Integritet i fokus nr 2-2011 - Datainspektionen

Datainspektionens tidning
nr 2/2011
Så ska Djurgården
stoppa huliganerna
Dold kameraövervakning
på skola i Västerås
Scientologikyrkan
bryter mot lagen
Miljonvite för kreditupplysningsföretag
Nu med korsord!

Integritet i fokus
produceras av Data inspektionen
Box 8114, 104 20 Stockholm
Tfn 08-657 61 00 (växel)
www.datainspektionen.se
Ansvarig utgivare
Göran Gräslund
Redaktör
Per Lövgren
Formgivning
Fredrik Karlsson
Omslagsfoto
Derby mellan Djurgården och AIK
Foto: Janerik Henriksson/Scanpix
Tryck
Tryckt hos Intellecta infolog
i Solna på Arctic Volume
White papper. Miljömärkt
trycksak 341077. ISSN 2000-5857.
Kontakta redaktionen
Har du synpunkter, tips på artiklar
eller frågor om tidningen? Mejla till
redaktionen@datainspektionen.se.
Gratis prenumeration
En prenumeration på Integritet i
fokus är gratis. Lättast anmäler du
dig på vår webbplats. Integritet i
fokus kan även laddas ner i pdf-format
från vår webbplats. Tidningen
kommer ut fyra gånger per år.
Besök www.datainspektionen.se
På vår webbplats kan du läsa mer
om integritetsfrågor. Passa även på
att prenumerera på vårt nyhetsbrev
så får du pressmeddelanden
och annat aktuellt från Datainspektionen.
Rätt svar i korsordet på sidan 13 är
juridisk person.
SVeRIGe
P-vakt polisanmäler
bild på Facebook
En p-vakt har polisanmält att en man
har lagt ut en bild på henne på sin Facebooksida,
rapporterar Helsingborgs
Dagblad. Det hela började när p-vakten
lappade en bil vilket orsakade ”irritation”
hos bilägaren som fotograferade
när den kvinnliga p-vakten fäste
boten på bilen. En stund senare upptäckte
p-vakten att bilden var publicerad
på bilägarens Facebook-sida. P-vakten
har nu anmält händelsen som ett
brott mot personuppgiftslagen.
Turister spåras
med hjälp av GPS
Forskare vid Mittuniversitetet har utrustat
turister i Sverige med en liten
GPS-enhet som var tionde meter registrerar
var turisten befinner sig, rapporterar
nyhetsbyrån TT. På enheten
finns även tryckknappar som turisten
kan använda för att tala om att en viss
upplevelse var ”toppen” eller ”botten”.
I Åre upptäcktes en dittills okänd typ av
sommarturister. De rörde sig i princip
bara mellan hotellet och torget, där de
drack kaffe latte, för att sedan gå och
shoppa. GPS-spårningen
visade också att det
under skidskytte-VM i
Östersund fanns många
besökare i öltältet samtidigt
som det var medaljstrid
på upploppet.
Polisen faxar
känsliga handlingar fel
I Helsingborg har polisen faxat känsliga
uppgifter om ett hotat vittne till fel
mottagare, skriver Helsingborgs Dagblad.
Faxet skulle skickas till åklagarmyndigheten
men har i stället hamnat
hos ett företag. Handlingarna som
faxades var sekretessbelagda och innehöll
bland annat vittnets personuppgifter
och hemort. Enligt polisen beror
felfaxningen på den mänskliga faktorn.
Åklagarens faxnummer finns förprogrammerat
i faxmaskinen men vid
detta tillfälle slogs numret för hand och
fel nummer slogs. En månad senare fick
företaget ytterligare ett felaktigt skickat
fax som gällde en person som åtalats
för bland annat våld och hot mot
ordningsvakter. Denna gång kom faxet
från närpolisen i Helsingborg.
DNA på spray
ska stoppa tjuvar
I Stockholm ska upp till 300 butiker få
en ny typ av stöldskydd: DNA-spray.
När butikens larm går på grund av inbrott
eller rån aktiveras en sprinkler i taket
som sprayar brottslingarna med en
speciell DNA-spray. Sprayen är osynlig
i vanligt ljus men blir synlig under UVljus.
När vätskan sprutas på gärningsmannen
kan den inte tas bort från kläder
eller föremål som gärningsmannen
rört vid. På huden sitter sprayen kvar i
runt två veckor. Det fiffiga med sprayen
är att DNA-koden är unik för varje
butik vilket ska underlätta för polis och
åklagare att binda och fälla brottslingar
vid ett inbrott.
2 Integritet i fokus nr 2-2011 – Datainspektionen

