett fritextfält registrerar

bolaget på egen hand in

uppgifter om bland annat

domar och beslut, åtal

som lagts ner eller förare

som dömts för allvarlig

brottslighet. Bolaget får

inte använda sin reklamationsdatabas

som en

form av brottsregister där

bolaget hämtar uppgifter

från helt andra håll än från

sina kunder, konstaterar

Datainspektionen.

n Statens kriminaltekniska

laboratorium, SKL, har

byggt upp en DNA-databas

som används på ett sätt

som bryter mot lagen,

konstaterar Datainspektionen

efter att ha granskat

laboratoriet.

n Vilka regler som

gäller om en kommun

webbsänder exempelvis

kommunfullmäktiges

sammanträden?

Jurist gjorde olaglig dataslagning

En kommunjurist bröt mot lagen när hon i privat

syfte kollade en ung kvinnas inkomst, rapporterar

Helsingborgs Dagblad i oktober. Orsaken till

slagningen ska vara att juristen var involverad i en tvist

med sin exmake, som är den unga kvinnans pappa.

Juristen har fått ett strafföreläggande på 11 500 kronor.

Juristen har godkänt böterna vilket innebär att hon

slipper rättegång.

Högsta förvaltningsdomstolen

gav Datainspektionen rätt

2007 beslutade Datainspektionen att Försäkringskassan

måste genomföra en risk- och sårbarhetsanalys

av sin sms-tjänst för anmälan av tillfällig föräldrapenning.

Beslutet omfattade även

en annan tjänst som används då

arbetsgivare anmäler anställdas

sjukdomsfall.

Försäkringskassan överklagade beslutet, först till

Länsrätten, sedan till Kammarrätten och därefter

till Högsta förvaltningsdomstolen, som i juni 2012

meddelar att den avslagit överklagandet och gett

Datainspektionen rätt.

– Domen visar att ansvaret för att skydda personuppgifter

i e-tjänster faller på den som ställer

e-tjänsten till förfogande, i det här fallet Försäkringskassan,

säger Datainspektionens generaldirektör

Göran Gräslund.

Skadestånd för

felskickad deklaration

En kvinnas inkomstdeklaration har av misstag följt

med en annans persons deklaration och därmed

skickats till fel mottagare. Kvinnan har begärt

38 Integritetsåret 2012 – Datainspektionen


skadestånd av staten då hon anser att hennes

personliga integritet har kränkts eftersom andra

personer har haft möjlighet att ta del av hennes

inkomst- och personuppgifter. Justitiekanslern anser

att hanteringen av kvinnans personuppgifter skett

i strid med personuppgiftslagen och beslutar att

kvinnan ska få 3 000 kronor i ersättning.

Personnummer stals

vid dataintrång

I mars varnar Skatteverket för att ett företag som

hanterar uppgifter från folkbokföringen har utsatts

för dataintrång. Personnummer för ett antal personer

med skyddade personuppgifter har kopierats. ”Jag

har stor förståelse för att man känner oro om ens

personnummer har kopierats men det finns inget som

tyder på att namn- eller adressuppgifter har kommit

ut”, säger Anders Kylesten, säkerhetschef på Skatteverket.

Myndigheten varnar dock för att det för drygt

tusen personer kan vara teoretiskt möjligt att annan

information har kopierats. Händelsen har polisanmälts

av företaget som utsattes för dataintrånget.

Skatteverket varnar för att personnummer stulits vid ett

dataintrång . Även andra personuppgifter kan ha stulits .

Integritetsåret 2012 – Datainspektionen

39


Data inspektionen utreder

frågan och kommer fram

till att en kommun som

sänder Internet-video

från sina möten inte är

skyddad av grundlag.

Kommunen måste följa

personuppgiftslagen och

sändningen får inte vara

kränkande i lagens mening.

Om ett massmedieföretag

eller privatperson genomför

en webbsändning så

skyddas den av grundlag

vilket gör att reglerna i

personuppgiftslagen inte

gäller.

n Den 22 maj i Oslo

träffas cheferna för

dataskyddsmyndigheterna

i Norge, Finland, Sverige,

Danmark, Island, Färöarna

och Åland för att diskutera

hur EU-kommissionens

förslag till ny dataskyddslagstiftning

kommer

att påverka myndigheternas

interna arbete

och samarbete. ”Detta

är den mest omfattande

ändringen av europeisk

dataskyddslagstiftning på

många år. Det kommer

att ställa helt nya krav på

dataskyddsmyndigheterna i

Kreditupplysningar

och inkasso

Kreditupplysningsföretag hittar

nya sätt att kringgå lagen

Den 1 januari 2011 trädde nya regler i kreditupplysningslagen

i kraft som skulle stärka skyddet för

enskilda när kreditupplysningar lämnas ut via Internet.

Enligt lagändringarna måste den som begär en kreditupplysning

ha ett legitimt behov av upplysningen,

till exempel kan en hyresvärd ha behov av en kreditupplysning

om den person som ska hyra en bostad.

Dessutom måste en kopia av kreditupplysningen

skickas till den som upplysningen gäller.

Sedan lagändringarna trädde i kraft har Datainspektionen

granskat samtliga större kreditupplysningsföretag.

Myndigheten konstaterar att lagändringarna

till en början fick effekt men att flera företag nu hittat

nya möjligheter att kringgå lagen.

– Därför skickar vi en skrivelse till regeringen där

vi föreslår att det görs en snabbutredning för att täppa

till den här luckan i lagen, säger Datainspektionens

generaldirektör Göran Gräslund i mars.

I skrivelsen till regeringen föreslår Datainspektionen

att det antingen görs en snabbutredning för att

täppa till luckan eller att det görs en mer omfattande

översyn av lagen.

Datainspektionen överklagar

dom om kreditupplysningar

I januari 2011 trädde nya regler i kreditupplysningslagen

i kraft som bland annat innebär att kreditupplysningsföretag

måste skicka en kopia av kreditupplysningen

till den person som upplysningen gäller.

40 Integritetsåret 2012 – Datainspektionen


Denna skyldighet gäller även när kreditupplysningen

lämnas ut via en webbplats.

I juni 2012 förelägger Datainspektionen ett kreditupplysningsföretag

att börja skicka kreditupplysningskopior

till de omfrågade även då kreditupplysningarna

lämnas ut via en webbplats.

Företaget överklagar Datainspektionens beslut till

förvaltningsdomstolen som i november 2012 meddelar

att den kommit fram till att den nya bestämmelsen

om kopieplikt står i strid med grundlag. Det innebär i

så fall att företaget inte behöver skicka kreditupplysningskopior

till de omfrågade när kreditupplysningen

lämnats ut via företagets webbplats.

– Vår bedömning är dock att förvaltningsdomstolens

slutsats är felaktig och att ändringarna i

kreditupplysningslagen inte på något sätt står i

strid med grundlag, säger Hans Kärnlöf som är

Datainspektionens expert på kreditupplysningslagen.

I slutet av november överklagar Datainspektionen

därför förvaltningsrättens dom till kammarrätten.

Inkassobolag fortsätter

skicka otydliga krav

För två år sedan riktade Datainspektionen skarp kritik

mot ett antal inkassobolag för att deras inkassokrav

som rör tele-, TV- och Internetavgifter var för

otydliga. I november 2012 är myndigheten klar med en

uppföljande granskning som visar att bristerna till stor

del kvarstår.