OmVäRLDeN
Killar smygfotograferas
i tunnelbanan
Tube Crush är en engelsk webbsajt
som uppmanar resenärerna i Londons
tunnelbana att smygfotografera snygga
killar och skicka in bilderna till sajten
tubecrush.net där besökarna kan rösta
på och kommentera killarna på bilderna.
Sajten startades för att ”hylla killarna
på vårt ökända transportmedel”.
Sajten skriver: ser du en snygg kille så
fota honom diskret eller om du är modig
nog, be honom att posera. Skicka
sedan bilden samt uppgifter om tiden
då bilden togs och vilken tunnelbanelinje
du reste på. ”Det är roligt. Men
jag skulle bli förfärad om kvinnor objektifierades
på samma sätt”, säger den
26-åriga Londonbon Rachael Bishop till
den engelska upplagan av tidningen
Metro.
Lagring av uppgifter om
flygpassagerare kritiseras
EU-kommissionen har tagit fram ett
förslag för hur data om flygpassagerare
som reser till och från EU, så kallade
PNR (Passenger Name Records), ska
få användas. Kommissionen föreslår ett
enhetligt system som ska användas i
hela EU. Den så kallade Artikel 29-gruppen,
som består av dataskyddsmyndigheterna
i de olika EU-länderna, däribland
svenska Datainspektionen, är kritisk
till förslaget. Gruppen ifrågasätter
om en så omfattande registrering av
Integritet i fokus nr 2-2011 – Datainspektionen
uppgifter om resande verkligen behövs
och anser att man först bör utvärdera
de system som redan finns. Uppgifterna
om flygpassagerare ska användas
för att utreda ”allvarlig brottslighet”
men Artikel 29-gruppen vill ha en
tydligare precisering av vilka brott som
avses. I EU-kommissionens förslag står
att alla uppgifter i flygpassagerarsystemet
ska göras anonyma efter 30 dagar.
Artikel 29-gruppen påpekar dock att
det inte stämmer eftersom anonymiteten
ska kunna hävas om det behövs
för att utreda brottsmisstankar mot en
specifik person.
Iphone ”vinner”
storebrorpris
I Tyskland har organisationen Foebud
delat ut ”Big Brother Awards” för elfte
gången i ordningen. I år fick Facebook
pris för att ”systematiskt lägga näsan i
blöt hos människor och deras relationer,
bakom den vänliga fasaden på en
skenbart fri tjänst”. Även Apple ”vann”
en utmärkelse för sättet som det ”utpressar”
användarna att gå med på företagets
integritetspolicy. Enligt tysk
lagstiftning ska det vara frivilligt att acceptera
en integritetspolicy men om
man inte går med på Apples policy så
går Iphone enbart att använda för att
ringa med. Om man samtycker så får
Apple och dess partners tillgång till en
mängd data om användaren.
Foebud
påpekar att Applesintegritetspolicy
ingår i företagetsanvändarvillkor
som
består av upp
till 117 sidor
text när den
visas på en
Iphone.
100 000 euro i Streetviewböter
för Google
CNIL, som är Frankrikes motsvarighet
till Datainspektionen, har dömt Google
till 100 000 euro i böter för att ha samlat
in data från trådlösa nätverk i samband
med fotograferingen av gator
och torg för tjänsten Streetview. CNIL
har gjort flera inspektioner hos Google
och inspektionerna har avslöjat att
Googles fotograferingsbilar samlat in
data från trådlösa nätverk, data som
bland annat innehållit inloggningsuppgifter
och e-post. Googles miljonböter
är den högsta som CNIL har utdömt
sedan myndigheten år 2004 fick möjlighet
att bötfälla.
Resenärer spåras på
Köpenhamns flygplats
Brukar du ha trådlöst nätverk påslaget
på din mobiltelefon? Och är du på väg
till Köpenhamn? I så fall kommer du i
framtiden att kunna spåras när du går
runt på den danska flygplatsen. Där är
man nämligen i färd med att installera
ett system som automatiskt spårar mobiltelefoner
eller andra apparater som
har trådlöst nätverk aktiverat. Flygplatsen
ska använda informationen för att
styra flödet av passagerare, hantera bemanningen
av säkerhetskontroller och
liknande. Enligt företaget som utvecklat
lösningen har 20 procent av resenärerna
trådlöst nätverk aktiverat på sina
mobiltelefoner eller bärbara datorer.
Den andelen tros öka i takt med att fler
skaffar smarttelefoner.
3

Brister i skolornas
kameraövervakning
Datainspektionen har granskat
kameraövervakningen i skolor. Ofta
strider den mot reglerna i personuppgiftslagen
men det finns exempel då
övervakningen är befogad.
I oktober 2008 blev Datainspektionen klar
med en granskning av hur sju skolor kameraövervakar
sina elever. Granskningen visade
att i princip samtliga kameror stred mot reglerna
i personuppgiftslagen. Bara några få
kameror vid en av skolorna godkändes.
Nu har myndigheten granskat ytterligare
skolor och kan konstatera att det finns fortsatta
brister i den kameraövervakning av
eleverna som sker inomhus under dagtid.
– Men visst finns det exempel då övervakningen
är befogad, säger Ulrika Harnesk som
lett granskningarna.
John Bauer-gymnasiet i Stockholm var
en av skolorna i den senaste granskningen.
Gymnasiet har 900 elever och 85 anställda.
Skolornas 5 vanligaste misstag
FAKTA
En majoritet av de övervakningskameror som sitter i skolor uppfyller
inte reglerna i personuppgiftslagen. Här är de vanligaste orsakerna:
Skolan har inte dokumenterat incidenter innan kamerorna sattes
upp vilket gör det omöjligt att utvärdera om övervakningen ger
någon verklig effekt.
Skolan har inte först genomfört och utvärderat alternativa lösningar
för att komma åt problemen.
Kamerorna är riktade mot uppehållsrum, elevcaféer och liknande
där eleverna umgås.
Elever, föräldrar, personal och besökare är inte tydligt informerade
om kameraövervakningen.
Riktlinjer saknas för hur länge videomaterialet får sparas, vem som
får se det och i vilka situationer.
I skolan finns tio övervakningskameror inomhus.
Kamerorna är placerade i närheten
av ingångarna till skolan och är synliga.
Övervakningskamerorna är påslagna dygnet
runt och har rörelsestyrd inspelning.
Kamerorna spelar in men det går även att se
bilden från kamerorna i realtid på bildskärm.
Vidtog andra åtgärder först
Anledningen till att skolan satt upp kamerorna
är att identifiera obehöriga, motverka
stölder och förhindra utomstående att komma
in i skolan för att stjäla saker eller misshandla
elever. Enligt skolan togs beslut att sätta upp
kamerorna först efter att man genomfört en
rad andra åtgärder för att komma tillrätta
med problemen. Bland annat installerades
kodlås i entréerna, klassrummen låstes och
skåp för datorförvaring installerades i klassrum.
Skolan har även rastvakter.
I skolan finns det tre kameror som är riktade
mot skolans entrédörrar och som övervakar
de personer som går in och ut ur skolan.
Datainspektionen konstaterar att det finns
ett stort behov av att förhindra obehöriga att
ta sig in i skolan.
– När kamerorna, som i detta fall, riktas
mot entréerna och filmar eleverna under kort
tid när de går in och ut ur skolan, är övervakningen
rimlig i förhållande till skyddet av
elevernas personliga integritet.
De övriga övervakningskamerorna är däremot
riktade mot områden där eleverna umgås
socialt, som exempelvis i elevcaféet.
– Kameraövervakning av områden där
elever umgås och vistas längre tider är ett
avsevärt intrång i elevernas personliga integritet,
förklarar Ulrika Harnesk.
4 Integritet i fokus nr 2-2011 – Datainspektionen

I januari i år meddelade Kammarrätten i
Stockholm två domar rörande kameraövervakning
inomhus i skolor. Rätten anser att
kameraövervakning av lektionssalar, korridorer
och liknande utrymmen generellt sett
måste betraktas som ett intrång i elevers och
skolpersonals personliga integritet och att
övervakning av sådana platser därför i möjligaste
mån bör undvikas.
När det gäller de övervakningskameror
som är riktade mot ytor där elever umgås
har John Bauer-gymnasiet två alternativ:
antingen stänga av kamerorna under dagtid
eller rikta om dem så att de i stället övervakar
entréerna.
Dolda kameror övervakar elever
En annan skola som var med i den nyligen
genomförda granskningen är Bäckbyskolan i
Västerås. Skolan har 320 elever och närmare
50 anställda. I skolan finns nio övervakningskameror
inomhus. Övervakningskamerorna
är fasta, påslagna dygnet runt och har rörelsestyrd
inspelning. Kamerorna installerades
efter en period då det inträffat anlagda bränder
och brandlarm utlösta av elever.
Information om kameraövervakningen
lämnas genom skyltning vid entréerna. När
Datainspektionen inspekterade skolan fanns
dock inte skyltar vid samtliga entréer. Ingen
skriftlig eller muntlig information om övervakningen
ges till elever eller föräldrar.
Integritet i fokus nr 2-2011 – Datainspektionen
En av kamerorna är riktad mot en hall
med elevskåp. Syftet med kameran uppges
vara att förhindra elever att utlösa brandlarmet
genom att elda under branddetektorn.
Detektorn syns dock inte på bilderna från
övervakningskameran.
Två andra kameror är riktade mot elevskåp,
fyra toaletter samt en uppehållsyta med
bord och stolar. Precis som för John Bauergymnasiet
är Datainspektionens bedömning
att kameraövervakning av utrymmen där
elever umgås innebär ett avsevärt intrång i
elevernas personliga integritet. Bäckbyskolan
har dessutom inte redovisat att några alternativa
åtgärder har vidtagits och utvärderats
innan kamerorna sattes upp.
I två korridorer i skolan finns dolda kameror
uppsatta. Ingen skyltning om kameraövervakningen
förekommer i direkt anslutning
till korridorerna. Anledningen till de dolda
kamerorna uppges vara att få tag i den eller
de som sätter igång brandlarmen genom att
elda under branddetektorerna. Kamerornas
placering innebär dock att hela korridorerna
övervakas, inte bara branddetektorerna,
vilket medför att samtliga elever som vistas i
korridorerna kommer att övervakas.
– Att kamerorna är dolda är extra allvarligt.
Med dold kameraövervakning riskerar
en stor mängd ovetande personer att filmas.
Fotnot: De två skolorna som nämns i artikeln har överklagat Datainspektionens
beslut till förvaltningsrätten.
Kammarrätten
anser
att kameraövervakning
av
lektionssalar och
korridorer i möjligaste
mån bör
undvikas.
– Visst finns
det exempel då
kameraövervakningen
är befogad,
säger Ulrika
Harnesk som lett
granskningarna.
5

”Ersätt lagarna om datasky
Till vår ”digitala hemvist”, till dörren
som ska skydda våra personliga
avtryck på nätet, ger vi gärna
staten en nyckel, säger den danska
forskaren Rikke Frank Jörgensen.
Om den danska forskaren Rikke Frank
Jörgensen fick bestämma skulle vi
ersätta de nuvarande lagarna om dataskydd
och i stället arbeta förebyggande
i de sammanhang där människor löper
risk att kränkas.
– Om jag fick bestämma skulle jag ersätta
lagarna om dataskydd med något helt annat.
Vår tids lagar bygger på fina principer, men
regler som tar sikte på att någon annan har
uppgifter om dig i en databas och att de uppgifterna
måste skyddas på visst sätt – de utgår
från gårdagens tekniska verklighet. Idag
borde man fokusera på de sammanhang där
människor löper risk att kränkas och arbeta
förebyggande just där.
Det menar Rikke Frank Jörgensen, forskare
vid det danska institutet för mänskliga rättigheter,
en statligt finansierad institution
med ett hundratal anställda. Hon har i 15 år
arbetat med mänskliga rättigheter och informationsteknologi,
i Danmark, på europeisk
nivå och i FN:s regi.
Ser du något typiskt nordiskt i sättet att diskutera
och lagstifta skyddet av den personliga
integriteten?
– Vi har en ovanligt stark tilltro till staten.
Diskuterar vi ett projekt som ska ge effektivare
myndighetsservice eller öka möjligheterna
att fånga brottslingar så uppfattas
den personliga integriteten som ett svagt
motargument.
– Den norske juridikprofessorn Jon Bing
har sagt att människor skulle protestera högljutt
om staten krävde att få en extranyckel
till vår bostad för att, när den tycker sig ha
anledning, undersöka vad som fanns där. Men
till vår ”digitala hemvist”, till dörren som ska
skydda våra personliga avtryck på nätet, ger
6 Integritet i fokus nr 2-2011 – Datainspektionen