– Många inkassobolag använder fortfarande för

vida och sammanfattande begrepp för att beskriva vad

fordran avser. Det gör det svårt för den skuldsatte att

veta vad fordran avser och att kunna ta ställning till

om kravet är riktigt eller inte, säger Malin Fredholm

som lett myndighetens granskning.

Inkassobolagen brister också i att specificera

kostnaderna i kravet. Kostnader för själva inkasso-

Integritetsåret 2012 – Datainspektionen

41


Europa och förändra sättet

som vi arbetar på”, säger

Datainspektionens generaldirektör

Göran Gräslund i

samband med mötet.

n Ett bevakningsföretag

som SL anlitar för att gripa

klottrare i tunnelbanan

bryter inte mot personuppgiftslagen

när det

registrerar uppgifter

om gripanden och

skadegörelse, konstaterar

Datainspektionen efter att

ha granskat företaget.

Juni

n I juni är Datainspektionen

klar med sin

granskning av hur riksdagspartierna

hanterar personuppgifter

om medlemmar

och andra personer som

tagit kontakt med dem.

Granskningen visar att

samtliga riksdagspartier

har bristande kunskaper

om personuppgiftslagens

regler, men partierna har

även visat en stor vilja att

förbättra sin hantering av

personuppgifter.

n Identitetsstölder har

blivit ett jätteproblem och

bedrägerier är numera

den fjärde vanligaste

typen av brott i Sverige

efter brott som snatteri

kravet och en eventuell betalningspåminnelse, men

också faktureringsavgifter och andra administrativa

avgifter ska redovisas var för sig i inkassokravet.

Elkunder ersätts för dubbla

inkassokostnader

Datainspektionen granskar ett elbolag och upptäcker

en rad brister i företagets inkassohantering. Elbolaget

har tillsammans med det inkassobolag som företaget

tidigare anlitade debiterat närmare 3 000 kunder

dubbla inkassokostnader. Elbolaget har brutit mot

inkassolagen genom att skicka dubbla inkassokrav och

debitera dubbla inkassokostnader.

Myndigheten har därefter gjort en uppföljande

kontroll för att se om bristerna åtgärdats. Elbolaget

har sett över sin inkassohantering och sköter den

själv. Företaget har också börjat ersätta de kunder som

drabbats av dubbla inkassokostnader.

– Det är positivt att vår granskning lett till att

bolaget har förbättrat sin inkassohantering och att

de drabbade kunderna nu får ersättning, säger Malin

Fredholm på Datainspektionen.

Närmare 3 000 kunder har debiterats dubbla inkassokostnader

av ett elbolag .

42 Integritetsåret 2012 – Datainspektionen


Övervakning i arbetslivet

Så får arbetsgivare hantera

personuppgifter

I slutet av april publicerar Datainspektionen en ny

48-sidig broschyr som klargör vilka regler som gäller

för hur arbetsgivare får hantera personuppgifter.

”Personuppgifter i arbetslivet” svarar bland annat

på frågor som hur får GPS-positionering användas

i firmabilar utan att det inkräktar på de anställdas

personliga integritet, vilka regler gäller för kameraövervakning

på företag och får företag spela in de

anställdas telefonsamtal?

– Oavsett verksamhet hanterar alla företag personuppgifter

på en rad olika sätt i varierande utsträckning.

Med den här broschyren vill vi göra det lättare för

arbetsgivare att följa reglerna i personuppgiftslagen,

säger Datainspektionens generaldirektör Göran

Gräslund.

Beställ som trycksak eller hämta gratis

”Personuppgifter i arbetslivet” vänder sig till arbetsgivare,

arbetstagare, fackförbund och branschorganisationer

inom både privat och offentlig sektor. Skriften kan

hämtas kostnadsfritt som pdf-dokument på myndighetens

webbplats eller beställas som trycksak och kostar

då 53 kronor.

Integritetsåret 2012 – Datainspektionen

43


och skadegörelse varnar

polisen i en artikel i

Datainspektionens tidning

Integritet i fokus. ”Den

svenska offentlighetsprincipen

har blivit ett

verktyg som utnyttjas

av skurkar”, säger en

av polisens utredare i

tidningen.

n I parkeringsgarage

vid flera köpcentrum

används ny teknik som

visar riktad reklam till

bilförare. Systemet läser av

bilarnas registreringsskyltar

när de åker in i garaget.

Med hjälp av bilregistrets

uppgifter om bilmodell och

bostadsort samt statistik

från SCB, visas riktad

reklam på ljusskyltar längre

in i garaget. Datainspektionen

konstaterar att

företaget bakom tekniken

måste informera bilisterna

om hur deras registreringsnummer

används för att

visa reklamen.

n Datainspektionens

beslut från 2007 mot

Försäkringskassan om

sms-tjänsten för anmälan

av tillfällig föräldrapenning

överklagades till Högsta

förvaltningsdomstolen.

I mitten av juni ger

domstolen Datainspektionen

rätt och beslutet står

fast.

Bussbolag måste sluta

kameraövervaka personal

Datainspektionen tar emot klagomål som gör gällande

att ett bussbolag i Varberg kameraövervakar

sin personal.

Myndighetens

granskning

visar att

bolaget har tio

övervakningskameror

på sin

anläggning.

Bolaget

uppger att

bildmaterialet

är tänkt att

användas för att

utreda eventuell

skadegörelse eller annat

brott vid anläggningen.

Materialet är också tänkt att

användas om det skulle ske en skada eller

annan incident i exempelvis verkstad eller tvätthall.

Hittills har bildmaterialet aldrig behövt användas.

– Det måste finnas ett påtagligt behov av kameraövervakning

för att den ska vara laglig, säger Lars

Söderberg som lett Datainspektionens granskning.

Datainspektionen förelägger därför bolaget att

upphöra med kameraövervakningen under ordinarie

arbetstid och att göra en analys av om övervakningen

verkligen behövs och om den i så fall ska begränsas

vad gäller tider och platser. Myndigheten riktar också

kritik mot att bolaget saknar policy och rutiner för hur

bildmaterial får lämnas ut till utomstående.

44 Integritetsåret 2012 – Datainspektionen


Fel av butik använda

dold kameraövervakning

En dagligvarubutik i Östersund har, enligt klagomål

till Datainspektionen, övervakat sina anställda och

anställda på ett annat företag med dold kamera.

Butiken uppger till Datainspektionen att man

under lång tid haft problem med svinn och att

man därför i augusti 2011 installerade en dold

övervakningskamera i det lunchrum som är

gemensamt för de två företagens personal.

Datainspektionen konstaterar i sin

utredning att övervakningen varit olaglig.

Kameraövervakning får bara användas om

de som övervakas har blivit informerade.

Ett undantag är polisen och andra brottsutredande

myndigheter som får använda

dold kameraövervakning men då

endast om det är av synnerlig vikt för

utredningen och gäller allvarlig brottslighet.

”Frivilliga” brottsutdrag

ökar lavinartat

Antalet arbetsgivare som kräver att en arbetssökande

”frivilligt” ska visa upp ett utdrag från Polisens belastningsregister

ökar lavinartat, skriver tidningen Dagens

Juridik. Tidningen refererar till statistik från Rikspolisstyrelsen

som visar att antalet fall där enskilda begär

registerutdrag mer än fyrdubblades mellan åren 2003

och 2011, från 40 686 till 176 939. Rikspolisstyrelsen

uppskattar att runt 90 procent av de som begär utdrag

över sig själva är arbetssökande.