dd med något helt annat”
vi gärna staten en nyckel. Många människor
ser nog inte den där dörren eller vad den
skyddar.
Georg Apenes, tidigare chef för det norska
Datatilsynet, menar att den svåraste utmaningen
för skyddet av den personliga integriteten
handlar om hanteringen av genetisk information.
Vad tror du?
– Frågan är verkligen viktig. Hela det område
som kallas biometri utvecklas snabbt och
skapar integritetsproblem som är svåra att
hantera. Länge har det handlat om att A kunnat
utöva makt över B därför att det någonstans
har samlats data om B som A kunnat få
tillgång till. Kroppen var på ett ställe, data
på ett annat. Nu handlar det också om att
läsa kroppen direkt: mönster på fingrar eller
handflator, i ögon och så DNA. Det gäller inte
längre bara att hindra åtkomst till information
utan åtkomst till kroppen. Möjligheterna
att använda biometri i nya tekniska system är
otaliga och risken för kränkningar ökar.
Var går den principiella gränsen när det gäller
genetisk information? Kan man dra en gräns för
vad myndigheterna får, och inte får, undersöka?
– Svaret är nog att man måste ta proportionalitetsprincipen
på större allvar än man
gjort hittills. Staten får bara inkräkta på
människors personvärn om åtgärden framstår
som helt nödvändig för att ta tillvara ett
viktigt samhällsintresse och bara på det sätt
som innebär minsta möjliga ingrepp. Just genetisk
information borde betraktas som särskilt
känslig, och skyddas enligt de strängare
reglerna i europeisk och dansk lagstiftning
om hantering av personuppgifter.
I vilken utsträckning kan och bör man överlämna
makt åt medborgarna att själva kontrollera
användningen av de egna personuppgifterna?
Bara genom att titta på dig en stund när du går
runt i en matbutik skaffar jag kunskaper om hur
Integritet i fokus nr 2-2011 – Datainspektionen
du ser ut, hur du klär dig, hur du rör dig och vad
du köper. Är det realistiskt att jag sedan måste
be dig om lov varje gång jag säger något om dig
till en bekant?
– Nej, det skulle inte fungera. Men man kan
sätta gränser. Att du betraktar mig i snabbköpet
ska inte vara ett problem men att du följer
efter mig i en vecka och systematisk samlar
information om allt jag gör är inte okej. Att
ta bilder på mig och lägga ut dem på Facebook
utan mitt medgivande är inte heller okej.
Vad ska förbjudas? Att jag följer efter dig?
Fotograferandet? Eller spridandet av bilderna?
– Man måste analysera riskerna noga och
göra det utifrån bättre kunskap än vi har idag
om vad människor faktiskt finner känsligt.
Jag har haft många kontakter med unga
Facebook-användare och de har delvis annorlunda
uppfattningar i personvärnsfrågor.
De berättar ofta om vad de varit med om och
lägger gärna ut uppgifter om vilka vänner
de har, sådant som
många i en äldre
generation finner
känsligt. Viktigt
för de yngre tycks vara att de har kontroll
över vilken samlad bild av sig själva de presenterar
på nätet. De blir sura när Facebook
plötsligt ändrar policy och börjar använda
uppgifter om dem på ett nytt sätt. Unga
är generellt mer kompetenta ute på nätet.
Samtidigt är de ofta sämre informerade när
det gäller samhällets och arbetslivets sätt
att fungera. Det de exponerar av sig själva
på nätet är kanske inte känsligt i ögonen på
generationskamraterna men frågan är hur
informationen ter sig för äldre människor, till
exempel sådana som avgör om de ska få ett
jobb eller hyra en bostad.
Anders R Olsson
Det danska institutet
för mänskliga
rättigheter
är en statligt finansieradinstitution.
7

Kommer Djurgårdens regist
Datainspektionen har sagt ja till
Djurgårdens ansökan att få upprätta
ett register över huliganer för att
hindra dessa att komma in på klubbens
matcher.
Djurgården vill upprätta ett register med fotbollshuliganer
för att förhindra dessa från att
ta sig in på klubbens matcher. Fotbollsklubben
har ansökt hos Datainspektionen om undantag
från den regel i personuppgiftslagen som
säger att det i normala fall endast är myndigheter
som får hantera personuppgifter som
rör brott och misstänkta brott.
Datainspektionen har granskat Djur går-
Nej till svart lista för bensinföretagen
¥ Du kör in på bensinstationen för att
tanka. En speciell kamera zoomar in registreringsskylten
på din bil och tar en
bild. Kameran är en så kallad LPR-kamera
vilket står för license plate recognition.
Bilden tolkas maskinellt och registreringsnumret
skickas till en central databas
som innehåller uppgifter om fordon
som tidigare tankat utan att betala. Om
bilens registreringsnummer finns i databasen
så måste du förskottsbetala för att
få tanka. Om du tankar utan att betala
registreras registreringsnumret på din bil
av kameran och rapporteras till den centrala
databasen.
Ovanstående lösning har ett säkerhetsföretag
tagit fram tillsammans med företrädare
för bensinbranschen. Orsaken
dens förslag och beviljar det undantag som
behövs för att klubben ska kunna upprätta
registret.
– Huliganism och kriminalitet kring och på
fotbollsarenorna är ett stort problem, vilket
inte minst den senare tidens incidenter visat,
säger Datainspektionens generaldirektör
Göran Gräslund. Det är viktigt att publiken
känner sig trygg på matcherna. Dessutom
innebär de här problemen stora kostnader för
samhället.
Särskild lagstiftning
Redan under 2007 fick Datainspektionen frågor
från Föreningen Svensk Elitfotboll, som är
är att obetalda tankningar kostar ägarna
till bensinstationerna stora summor. Enligt
branschorganisationen Svensk Bensinhandel
sker varje år 100 000 obetalda
tankningar till en kostnad av 50 miljoner
kronor.
Att tanka utan att betala är ett brott.
Enligt personuppgiftslagen är det i normala
fall endast myndigheter som får
8 Integritet i fokus nr 2-2011 – Datainspektionen

er att stoppa huliganerna?
en intresseorganisation för fotbollsklubbarna
i Allsvenskan och Superettan. Frågorna gällde
möjligheten att spara och sprida uppgifter
om avstängda supportrar för att hindra dessa
att ta sig in på evenemang. Datainspektionen
påpekade då att den bästa lösningen vore att
klubbarnas möjligheter att få upprätta register
över huliganer regleras i särskild lagstiftning.
Det talade Datainspektionen även om
för regeringen och dess utredare i den då pågående
utredningen om ordningsstörningar i
samband med idrottsarrangemang.
Under 2009 ställde Djurgårdens IF frågor
till Datainspektionen om möjligheten
att hantera personuppgifter för avstängda
hantera personuppgifter som rör brott
och misstänkta brott. Säkerhetsföretaget
har vänt sig till Datainspektionen och an-
Integritet i fokus nr 2-2011 – Datainspektionen
supportrar. Datainspektionen svarade att
klubben måste ansöka om undantag från personuppgiftslagen
vilket Djurgården nu alltså
gjort.
Omfattar få personer
Det finns flera faktorer som bidragit till att
Datainspektionen beviljar undantag. En viktig
faktor är att registret sannolikt kommer
att omfatta relativt få personer. I sin ansökan
uppger Djurgården Fotboll att klubben under
2009 och 2010 haft 34 ärenden som rört
avstängning av supportrar. En annan viktig
faktor är att det endast är ett fåtal personer
som kommer att kunna komma åt uppgif-
sökt om undantag från den regeln för att
kunna lagra uppgifter om obetalda tankningar
i sin databas.
Bensinföretagens lösning innebär en
omfattande registrering och hantering av
personuppgifter. Datainspektionens bedömning
är att problemet med obetalda
tankningar skulle kunna lösas genom ett
generellt krav på förskottsbetalning och
anser att skälen för lösningen inte är så
starka att de kan motivera systemet.
FOTO: MAJA SUSLIN/SCANPIX
– Svarta listor av den här typen ger
upphov till särskilda integritetsrisker som
exempelvis risk för felaktiga registreringar,
brist på möjligheter att få rättelse,
obefogad spridning av uppgifter och att
uppgifter kan komma att användas i helt
andra sammanhang än vad de ursprungligen
samlades in för, säger Datainspektionens
generaldirektör Göran Gräslund.
Fotnot: Datainspektionens beslut om Tankstopp har
överklagats.
9

Lika som bär eller
äpplen och päron?
Djurgårdens tänkta register
över avstängda supportrar är
en form av svart lista. Tankstopps
register över folk
som smiter från tankningen
utan att
betala är också
en svart lista.
Den ena beviljas
undantag från
personuppgiftslagen men
inte den andra. Varför?
terna i registret. Ytterligare en faktor är att
förbättrade möjligheter att hindra huliganer
från att ta sig in på fotbollsmatcherna höjer
trivseln och säkerheten för publiken.
Djurgårdens register kommer att bygga
dels på en databas, dels på manuella akter
med information om de avstängda personerna.
Före match tas en lista med fotografier på
avstängda ut från databasen. Om en person
blir identifierad via fotografiet kontrolleras
dennes personnummer. En behörig person söker
sedan i registret på den misstänktes personnummer
eller namn. Säkerhetspersonalen
får sedan information om hur de ska behandla
ärendet.
För att undantaget ska beviljas krävs dock
Risk för att personer felaktigt
registreras i systemet
Innehåller uppgifter om ett
stort antal personer
Många kommer åt
uppgifterna i registret
att Djurgården informerar samtliga som finns
med i registret på ett tydligt sätt. Dessutom
krävs att klubben har en hög IT-säkerhet
för att skydda uppgifterna i registret. Enligt
ansökan vill Djurgården behålla uppgifter
om ärenden i två år, även om klubben kommit
fram till att personen ifråga inte ska
stängas av. Datainspektion anser dock att
personuppgifterna ska raderas ur registret så
snart klubben tagit beslut att inte stänga av
en person.
Det undantag som Datainspektionen
beviljat gäller till och med 30 juni 2013.
Myndigheten kommer innan dess att följa
upp hur registret används och vilken effekt
det har fått.
Djurgårdens IF Tankstopp
Ja Ja
Finns alternativ Nej, andra åtgärder har
prövats
Beviljas undantag från
personuppgiftslagen
Nej Ja, över 100 000 obetalda
tankningar sker varje år
Nej Ja, personal på över 1 000
bensinstationer kan
komma åt uppgifterna
Ja Nej
Ja, förskottsbetalning
FAKTA
10 Integritet i fokus nr 2-2011 – Datainspektionen

NyTT FRåN DATAINSPeKTIONeN
Ja till lag mot
kränkande fotografering
¥ Justitiedepartementet föreslår att
ett nytt brott ska införas i brottsbalken:
olovlig fotografering. Straffbestämmelsen
ska kunna användas mot den som
fotograferar eller filmar privatpersoner
med syfte att allvarligt kränka deras
personliga integritet. Straffet ska enligt
förslaget kunna bli böter eller fängelse
i högst ett år. Lagändringarna föreslås
träda i kraft den 1 juli 2012.
Datainspektionen har granskat lagförslaget
och ställer sig bakom det.
– Det finns ett klart behov av att kunna
ingripa mot kränkande fotografering
eller filmning av personer i intima
situationer eller av personer på platser
där man har rätt att få bli lämnad ifred,
säger Datainspektionen generaldirektör
Göran Gräslund.
I sitt yttrande om lagförslaget anser
Integritet i fokus nr 2-2011 – Datainspektionen
dock Datainspektionen att det bör förtydligas
vad som kommer att bli straffbart.
Kommer det till exempel att vara
straffbart om en elev fotograferar andra
elever i duschen efter en gymnastiklektion
och sedan visar bilderna på
rasten? Vad gäller om en skola väljer att
kameraövervaka inomhus i en skola på
ett sätt som strider mot reglerna i personuppgiftslagen?
SJ vill spara
klotter i databas
¥ Enligt SJ kostar klotter och annan
skadegörelse företaget miljontals kronor
varje år. För att beivra klotter och
annan skadegörelse vill SJ upprätta en
klotterdatabas, dels för att ge bättre
underlag till polisanmälan och ersättningsanspråk,
dels för att kunna analysera
förebyggande åtgärder som exempelvis
förstärkt bevakning på vissa
depåer.
SJ har därför ansökt om undantag
från den regel i personuppgifts lagen
som säger att endast myndigheter får
hantera personuppgifter som rör brott
och misstänkta brott. Databasen kommer
bland annat innehålla uppgifter
som typ av skadegörelse,
var
och när den
skedde och vad
det kostade att
sanera och återställaskadegörelsen.Dessutom
lagras en
digitalbild av
klottret. Personuppgifter
som exempelvis namn, personnummer
eller adress för en misstänkt
förövare kommer inte att registreras
i databasen. I princip de enda
tänkbara personuppgifter som registreras
är den text som kan framgå av
bilden och som klottraren själv skrivit.
Datainspektionen har beviljat SJ det
undantag som behövs för att klotterdatabasen
ska kunna upprättas. I september
2005 beviljade myndigheten
ett liknande undantag för SL (Storstockholms
Lokaltrafik).
Scientologikyrkan
bryter mot lagen
¥ Datainspektionen har tagit emot
ett klagomål från en person som vid
upprepade tillfällen fått direktreklam
från Scientologikyrkan i Malmö trots
att hon aldrig varit medlem av kyrkan
och att hon dessutom begärt att kyrkan
ska sluta skicka material.
Scientologikyrkan har brutit mot personuppgiftslagen,
visar Datainspektionens
granskning. Detta för att kyrkan
skickat reklam till en person som skriftligen
anmält att hon inte vill få sådan
reklam. Dessutom har kyrkan inte tagit
bort personuppgifter från sitt adressoch
arkivsystem för personer som inte
längre är kund till eller medlem i kyrkan.
Datainspektionen förelägger Scientologikyrkan
i Malmö att införa rutiner
som innebär att uppgifter om medlem-
11