Integritetsåret 2012 – Datainspektionen

45


n Fortfarande fyra år

efter att patientdatalagen

trädde i kraft lever svenska

vårdgivare inte upp till

lagens krav. Patienternas

rätt att få uppgifter

spärrade i sina journaler

åsidosätts. Det visar

Datainspektionens stora

granskning av samtliga

landsting samt fem privata

vårdgivare.

n I slutet av juni

förelägger Datainspektionen

Gotlands tingsrätt

att sluta publicera namn på

parter i mål och ärenden

på domstolens webbplats

eftersom publiceringen

strider mot personuppgiftslagen.

Juli

n I början av juli yttrar sig

Datainspektionen om ett

förslag till förordning om

”register för viss befolkningsbaserad

forskning”

som tagits fram av

regeringen. I sitt yttrande

riktar myndigheten skarp

kritik mot förslaget.

Myndigheten är framför

allt kritisk till att det är

en förordning, som kan

beslutas av regeringen,

och inte ett lagförslag, som

måste beslutas i riksdagen.

Vården, forskningen,

patienten och lagen

Stor granskning: Svårt för patienter

spärra journaluppgifter

Enligt patientdatalagen har patienten rätt att spärra

uppgifter från att lämnas ut, dels mellan olika

vårdenheter inom samma vårdgivare, dels mellan olika

vårdgivare som använder sammanhållen journalföring.

Datainspektionen har under flera år fått klagomål från

patienter att det ofta brister i hanteringen av dessa

spärrar.

– Nästan varje dag är det patienter som hör av sig

till Datainspektionen och berättar att de inte kan få sin

önskan om spärr tillgodosedd, säger Maria Bergdahl,

jurist på Datainspektionen.

Datainspektionen genomför därför ett stort

nationellt tillsynsprojekt av samtliga landsting och

regioner samt fem privata vårdgivare. Resultatet

av granskningen ger en dyster bild av hur patientdatalagen

följs.

– Ingen av de granskade vårdgivarna uppfyller sina

skyldigheter fullt ut mot patienterna när det gäller

möjligheten att spärra uppgifter. Eftersom lagen

funnits i snart fyra år kan man inte längre skylla

på omställningsproblem, säger Datainspektionens

generaldirektör Göran Gräslund.

I juni förelägger Datainspektionen samtliga

vårdgivare att redogöra för när funktioner för tekniska

spärrar som lever upp till patientdatalagens krav

kommer att vara genomförda i systemen. Sedan dess

har ytterligare kompletteringar begärts in och granskningen

beräknas nu vara helt klar under våren 2013.

46 Integritetsåret 2012 – Datainspektionen


Fel av barnklinik

spela in alla samtal

På barnkliniken vid Ystads lasarett spelas alla

inkommande samtal in. Även vissa utgående samtal

spelas in. Inspelningarna sparas i minst tre år. Syftet

uppges vara kvalitetssäkring, då de inspelade samtalen

kan användas för att fastställa vilken information som

patienterna fått av personalen. Dessutom vill man

minska mängden hot och otrevligheter som riktas

mot de som arbetar i telefonrådgivningen. Hittills har

kliniken inte behövt granska något sparat telefonsamtal.

– Inspelning av telefonsamtal innebär ett integritetsintrång

för såväl patienter som anhöriga och

anställda. För att det ska vara lagligt måste det finnas

ett påtagligt behov av systematisk kvalitetssäkring

som inte kan lösas på något annat, mindre integritetskänsligt

sätt. Kliniken har inte visat att det finns ett

sådant behov som motiverar att alla samtal spelas in,

säger Katarina Högquist, jurist på Datainspektionen.

Barnkliniken har numera upphört att spela in alla

samtal.

Brist i journalsystem

omöjliggör kontroll

Datainspektionen tar emot ett klagomål som rör

Akademiska sjukhuset i Uppsala. Klagomålet rör en

funktion som visar läkaranteckningar för en vald

patient. Datainspektionens granskning visar att när

en läkare öppnar funktionen så visas de 20 senaste

anteckningarna. I systemets logg, som ska användas

för att upptäcka obehörig åtkomst av patientjournaler,

registreras att läkaren ifråga tittat på samtliga 20

anteckningar vid exakt samma tidpunkt. Det går alltså

inte att se vilken anteckning som läkaren faktiskt läste.

Integritetsåret 2012 – Datainspektionen

47


n I september 2011

konstaterade Datainspek-

tionen att det bryter

mot lagen att registrera

uppgifter om dementa i så

kallade kvalitetsregister. Via

klagomål har Datainspektionen

fått uppgifter om

att dementa trots det

fortsätter att registreras.

Därför drar myndigheten

igång en granskning av

hur kommuner hanterar

uppgifter om dementa i

kvalitetsregister.

Augusti

n Datainspektionen

yttrar sig om ett förslag

till huliganregister som

lagts fram i en utredning.

Myndigheten är positiv till

lagstiftning för ett centralt

register över huliganer, men

anser att det nuvarande

förslaget innehåller ett

antal brister och oklarheter

som först måste åtgärdas.

n Enligt ett förslag ska

Centrala Studiemedelsnämnden,

CSN, kunna

sammanställa statistik

över studenters hälsa.

Datainspektionen säger nej

till förslaget eftersom det

saknar en tillräcklig analys

och motivering av varför

– En så bristfällig loggning gör det i praktiken

omöjligt att kontrollera obehörig åtkomst, men gör

även att personal på felaktiga grunder kan pekas ut

som att ha tagit del av för mycket patientuppgifter,

säger Maria Bergdahl som lett Datainspektionens

granskning.

I mitten av oktober konstaterar Datainspektionen

att de brister som upptäcktes har åtgärdats eller är på

väg att åtgärdas.

Granskning av hur

dementa registreras

I juli 2012 inleder Datainspektionen en granskning för

att ta reda på om kommuner bryter mot lagen genom

att registrera uppgifter om dementa. I september året

innan konstaterade Datainspektionen att det bryter

mot lagen att i så kallade kvalitetsregister registrera

uppgifter om dementa och andra som varaktigt saknar

beslutsförmåga. För att få registrera sådana uppgifter

krävs det att den demente har en legal ställföreträdare

som inte motsätter sig att uppgifterna registreras.

Myndigheten har tagit emot klagomål som säger

att uppgifter om dementa trots det fortsätter att

registreras.

Personuppgifter får inte användas

för opreciserad forskning

Svensk Nationell Datatjänst (SND) är en tjänst

vid Göteborgs universitet som samlar in data från

forskningsprojekt runtom i landet för att sedan göra

dessa data tillgängliga för andra forskare i Sverige och

utomlands. Det material som samlas in bearbetas för

att sedan kunna användas för ospecificerad framtida

forskning.

48 Integritetsåret 2012 – Datainspektionen


Register över vårdpersonal läggs ut på nätet

En utredning föreslår att Socialstyrelsens register över legitimerad hälso- och

sjukvårdspersonal (HOSP-registret) ska bli tillgängligt på Internet. Registret är

redan idag offentligt på så sätt att det går att mejla Socialstyrelsen och begära

uppgifter om en enskild persons

behörighet. Enligt förslaget ska

allmänheten i framtiden kunna söka

uppgifter själv via Internet och få

reda på uppgifter om legitimerade

personers namn, födelseår, yrke,

specialitet samt datum för utfärdande

av legitimation eller bevis om specialistkompetens.

Datainspektionen granskar SND och konstaterar

att organisationen inte informerar de personer vars

uppgifter finns i det forskningsmaterial som lämnas in

till SND. Man inhämtar inte heller samtycke från dessa

personer.

– Det är fel på fel att först samla in uppgifter

från andra forskningsprojekt utan att få de registrerades

samtycke, och sedan ha ett så diffust syfte

som framtida forskning, säger Erik Janzon som är

tillsynschef för vård-, forsknings- och utbildningsfrågor

på Datainspektionen.

Datainspektionen förelägger därför Göteborgs

universitet att sluta samla in mer material och sluta

använda det material som redan samlats in.

Kritik mot brister i journalsystem

Datainspektionen granskar hur Karolinska sjukhuset

använder så kallad sammanhållen journalföring, vilket

innebär att sjukhuset kan utbyta journaluppgifter med

andra vårdgivare. Myndigheten har identifierat ett

Integritetsåret 2012 – Datainspektionen

49


hälsostatistiken måste föras

på individnivå.

September

n Under 2011 riktade

Datainspektionen kritik

mot hur företaget Brevo

använde en molntjänst.

I september 2012

konstaterar Datainspektionen

att företaget har

åtgärdat de brister som

upptäcktes vid inspektionen.

n Datainspektionen

granskar webbplatsen

laget.se, där idrottsklubbar

kan skapa en egen

hemsida. Myndigheten

konstaterar att det är

klubbarna själva som

ansvarar för de personuppgifter

som läggs in i

systemet.

Oktober

n Under 2011

genomförde Datainspektionen

en granskning

av hur Salems kommun

använde en molntjänst

från Google och konstaterade

att kommunen inte

följde reglerna i personuppgiftslagen.

I oktober

2012 begär Datainspek-

antal brister i journalsystemet som strider mot reglerna

i patientdatalagen. En sådan brist är att användaren

redan i utgångsläget får se för mycket information

om patienten. I stället för att systemet bara indikerar

att det finns journaluppgifter om patienten även hos

andra vårdgivare så listas direkt vilka vårdgivare som

har uppgifter om patienten. Dessutom visas dessa

uppgifter innan man fått patientens medgivande att ta

del av uppgifterna.

Datainspektionen är även kritisk till hur patienten

ges möjlighet att samtycka till att journaluppgifterna

lämnas ut. Ger patienten sitt samtycke blir alla

uppgifter hos alla vårdgivare som har uppgifter om

patienten tillgängliga, oavsett om uppgifterna behövs

för den aktuella vårdprocessen. Detta gäller alla

uppgifter som patienten inte själv aktivt spärrat.

Forskningsprojekt dåliga

på att informera

I december 2012 är Datainspektionen klar med en

stor undersökning av forskningsprojekt. Totalt har

närmare 50 projekt granskats hos ett 20-tal universitet,

högskolor och myndigheter. I samtliga projekt

registreras känsliga personuppgifter, i de flesta fall

uppgifter om hälsa. Det som undersökts är bland annat

hur man informerar deltagarna i forskningsprojekt

om hur deras personuppgifter kommer att hanteras

och hur man får deltagarnas

medgivande att registrera

dessa uppgifter. Granskningen

visar att det finns brister i hur

man informerar de personer

vars uppgifter registreras.

Hur pass bra man informerar

kan dessutom variera inom

en och samma högskola eller

universitet.

50 Integritetsåret 2012 – Datainspektionen


Kritik mot KBT-behandlingar

på Internet

Datainspektionen granskar ett företag och tre

vårdgivare som erbjuder KBT-behandlingar via

Internet. Behandlingarna rör exempelvis ångest och

oro, stresshantering och depression.

Myndigheten identifierar en del brister. De

som deltar i behandlingarna kan logga in med

användarnamn och lösenord vilket inte ger tillräckligt

hög säkerhet när man ska komma åt känsliga personuppgifter.

Kontrollen av vilken personal som tar del

av patienternas uppgifter saknas eller är bristfällig

och patienterna blir inte tillräckligt informerade om

deras rättigheter att ta del av sina uppgifter eller att få

uppgifter rättade.

– KBT-behandling via Internet gör det möjligt för

patienter att snabbt få tillgång till behandling, vilket

är positivt. Men man får inte glömma att det i den

här typen av system lagras känsliga uppgifter om

patienterna. Då är det viktigt att alla säkerhetsåtgärder

är på plats och fungerar, säger Ingela Alverfors som lett

granskningarna.

Sjuksköterska dömd

för dataintrång

En sjuksköterska döms av Alingsås tingsrätt till 21 600

kronor i böter för dataintrång. Enligt Göteborgs-

Posten var upprinnelsen till dataintrånget att kvinnans

styvdotter tagit en kreditupplysning på kvinnan och

sett att sjuksköterskan hade stora skulder. Sjuksköterskan

ska därefter vid tio olika tillfällen läst sin

styvdotters elektroniska patientjournal och hotat

att avslöja uppgifter från journalen. Det gjorde att

styvdottern kontaktade polisen. Förutom dagsböter ska

sjuksköterskan betala 5 000 kronor till styvdottern.

Integritetsåret 2012 – Datainspektionen

51


tionen att kommunen

ska redogöra för vilka

åtgärder som vidtagits för

att göra sin användning av

molntjänsten laglig.

n Ett försäkringsbolag vill

införa en bilförsäkring som

bygger på att försäkringstagaren

betalar en premie

som beräknas utifrån hur

bilen körs. Uppgifterna

som försäkringsbolaget får

tillgång till gör det möjligt

att se om bilen har körts

för fort. I normala fall är

det endast myndigheter

som får registrera uppgifter

om brott, som exempelvis

fortkörningar. Försäkringsbolaget

har därför ansökt

om ett undantag som gör

det möjligt att registrera

den här typen av uppgifter i

systemet. Datainspektionen

beviljar bolaget undantag

bland annat på grund av att

det är frivilligt att teckna

försäkringen.

n Bevis som samlats

in från Facebook väger

allt tyngre i vårdnadstvister.

I en artikel i

Datainspektionens tidning

Integritet i fokus berättar

juristen Linda Bohlin att

bevis i form av texter och

bilder från sociala medier

numera förekommer i

hälften av de vårdnadstvister

hon arbetar med. I

Lagar, lagförslag

och myndighetsregister

Inför straff för att

motverka kränkningar

En utredning har på uppdrag av regeringen tagit

fram ett förslag till översyn av lagarna för tryck- och

yttrandefrihet. I slutet av december 2012 yttrar sig

Datainspektionen över förslaget och konstaterar att

det inte innehåller några bestämmelser som stärker

skyddet för enskildas integritet och privatliv på

webbplatser som är grundlagsskyddade. Webbplatser

som drivs av massmediebolag är grundlagsskyddade

men även andra webbplatser kan grundlagsskyddas

med så kallade utgivningsbevis.

Datainspektionen anser att det behövs en

generell straffbestämmelse som kriminaliserar grova

kränkningar och att det är viktigt att en utredning i

denna fråga snarast kommer till stånd.

– Vi kommer dagligen i kontakt med människor som

uppfattar att deras integritet kränks på Internet. En

generell straffbestämmelse skulle vara ett verktyg för

att stävja dessa kränkningar. Det ska inte spela någon

roll om allvarliga kränkningar av integriteten sker

innanför eller utanför det grundlagsskyddade området.

En sådan straffbestämmelse skulle bidra till att skapa

balans mellan yttrandefrihet och integritetsskydd,

säger Datainspektionens generaldirektör Göran

Gräslund.