NyTT FRåN DATAINSPeKTIONeN
miljonvite för kreditupplysningsföretag
¥ Den 1 januari i år trädde nya regler
i kreditupplysningslagen i kraft.
Syftet med lagändringarna är att stärka
integritetsskyddet då kreditupplysningar
lämnas ut via Internet. Lagändringarna
innebär att den som vill ha
kreditupplysningar via Internet måste
ha ett legitimt behov av informationen,
till exempel kan en hyresvärd ha
ett legitimt behov av en kreditupplysning
om den som ska hyra en bostad.
Har någon begärt en kreditupplysning
om dig, ska du också få reda på det
genom att en kopia av upplysningen
skickas till dig.
Datainspektionen har granskat företaget
Svensk Handelstidning Justitia
som lämnar ut kreditupplysningar
via nätet och konstaterar att företaget
lämnar ut kreditupplysningar utan att
det finns ett legitimt behov och utan
att informera den person som kreditupplysningen
gäller.
– Företaget har agerat helt i strid
med de nya reglerna i kreditupplysningslagen,
säger Datainspektionens
FAKTA
Vad är skillnaden mellan böter och vite?
Böter är vad man inom juridiken kallar för på- Vite är inga böter utan oftast ett påtryckningsföljd,
det vill säga ett straff för ett begånget medel som myndigheter använder. Till skill-
brott. Dagsböters storlek står i förhållande till nad från böter kan vitet komma att upphöra
den dömdes inkomst. Penningböter är dock om den som vid vite förelagts att uppfylla ålig-
ett fast belopp, lika för alla.
ganden inom en viss tidsram också har gjort
det. (Källa TT)
mar och kunder tas bort från kyrkans
register när personen ifråga slutat vara
kund eller medlem. Om uppgifterna
ska användas för återvärvning får de
sparas upp till ett år efter det att kundeller
medlemsförhållandet upphörde.
– De här reglerna gäller alla kundoch
medlemsregister, säger Jonas Agnvall
som lett granskningen.
Tydlig information
krävs i ny biobankslag
¥ En utredning har tagit fram ett förslag
till ny biobankslag som ska reglera
hanteringen av vävnadsprover. Datainspektionen
är positiv till förslaget
men flaggar dock för att det är svårt
att överblicka konsekvenserna för integritetsskyddet
som helhet, bland annat
när det gäller övergångsbestämmelser
för vävnadsprover som har samlats in
innan den nya lagen trätt i kraft, bestämmelser
för hur åtkomsten till det
centrala biobanksregistret kommer att
regleras och hur framtida forskning ska
kunna använda registret.
Enligt förslaget ska en provgivare
kunna motsätta sig att vävnadsprover
blir spårbara i det centrala biobanksregister
som föreslås. Datainspektionen
anser att lagstiftaren i så fall måste ge
tydliga anvisningar som garanterar att
provgivarna får information om att det
går att motsätta sig spårningen.
– Våra erfarenheter inom hälso- och
sjukvården är att information inte alltid
lämnas på ett fullgott sätt. Vi vill peka
på problemet så att samma sak inte
händer här, säger Datainspektionens
generaldirektör Göran Gräslund.
Datainspektionens miljonvite tycks
ha gett effekt.
generaldirektör Göran Gräslund.
I april förelade Datainspektionen
därför företaget vid vite av en miljon
kronor att senast den 15 maj i år
sluta att lämna ut kreditupplysningar
om personer och handels- och kommanditbolag
på sin webbplats utan
att samtidigt sända den omfrågade en
kopia av kreditupplysningen.
e-legitimationer
får godkänt
¥ Datainspektionen har granskat användningen
av e-legitimationer. Hela
kedjan har kartlagts, från utfärdande
av e-legitimation till användande och
återkallande. Fyra organisationer har
inspekterats: två företag som utfärdar
e-legitimationer och två myndigheter
som erbjuder e-tjänster som kan nås
med e-legitimation.
12 Integritet i fokus nr 2-2011 – Datainspektionen