Dåligt utrett förslag till ny lag om

händelseanalyser vid självmord

En utredning lägger fram ett förslag att en särskild lag

införs för så kallade händelseanalyser vid självmord.

52 Integritetsåret 2012 – Datainspektionen


Datainspektionen granskar förslaget och anser att det

ger utrymme för en omfattande hantering av känsliga

personuppgifter utan att behovet av detta är tillräckligt

utrett. Exempelvis möjliggör förslaget sammanställningar

av känsliga personuppgifter om nu levande

personer, utan att det förklaras varför och när det

skulle behövas.

– Det är angeläget att få till stånd ett så bra

självmordsförebyggande arbete som möjligt men

bristerna i utredningen gör att Datainspektionen inte

kan ställa sig bakom det, säger generaldirektör Göran

Gräslund.

Kritik mot att polisen får tillgång

till FRA:s signalspaning

I en promemoria föreslås att Säkerhetspolisen och

den öppna polisen, genom Rikskriminalpolisen, ska få

använda FRA:s signalspaning i försvarsunderrättelseverksamhet.

Datainspektionen granskar förslaget och

anser att det inte är tillräckligt utrett om den öppna

polisens behov av att använda FRA:s signalspaning

väger tyngre än intrånget i den personliga integriteten.

En sådan analys krävs enligt svensk grundlag.

– Vi utesluter inte att den öppna polisen har

tillräckliga skäl men det saknas en tillräckligt

djup och ingående analys som påvisar det, säger

Datainspektionens generaldirektör Göran Gräslund.

Oacceptabla brister i förslag

som ska stärka elevsekretess

En utredning har på uppdrag av regeringen tagit fram

ett förslag för hur sekretessen för elevuppgifter ska

stärkas. Datainspektionen granskar förslaget och

anser att det stärker sekretessen för personuppgifter

som registreras i samband med åtgärdsprogram,

Integritetsåret 2012 – Datainspektionen

53


vissa fall utgör sådana bevis

själva huvudbevisningen i

tvisten.

n I januari 2010 fotograferade

Google svenska

städer inför lanseringen av

bildtjänsten Google Street

View i Sverige. Det visade

sig sedan att företaget även

”tjuvlyssnat” på trådlösa

nätverk och snappat upp

och lagrat trafik från dessa.

I maj samma år godkände

Datainspektionen att

Google kunde radera dessa

uppgifter. I juni året efter

kom en bekräftelse att data

raderats. Det har dock visat

sig att data funnits kvar

på säkerhetskopior och

först den 10 oktober 2012

meddelar ett oberoende

raderingsföretag att alla

data verkligen raderats.

n Datainspektionen

granskar ett par

olika bankers appar.

Myndigheten anser att

sättet som bankerna

använder för att identifiera

kunden (personnummer

plus pinkod) är för osäkert

och vill att bankerna inför

säkrare sätt för kunderna

att logga in.

n I mitten av oktober

går samtliga EU:s

dataskyddsmyndigheter

samman och riktar kritik

individuella utvecklingsplaner och andra särskilt

elevstödjande verksamheter. Myndigheten är dock

kritisk till att förslaget inte innehåller några sekretessbestämmelser

för känsliga personuppgifter inom

skolväsendet i övrigt.

– Vår erfarenhet pekar på att det i skolorna

förekommer en mängd uppgifter om elevers personliga

förhållanden som är av mycket integritetskänslig natur

och som hamnar utanför den särskilt elevstödjande

verksamheten. Inom undervisningen dokumenteras

mer och mer uppgifter om elevernas personliga åsikter,

tankar och förmågor. Att sådana uppgifter saknar

sekretesskydd är oacceptabelt, säger Göran Gräslund.

Kritik mot mer registrering

av arbetssökande

En utredning har tagit fram ett lagförslag som gör

det möjligt för Arbetsförmedlingen att registrera

uppgifter om vilka aktiviteter som arbetslösa vidtar för

att få jobb. Tanken är att den sökande själv ska fylla i

uppgifter, bland annat i fritextfält.

– Fritextsfält är alltid förenat med risker som

att onödigt mycket och känsliga personuppgifter

skrivs in, och därmed sparas för lång tid framöver

och blir tillgängliga för många personer, säger

Datainspektionens generaldirektör Göran Gräslund.

Datainspektionen kan inte ställa sig bakom förslaget

eftersom det inte redogör för hur Arbetsförmedlingen

ska minimera mängden känsliga personuppgifter som

kan komma att registreras i fritextfälten.

Datainspektionen konstaterar även i sitt yttrande

att det under relativt kort tid föreslagits flera ändringar

i Arbetsförmedlingens registerlag som har försvagat

skyddet för den personliga integriteten. Kravet att

arbetssökande måste ge sitt medgivande för att vissa

uppgifter ska registreras har tagits bort. Handläggarna

får göra bredare sökningar i förmedlingens databaser

54 Integritetsåret 2012 – Datainspektionen


och uppgifter om lagöverträdelser och andra känsliga

personuppgifter får registreras.

Nej till CSN:s hälsostatistik

Enligt ett förslag ska CSN kunna sammanställa

statistik över studenters hälsa. Datainspektionen

är kritisk till förslaget och anser att det är så

knapphändigt formulerat att det är svårt att utläsa

varför hälsostatistik måste föras på individnivå.

Datainspektionen riktar även kritik mot att

förslaget innebär att personuppgifter om enskildas

hälsotillstånd får behandlas för det vitt formulerade

ändamålet att framställa statistik över studiestöd.

Inspektionen saknar dessutom en närmare bedömning

av hur de som finns registrerade hos CSN ska

informeras om att deras känsliga uppgifter kommer att

användas för att framställa statistik.

Lättare kameraövervaka tunnelbanan

En utredning har på uppdrag av regeringen tagit fram ett förslag till ny kameraövervakningslag

som ska samla alla bestämmelser om kameraövervakning som

idag finns i två olika lagar, nämligen lagen om allmän kameraövervakning och

personuppgiftslagen. Datainspektionen

yttrade sig om förslaget

under 2010 och yttrar sig i april 2012

över ett kompletterande underlag.

Myndigheten är kritisk till att kameraövervakning

ska kunna införas i

parkeringshus utan tillstånd, däremot

delar Datainspektionen utredningens

mening att det ska kunna bli lättare

En utredning föreslår att det ska

att kameraövervaka i tunnelbanan

bli lättare att kameraövervaka

eftersom människor ofta kan känna sig tunnelbanan eftersom människor

mer utsatta där än på andra platser.

kan känna sig mer utsatta där .

Integritetsåret 2012 – Datainspektionen

55


mot Google, bland annat

för att företaget inte

tillräckligt informerar

användarna om hur deras

uppgifter kommer att

användas och inte ger

användarna möjlighet att

kontrollera hur uppgifter

från företagets olika

tjänster samkörs. Det är

första gången som alla

dataskyddsmyndigheter i

Europa går samman på det

här sättet.

n Ett företag som i dag

registrerar klotter för flera

uppdragsgivares räkning

vill sammanställa dessa

uppgifter i en central

databas för att underlätta

skadeståndsanspråk.

Lagstiftarens tanke att

andra än myndigheter

bara i undantagsfall ska få

hantera sådana uppgifter,

vilket gör att Datainspektionen

säger nej till

databasen.

n Den 18 oktober är

Datainspektionen klar

med sin granskning av

Folkpartiet. Partiet lever

inte upp till lagens krav när

det gäller hur användare

kommer åt personuppgifter

i partiets centrala medlemsregister.