Datainspektionen konstaterar att ett
minimum av personuppgifter behand-
las vid användningen av e-legitimatio-
ner.
– Det är positivt. En grundläggande
regel i personuppgiftslagen är att man
aldrig ska hantera fler personuppgifter
än nödvändigt, säger Anna Hörnlund
som lett granskningen.
De två myndigheterna som undersökts
är Skatteverket, som har 25 etjänster
som kan nås med e-legitimation,
och CSN, som har sex e-tjänster
som kräver inloggning med e-legitimation.
Datainspektionens granskning gäller
den nuvarande lösningen för e-legitimation.
Tidigare i år inrättades en
e-legitimationsnämnd vars arbete kan
komma att mynna ut i en ny svensk
modell för e-legitimation.
Integritet i fokus nr 2-2011 – Datainspektionen
Hård kritik mot
Karolinska sjukhuset
¥ Vid en granskning i december 2009
kritiserade Datainspektionen Karolinska
sjukhusets sätt att informera sina
patienter om så kallad sammanhållen
journalföring, vilket innebär att andra
vårdgivare får direkt åtkomst till sjukhusets
patientjournaler.
I januari i år begärde Datainspektionen
att sjukhuset senast den 1 mars skul-
Lösningen på korsordet hittar du på sidan 2.
le redogöra för hur det förbättrat informationen
till sina patienter.
I mitten av april kunde dock Datainspektionen
konstatera att sjukhuset
inte hade informerat alla sina patienter
om vad den sammanhållna journalföringen
innebär och om att patienterna
kan säga nej till att andra vårdgivare
ska få ta del av uppgifterna.
Datainspektionen förelade då sjukhuset
att från och med 3 juni sluta lämna
ut patientuppgifter till andra vårdgivare
för patienter som inte blivit informerade
på ett tillräckligt sätt.
Sjukhuset har dock därefter förbättrat
informationen till patienterna, vilket
innebär klartecken för sjukhuset att
fortsätta att göra sina patientuppgifter
tillgängliga för andra vårdgivare.
13

HALLå DäR...
Hallå där, Hans-Olof Lindblom...
...chefsjurist på Datainspektionen.
Vad gör egentligen en chefsjurist?
Att ta en titt på Outlook-kalendern för
Datainspektionens chefsjurist Hans-
Olof Lindblom är som att titta på en
ogenomtränglig mur av möten. I de
få glipor som finns vill han helst sitta
på kammaren och förbereda sig för…
kommande möten. När vi en onsdag
träffar honom kommer han just från ett
så kallat rättstillämpningsmöte, dagen
efter är han större delen av dagen hos
Justitiekanslern och på fredagen bär
det av till Bryssel för ett internationellt
möte.
– Det som är mest stimulerande med
att vara chefsjurist är just möjligheten
FAKTA
Hans-Olof Lindblom
yrke: chefsjurist på Datainspektionen
Började på myndigheten: 1997,
chefsjurist sedan 2009
Tidigare meriter: domare i kammarrätten
i Stockholm. Har varit
Sveriges representant i Rådgivande
kommittén till Europarådets
dataskyddskonvention och i Europarådets
projektgrupp för dataskyddsfrågor.
Bor: radhus i Bergshamra
Familj: fru, son och katterna (bil-
den ovan) Curie och Mandela
Senast lästa bok: Mörka strömmar
av Arnaldur Indridason
att få arbeta med så många olika delar
av vår verksamhet och med så levande
frågor som vi gör här på Datainspektionen.
Utvecklingen av hur personuppgifter
används i samhället står ju
inte direkt stilla.
Men vad gör egentligen en chefsjurist?
– Jag är ställföreträdande generaldirektör,
ingår i myndighetens ledningsgrupp
och har ett övergripande ansvar
för vårt internationella arbete, framför
allt det arbete som sker inom EU.
– Min viktigaste arbetsuppgift är
att ansvara för den rättsliga kvaliteten
i myndighetens arbete. Det gäller att
våra beslut i ärenden och våra yttranden
om lagförslag är lagenliga och enhetliga.
Samma sak gäller för övrigt all
information som lämnar myndigheten.
Hur säkrar man den rättsliga
kvaliteten?
– Vi har löpande interna rättstillämpningsmöten
då vi diskuterar komplicerade
frågor som kan leda till ändring av
praxis, det vill säga hur vi i framtiden
kommer att tolka liknande fall. Som
chefsjurist är jag med då myndighetens
handläggare föredrar ärenden och
yttranden för generaldirektören. Mitt
uppdrag då är att se om det finns några
luckor i handläggarnas resonemang
och om de täckt in alla aspekter som
kan ha betydelse för den personliga integriteten.
Känns det som om du i alla lägen är
den som måste veta mest om alla våra
frågor?
– Nej, det är helt omöjligt. Ta lagförslagen
som exempel. Varje år yttrar vi
oss om ett hundratal lagförslag, förslag
Hans-Olof Lindbloms viktigaste arbetsuppgift
är att ansvara för den
rättsliga kvaliteten i Datainspektionens
arbete.
som kan var flera hundra sidor långa.
Lägg därtill att vi varje år får ungefär
lika många underhandsberedningar,
där man mer informellt vill ha våra synpunkter
på ett blivande lagförslag. Det
skulle vara en omöjlighet för mig att
läsa alla dessa texter.
Vilken är din roligaste arbetsuppgift?
– En viktig del i mitt arbete är att utreda
frågor som är principiellt viktiga och
som kan få betydelse för framtida praxis.
Det handlar om att tolka personuppgiftslagen
i situationer som vi tidigare
aldrig tagit ställning till. Som exempelvis
när en skola ville använda elevernas
fingeravtryck för att dela ut skolmåltiden,
när trängselskatten infördes i
Stockholm eller när vi för första gången
granskade lagligheten i skolors kameraövervakning
av elever. Då får man
verkligen gnugga geniknölarna, och
det är roligt.
Och den tråkigaste?
– Det måste vara vår interna tidredovisning…
Eller att attestera fakturor.
14 Integritet i fokus nr 2-2011 – Datainspektionen