Samma brist

upptäcktes även hos andra

granskade riksdagspartier.

Skarp kritik mot förordning för

befolkningsbaserad forskning

Ett förslag till förordning har lagts fram av regeringen

för att göra omfattande befolkningsbaserad forskning

som exempelvis LifeGene möjlig. Datainspektionen

granskar förslaget och riktar i ett yttrande skarp kritik

mot det.

Myndigheten är framför allt

kritisk till att det är en förordning,

som kan beslutas av regeringen,

och inte ett lagförslag, som måste

beslutas i riksdagen.

– Det är riksdagens uttalade

ambition att myndighetsregister

med ett stort antal registrerade

personer och ett särskilt känsligt

innehåll ska regleras i lag. Därför

bör det tillsättas en statlig utredning

som tar fram ett noga genomtänkt

och övervägt förslag till hur

denna typ av befolkningsbaserad

forskning ska få stöd i lagen, säger

Data inspektionens chefsjurist

Hans-Olof Lindblom.

Detta är Lifegene

Fakta

Lifegene startade 2010 och är tänkt att vara den största

och mest långsiktiga befolkningsstudie som någonsin

genomförts i Sverige. Planen är att en halv miljon

människor i åldrarna 0–45 år ska finnas med i studien.

Deltagarna ska följas under många år med regelbundna

webbenkäter, hälsokontroller och deras blod- och

urinprover ska sparas i en biobank. Strax före jul 2011

sätter Datainspektionen stopp för projektet efter att ha

inspekterat det. Ändamålet med Lifegene är ”framtida

forskning” vilket Datainspektionen anser är för otydligt.

56 Integritetsåret 2012 – Datainspektionen


Brister i förslag till nytt huliganregister

I mars 2011 tillsatte regeringen en

nationell samordnare med uppdrag

att lämna förslag på hur man kan

motverka brottsligheten i samband

med idrottsarrangemang. I

april 2012 lämnade utredaren

över betänkandet ”Mindre

våld för pengarna” till

regeringen.

Datainspektionen har

granskat betänkandet och

är positiv till förslaget att

Riksidrottsförbundet tillåts

upprätta ett centralt register

över personer med tillträdesförbud.

– Det finns alltid risk att

uppgifter i den här typen av

känsliga register kommer i

orätta händer. Utredningens

ambition att skyddet för

den personliga integriteten

Integritetsåret 2012 – Datainspektionen

ska ligga på en hög nivå är därför

lovvärd. Men förslaget innehåller

ett antal brister och oklarheter

som måste åtgärdas innan registret

kan bli verklighet, säger

Datainspektionens generaldirektör

Göran Gräslund.

I sitt yttrande listar

myndigheten flera

otydligheter: beskrivningen

av ändamålen i lagtexten

motsvarar inte de syften

som man vill uppnå med

det centrala registret, vilka

uppgifter som registret ska

innehålla måste preciseras

och man behöver närmare

analysera i vilka situationer

specialidrottsförbund

och idrottsarrangörer ska

få tillgång till de olika

uppgifterna.

57


n I april riktade

Datainspektionen kritik

mot brister i Akademiska

sjukhusets IT-system som

gjorde det omöjligt att

kontrollera om läkare

missbrukar sin möjlighet

att läsa patientjournaler.

I oktober konstaterar

Datainspektionen att

bristerna har åtgärdats eller

är på väg att åtgärdas.

n Barnkliniken vid Ystads

lasarett spelar in alla

inkommande samtal och

sparar dessa i minst tre år.

Kliniken kan inte tillräckligt

motivera inspelningarna,

konstaterar Datainspektionen.

November

n Datainspektionen

undersöker det elektroniska

informationsflöde som nu

utvecklas i rättsväsendet. I

en rapport som publiceras

den 15 november beskriver

myndigheten flödet och

identifierar brister i skyddet

av de personuppgifter som

skickas mellan de olika

myndigheterna.

n Ett elbolag har

tillsammans med sitt

inkassobolag debiterat

närmare 3 000 kunder

dubbla inkasso-

Utblick Europa

EU-kommissionen vill stärka

skyddet på nätet

Den europeiska kommissionen presenterar i januari

2012 en omfattande reformering av EU:s regler om

dataskydd med syftet att stärka integritetsskyddet

på Internet. ”Tekniska framsteg och globaliseringen

har i grunden förändrat hur våra data samlas in

och används. Dessutom har EU:s 27 medlemsstater

genomfört reglerna från 1995 på olika sätt, vilket

resulterar i skillnader i tillämpningen”, säger kommissionen.

EU-kommissionen föreslår att en enda lag införs

som kommer att gälla lika i alla EU-länder för att på så

sätt ”göra sig av med den nuvarande fragmenteringen

och kostsamma administrativa bördor”.

Datainspektionen är positiv till många av de tankar

som uttrycks i förslaget. De som är ansvariga för att

personuppgifter samlas in och hanteras kommer

på ett tydligare sätt behöva visa att de lever upp till

dataskyddsreglerna. Riskfylld behandling av personuppgifter

måste föregås av noggranna analyser av vilka

konsekvenserna blir för den personliga integriteten.

Riskfylld behandling kan till exempel vara storskaliga

register som innehåller genetiska eller biometriska

uppgifter, eller uppgifter om barn. När nya IT-system

designas måste man bygga in integritetsskydd redan

från början. Det ställs också strängare krav på hur man

informerar dem vars personuppgifter man samlar in.

– Samtidigt finns det delar i förslaget som är

svåra att tillämpa i praktiken eller som riskerar att

leda till ett sämre skydd i vissa situationer, varnar

Datainspektionens generaldirektör Göran Gräslund.

I Sverige finns idag ett stort antal speciallagar,

registerförfattningar, som bland annat reglerar hur

58 Integritetsåret 2012 – Datainspektionen


myndigheter får hantera personuppgifter. EU-kommis-

sionens förslag gör det svårt att ha sådana särskilda

regler i nationell lagstiftning.

– På så sätt kan kommissionens förslag, tvärtemot

vad som är avsett, riskera att leda till ett försvagat

integritetsskydd i Sverige.

I Sverige får man idag publicera personuppgifter i

löpande text på exempelvis en webbsida, så länge man

inte kränker enskildas personliga integritet. Kommissionens

förslag ser inte ut att ta hänsyn till sådan

publicering av personuppgifter.

– För att regleringen ska bli effektiv och vinna

acceptans bland medborgarna behövs det även

fortsättningsvis förenklade regler för den här typen av

vardaglig publicering av personuppgifter, säger Göran

Gräslund.

Kommissionen vill använda

asylsökandes fingeravtryck

I september riktar den europeiska datatillsynsmannen

(EDPS) kritik mot ett nytt förslag för hur den så kallade

Eurodac-databasen ska få användas. Eurodac är en

databas som innehåller fingeravtryck från alla personer

över 14 år som sökt asyl i någon av EU:s medlemsstater

eller i Island, Norge eller Schweiz. Databasen ska

Integritetsåret 2012 – Datainspektionen

59


kostnader. Tack vare

Datainspektionens

granskning har elbolaget

nu börjat ersätta de

drabbade kunderna.

n För två år sedan

riktade Datainspektionen

skarp kritik mot ett antal

inkassobolag för att deras

inkassokrav som rör tele-,

TV- och Internetavgifter

var för otydliga. Nu har

myndigheten gjort en

uppföljande granskning

som visar att bristerna till

stor del kvarstår.

n Datainspektionen

granskar polismyndigheterna

i Jämtland

och Västmanland och

konstaterar att det finns

brister i hur personuppgifter

hanteras i

kriminalunderrättelseverksamheten.

”Att samma fel

påträffas hos flera olika

polismyndigheter tyder

på att det kan finnas ett

metodfel hos polisen”,

säger Nicklas Hjertonsson

som lett granskningen.

n I slutet av november

överklagar Datainspektionen

förvaltningsrättens

förhindra så kallad asylshopping, vilket innebär att en

asylsökande tar sig in i EU via ett land men sedan söker

asyl i ett annat land. EU-kommissionen har nu lagt

fram ett förslag att brottsutredande myndigheter ska

få leta efter fingeravtryck i databasen. Den europeiska

datatillsynsmannen menar att databasen förvisso

skulle kunna vara ett användbart verktyg för att

bekämpa brott men att förslaget innebär ”ett allvarligt

intrång i rättigheterna för en utsatt grupp människor

som är i behov av skydd”. EDPS vill att kommissionen

lägger fram bevis och pålitlig statistik som visar på

behovet av att förslaget genomförs.

EU-direktiv ska stärka skyddet

av personuppgifter hos polisen

EU-kommissionen lägger fram ett förslag till direktiv

som ska stärka skyddet av personuppgifter som

hanteras av polisen och andra brottsbekämpande

myndigheter. Direktivet reglerar all hantering av

personuppgifter hos polisen, både sådana uppgifter

som utbyts mellan polismyndigheter i olika EU-länder

och uppgifter som hanteras inom det egna landet.

Datainspektionen välkomnar förslaget men betonar

i sitt yttrande att de nya reglerna inte får innebära att

en medlemsstat som redan idag har en hög skyddsnivå

tvingas att sänka sin nivå.

Myndigheten pekar ut ett antal punkter som bör

förtydligas i direktivet. Bland annat kan det som

räknas som brottsbekämpande verksamheter skilja

sig åt mellan olika medlemsstater. Direktivet bör

även tydligare klargöra vad som gäller när privata

aktörer hanterar uppgifter för brottsbekämpande

myndigheters räkning. Förslaget bör kompletteras

med bestämmelser som anger att personuppgifter

som behöver bevaras för arkivering inte ska finnas

tillgängliga i den operativa verksamheten under

obegränsad tid.

60 Integritetsåret 2012 – Datainspektionen


Appar, övervakade bilar och

andra nya tekniker

Ett av Datainspektionens uppdrag är att följa och

beskriva utvecklingen på IT-området när det gäller

frågor som rör integritet och ny teknik. Här följer några

exempel på teknik- och samhällsutveckling under 2012.

Bankernas appar måste bli säkrare

Datainspektionen granskar ett par olika bankers appar.

Myndigheten anser att sättet som bankerna använder

för att identifiera kunden (personnummer plus pinkod)

är för osäkert och vill att bankerna inför säkrare sätt

för kunderna att logga in.

– Via bankernas appar går det att se lån, betalningar

och andra transaktioner som genomförts på en kunds

konton. Det gör det möjligt att kartlägga personens

förehavanden i detalj, säger Adolf Slama som är

IT-säkerhetsspecialist på Datainspektionen.

Datainspektionen har uppmanat bankerna att

redovisa hur de ska införa säkrare inloggningar i

sina appar. De tre banker som undersökts är Nordea,

Handelsbanken och Danske bank.

– Besluten för dessa banker är vägledande även

för övriga banker. Vår förhoppning är resultatet från

vår granskning kommer att mynna ut i en form av

branschstandard som höjer säkerheten i samtliga

bankers appar, säger Adolf Slama.

Försäkringsbolag

vill övervaka hur du kör

Försäkringsbolaget Folksam vill införa en bilförsäkring

som bygger på att försäkringstagaren betalar en

premie som beräknas utifrån hur bilen körs. För att det

ska vara möjligt måste speciell utrustning installeras

Integritetsåret 2012 – Datainspektionen

61


dom i ett mål som rör

hur ett kreditupplysningsföretag

lämnar ut

kreditupplysningar utan

att skicka kopior till de

personer som upplysningarna

gäller.

December

n Den 10 december är

Datainspektionen klar med

en stor undersökning av

forskningsprojekt. Totalt

har närmare 50 projekt

granskats hos ett 20-tal

universitet, högskolor och

myndigheter. Granskningen

visar att det finns brister

i hur man informerar de

personer vars uppgifter

registreras. Hur pass

bra man informerar kan

dessutom variera inom en

och samma högskola eller

universitet.

n Datainspektionen

granskar KBT-behandlingar

på nätet och riktar kritik

mot bland annat för

låg säkerhet, bristande

information till de som

deltar och för dålig kontroll

av vilka som tar del av

patienternas uppgifter.

n Polisen i Uppsala

får skarp kritik av

Datainspektionen efter

att ha publicerat bilder

i bilen. Utrustningen består av en GPS-mottagare och

en mobiltelefon. GPS-mottagaren mäter kontinuerligt

var bilen befinner sig. Bilens position jämförs med

en vägdatabas som innehåller uppgifter om vilken

hastighetsbegränsning som gäller på Sveriges vägar.

Bilens hastighet jämförs med den gällande hastighetsbegränsningen.

Via mobiltelefonen i utrustningen

rapporteras uppgifterna till försäkringsbolaget.

Uppgifterna som försäkringsbolaget får tillgång

till gör det möjligt att se om bilen har körts för fort.

I normala fall är det endast myndigheter som får

registrera uppgifter om brott, som exempelvis fortkörningar.

Försäkringsbolaget har därför ansökt om ett

undantag som gör det möjligt för bolaget att registrera

den här typen av uppgifter i systemet.

I oktober beviljar Datainspektionen Folksams

ansökan att få registrera personuppgifter som kan röra

brott (i det här fallet fortkörningar).

– Avgörande faktorer i vår bedömning är att det

är frivilligt att använda det här försäkringsupplägget

och att bolaget inte får använda uppgifterna till något

annat än att beräkna försäkringspremien, säger Martin

Brinnen, jurist på Datainspektionen.

Granskning av hur socialnämnder

använder surfplattor

Det blir allt vanligare att kommunala nämnder digitaliserar

sin pappershantering för att komma ifrån

stora mängder pappersutskick, bland annat inför

nämnd- och utskottssammanträden. De digitala

handlingarna kan läsas och hanteras via surfplattor

som Ipad. ”Kommer en surfplatta i orätta händer kan

potentiellt känsliga personuppgifter spridas snabbt och

okontrollerat. Därför är det viktigt att informationen

på surfplattorna är tillräckligt skyddad”, säger Ingela

Alverfors som leder det projekt som Datainspektionen

drar igång i april 2012.

62 Integritetsåret 2012 – Datainspektionen


Bilägare måste informeras om riktad reklam

som visas i parkeringsgarage

Ett företag har tagit

fram en lösning för

att visa riktad reklam

i parkeringsgarage.