FRåGOR & SVAR
¥ Kan det vara straffbart att skriva
något på Internet om en person?
¥ Ja, man kan få fängelsestraff för de
allra grövsta kränkningarna som ex-
empelvis olaga hot eller publicering av
nakenbilder. Den som råkat illa ut kan
också ha rätt till skadestånd.
¥ Någon har skrivit lögner om mig
på en webbplats. Vad kan jag göra?
¥ Hör i första hand av dig till den som
du tycker skrivit något oschysst eller
felaktigt om dig. Kanske var det bara
ett misstag. Hör annars av dig till den
som äger webbplatsen och be att de
tar bort uppgifterna och eventuellt
stänger av personen.
¥ Kan jag lägga ut en bild på en
kompis på Internet utan att fråga om
lov?
¥ Ett foto som är taget med en digitalkamera
eller mobiltelefon är en personuppgift
om man kan se vem bilden
föreställer. Det
innebär att man
måste ta hänsyn till
reglerna i personuppgiftslagen.
Om
bilden läggs in i ett
register som man
kan komma åt via
Internet krävs det oftast att den som
finns med på bilden har gett sitt lov till
det. Men det vanligaste är att bilderna
ligger på en vanlig webbsida och
Integritet i fokus nr 2-2011 – Datainspektionen
då behöver personen på bilden inte ha
gett sitt lov. Bilderna får dock inte vara
kränkande. Till exempel kan det vara
kränkande att visa bilder på en person
som är naken, berusad eller blir retad
av andra. Då är det inte tillåtet att lägga
ut bilden på Internet.
¥ Fast jag fått en text borttagen från
en sajt så syns den när jag söker på
Google. Vad kan jag göra åt det?
¥ Det kan gå att få saker borttagna
från Googles sökindex men typiskt
måste en sådan begäran göras av den
som är ansvarig för webbsajten där
uppgiften tidigare fanns.
¥ När jag söker på mitt eget namn
på Google kan jag få upp en träfflista
med väldigt mycket information om
mig. Vilket ansvar har Google för dessa
träffar?
¥ Ett sökmotorföretag, som till exempel
Google, är inte personuppgiftsansvarig
för de personuppgifter som visas
i träfflistan så länge den korrekt återger
det innehåll som publiceras på de
webbplatser som träfflistan innehåller.
Ett sökmotorföretag kan dock bli personuppgiftsansvarigt
för personuppgifterna,
till exempel om originalsidan
ändrats eller tagits bort helt men informationen
ändå fortsätter att förmedlas
genom en sparad ögonblicksbild av
webbsidan, en så kallad cachad sida.
Kränkt.se
???!
På Datainspektionens sajt www.
krankt.se kan den som känner
sig oschysst behandlad på Internet
få råd och tips. Vi berättar
om vad du själv kan göra för att
lösa problemet, vilka rättigheter
du har enligt lagen och vad vi på
Datainspektionen kan hjälpa till
med.
Har du anmält
någon på nätet?
27%
13%
28%
32%
Ja, flera gånger
Nej, men jag har varit nära
Nej, skulle aldrig göra det
Ja, en gång
Omröstning på www.krankt.se.
Antal röstande: 347
Anmäl dig till höstens utbildningar!
Datainspektionen erbjuder ett flertal kurser i personuppgiftslagen, inkassolagen,
kreditupplysningslagen och patientdatalagen. Kurserna vänder sig till dig som är
personuppgiftsombud, administratör eller allmänt intresserad.
Nytt för i år är en nätverksdag för personuppgiftsombud. Läs
mer och anmäl dig på:
www.datainspektionen.se/utbildning
15

Om vi säger ja, vem säger då nej?
”
Vi kan inte säga ja. Om vi säger
ja, vem säger då nej? Den skämtsamma
kommentaren fick jag nyligen
från vår chefsjurist. Det var förvisso
ett skämt men det finns också ett korn
av allvar i hans reflexion.
På annan plats i tidningen kan du
läsa om bensinbolagens Tankstopplösning
och jag tänkte ta det som
exempel. Bensinbolagen vill förhindra
att personer tankar utan att betala,
något som årligen kostar mackägarna
miljontals kronor. Bolagens lösning är
att upprätta en svart lista över fordon
som tankats utan betalning.
Jag tror att en sådan lösning skulle
kunna ge effekt och att antalet obetalda
tankningar skulle minska. Men jag
vet att det finns många risker med den
här typen av svart lista. Det finns risk
för att bli felaktigt registrerad: varje år
byter ett par hundratusen bilar ägare i
Sverige, samtidigt som flera tusen bilar
stjäls. Tänk dig själv situationen att
ditt fordon blivit felaktigt registrerat
och att du, när du ska tanka, blir utpekad
som bensinsmitare i butiken.
Det finns risk för att uppgifterna
sprids: om en kändis tankat utan att
ha betalat, kan sådana uppgifter läcka
till massmedia? Vad händer om min
bil stjäls och tjuvtankas, hur ska jag
Tänk dig att ditt fordon blivit felaktigt
registrerat och att du blir utpekad som
bensinsmitare i butiken
kunna bevisa att jag inte ska vara med
i registret? Hur lång tid tar processen
att bli ”frikänd” från bensinbolagens
databas? Om ett fordon tjuvtankats i
Luleå, varför ska den uppgiften vara
tillgänglig för en mackägare i Ystad?
När Datainspektionen avslog bensinbolagens
lösning så var det framför allt
för att det finns ett enklare och mindre
integritetskränkande sätt att lösa
problemet: genom att ta förskottsbetalt
för bensinen. Men,
företeelsen måste även
ses utifrån ett mer
principiellt perspektiv.
Det finns en klar risk
att även andra branscher vill upprätta
den här typen av svarta listor för att
stoppa oönskade kunder, till exempel i
dagligvaruhandeln eller resebranschen.
Det skulle vara mycket olyckligt
om vi fick ett samhälle där olika sammanslutningar
har svarta listor som
godtyckligt bestämmer vem som får
vara kund eller inte.
Därför är det viktigt att Datainspektionen
kan och vågar säga nej.
För om vi säger ja, vem säger då nej?
Datainspektionen, Box 8114, 104 20 Stockholm
SISTA ORDeT...
Göran Gräslund
Generaldirektör
Datainspektionen
Nästa nummer kommer i oktober