Systemet läser av

bilarnas registreringsskyltar

när de åker in i

garaget. Med hjälp av

bilregistrets uppgifter

om bilmodell och

bostadsort samt

Ny teknik gör det möjligt att visa riktad reklam till

statistik från SCB om bilister . Vilken reklam som visas avgörs av bland annat

bland annat åldersför- bilmodell och var bilägaren bor .

delning och inkomst

för bostadsområdet, visas riktad bilförarna om att deras uppgifter

reklam på ljusskyltar lite längre in registreras och används för att visa

i garaget. Uppgifterna i systemet riktad reklam i garaget. Datainspek-

används även för statistik över

tionen förelägger därför företaget att

besöksfrekvens och återbesök.

se till att sådan information lämnas.

Datainspektionen har granskat Den informationen kan till exempel

systemet och konstaterar att sättet finnas på skyltar i garaget med en

som personuppgifter hanteras är kortfattad text samt hänvisning till

tillåtet enligt personuppgiftslagen. ytterligare information på företagets

Däremot saknas information till webbplats.

Integritetsåret 2012 – Datainspektionen

63


på en oskyldig person på

Internet och låtit bilderna

på honom ligga kvar i mer

än ett halvår efter det att

förundersökningen lades

ned.

n Den 18 december

publicerar Datainspektionen

en checklista för

hur skolor bör hantera

skyddade personuppgifter.

Till grund för checklistan

ligger en granskning av

hur kommuner hanterar

skyddade personuppgifter

inom skolan.

n Sveriges Radios

populära radioprogram

Ring P1 har en hemlig

databas över de lyssnare

som ringt till programmet,

avslöjar Dagens Nyheter.

Databasen ska ha funnits i

flera år och de som ringer

får inte reda på att de

registreras.

n En utredning har på

uppdrag av regeringen

tagit fram ett förslag

till översyn av lagarna

för tryck- och yttrandefrihet.

Datainspektionen

kommenterar förslaget och

anser att det bör införas

Myndigheten ska undersöka socialnämnder i

Gislaved, Järfälla, Norrköping och Halmstad. Bland

frågorna som ska besvaras finns: kan de förtroendevalda

använda egna, privat inköpta, surfplattor,

har nämnden infört förbud eller begränsningar för

privat användning eller hinder mot att ladda ner

eller installera vissa appar, finns det någon central

spärrfunktion eller distansradering, innehåller

surfplattorna sekretessbelagd information eller

dokument som innehåller känsliga eller integritetskänsliga

personuppgifter. Projektet ska vara slutfört

under våren 2013.

Svensk rädsla för hur

personuppgifter hanteras

Post- och Telestyrelsen, PTS, undersöker tillsammans

med TNS Sifo hur svenska konsumenter ser på

Internetsäkerhet. Merparten av de tusen personer som

intervjuats uppger att det finns risker med att använda

Internet. Den största risken anses vara att personuppgifter

hamnar i orätta händer. Var femte har under

det senaste året också valt att avsluta, eller inte börja

använda, en tjänst på grund av hur tjänsten använder

personuppgifter.

Drygt hälften av de tillfrågade anser att det är bra

med en tjänst som innebär att man kan positionera

sig själv. Däremot är uppfattningen mindre positiv till

möjligheten att positionera eller själv bli positionerad

av vänner/familjemedlemmar. 37 procent tycker inte

att det är bra att kunna positionera sina nära och kära

och 44 procent vill inte själva bli positionerade.

Läs undersökningen här: http://bit.ly/wxjBAH

64 Integritetsåret 2012 – Datainspektionen


Företag som använder

molntjänst åtgärdar brister

I september 2011 konstaterade Datainspektionen att

flera granskade organisationer bröt mot personuppgiftslagen

i sitt sätt att använda molntjänster.

Myndigheten riktade bland annat

kritik mot bristande avtal och att

företagen inte vet vilka underleverantörer

som hanterar deras personuppgifter.

Ett av de företag som granskades var Brevo.

Företaget har under 2012 redovisat en rad åtgärder som

vidtagits och i september meddelar Datainspektionen

att företaget åtgärdat de brister som identifierades vid

myndighetens inspektion.

Kommun ska redovisa åtgärder

I samma granskning av molntjänster riktade Datainspektionen

kritik mot hur Salems kommun använder en tjänst

från Google. I oktober 2012 begär Datainspektionen att

kommunstyrelsen ska redogöra för vilka åtgärder som

vidtagits sedan granskningen. Kommunstyrelsen ska

också redogöra för om kommunen använder ytterligare

molntjänster och vilka dessa i så fall är.

Integritetsåret 2012 – Datainspektionen

65


en straffbestämmelse

för att motverka grova

kränkningar på bland annat

Internet.

n Polisen kallas in efter ett

upplopp vid ett gymnasium

i Göteborg där hundratals

ungdomar samlats för att

få tag på den person som

enligt rykten hängt ut

tjejer på fotodelningssajten

Instagram.

Nyhetsbrev

Fortsätt att följa vad

som händer på integritetsområdet.

Beställ en

prenumeration på vårt

nyhetsbrev på www.

datainspektionen.se

Ny vägledning ska ge

bättre integritetsskydd

I slutet av januari 2012 presenterar Datainspektionens

IT-säkerhetsspecialister en vägledning för ”privacy by

design”, det vill säga för hur IT-system bör utformas

för att redan från början uppfylla kraven i personuppgiftslagen.

Personuppgiftslagen bygger på ett par

grundläggande principer: man ska inte samla in mer

information än vad som behövs, inte ha kvar informationen

längre än man behöver och inte använda den till

något annat än vad man samlade in den för.

– Få IT-system tar hänsyn till de här principerna.

Därför har vi tagit fram den här vägledningen.

Genom att göra rätt redan från början kan man

göra stora kostnadsbesparingar eftersom man då

inte behöver bygga till

integritetsskyddande

funktioner i efterhand,

säger Datainspektionens

IT-säkerhetsspecialist

Mikael Ejner.

Vägledningen kan

kostnadsfritt hämtas som

pdf-dokument på myndighetens

webbplats.

66 Integritetsåret 2012 – Datainspektionen


Vill du veta mer om

integritetsfrågor?

På Datainspektionens webbplats www.datainspektionen.se

kan du läsa mer om integritetsfrågor och

ladda ner eller beställa informationsmaterial. Där kan

du också anmäla att du vill få våra pressmeddelanden

på mejl eller teckna en kostnadsfri prenumeration på

vår tidning Integritet i fokus.

Anmäl dig till en kurs

Datainspektionen anordnar regelbundet grundkurser i

personuppgiftslagen. Där får du en allmän genomgång

av personuppgiftslagen och hur den tillämpas. Vi

anordnar också specialanpassade kurser som vänder

sig till olika branscher.

Läs mer om aktuella kurser på www.datainspektionen.se/utbildning.

Integritetsåret 2012 – Datainspektionen

67


Datainspektionen

Datainspektionen är en myndighet som arbetar för att behandlingen

av personuppgifter i samhället inte ska medföra otillbörliga intrång i

enskilda människors personliga integritet. Ansvarsområdet omfattar

framförallt personuppgiftslagen, inkassolagen och kreditupplysningslagen.

Datainspektionen gör inspektioner och hanterar klagomål från enskilda

medborgare samt tar fram vägledningar och ger synpunkter på utredningar

och lagförslag. Datainspektionen har också en omfattande informationsverksamhet,

vi utbildar, svarar på frågor och ger stöd till personuppgiftsombud.

Kontakta Datainspektionen

E-post: datainspektionen@datainspektionen.se Webb: www.datainspektionen.se

Tfn 08-657 61 00. Postadress: Datainspektionen, Box 8114, 104 20 Stockholm.

More magazines by this user
Similar magazines