Datainspektionen. Årsredovisning Har du frågor om innehållet kontakta Datainspektionen, telefon , e-post

Transkript

1 Datainspektionen Årsredovisning 2011

2 Datainspektionen. Årsredovisning Har du frågor om innehållet kontakta Datainspektionen, telefon , e-post eller besök 2 Datainspektionen Årsredovisning 2011

3 Innehåll 1. Året som gått Datainspektionens organisation Lagar Personuppgiftslagen (PuL) Kreditupplysningslagen (KuL) Inkassolagen (IkL) Datainspektionens uppgifter Datainspektionens mål och återrapporteringskrav Tillsyn över behandlingen av personuppgifter Information, regelgivning och rådgivning (omfattning och inriktning) Regelgivning och rådgivning Bedömning Kommittéarbete och remisser Kommittéarbete Remissarbete Bedömning Inspektionsverksamheten Inspektionsverksamheten Temainspektioner Fältinspektioner Skrivbordsinspektioner Förenklad tillsyn Nationella inspektioner inom ramen för EU-samarbetet Bedömning Klagomål Behandling av inkomna klagomål Kvalificerade frågor Bedömning Förhandskontroller Förhandskontroller Bedömning Internationell verksamhet gruppen Schengen JSA Europol JSB och AC CIS JSA Konferenser och arbetsgrupper Utländska besök Bedömning Elektronisk förvaltning Allmänt om arbetet med e-förvaltning Tillsyn och inspektioner Övrig tillsyn och inspektioner Samverkan med andra på e-förvaltningsområdet Övrigt Bedömning Övrig rapportering Internet Övergripande bedömning av utveckling och resultat för tillsyn över behandlingen av personuppgifter Tillsyn och tillståndsgivning inom kreditupplysnings- och inkassoverksamhet Information, regelgivning och rådgivning Kreditupplysningslagen Tillstånd Klagomål Inkassolagen Tillstånd Klagomål Övergripande bedömning av hur verksamheten har utvecklats och dess resultat Kvalitet och effektivitet i verksamheten Aktiviteter Bedömning Kursverksamhet Organisationsstyrning Kompetensförsörjning Jämställdhet Lika rättigheter och möjligheter Arbetsmiljö Sjukfrånvaro Ersättningar och andra förmåner Resultaträkning Balansräkning Anslagsredovisning Tilläggsupplysningar och noter...38 Tilläggsupplysningar...38 Noter Sammanställning över väsentliga uppgifter Generaldirektörens intygande...45 Datainspektionen Årsredovisning

4 1. Året som gått Digitaliseringen i samhället fortsätter att accelerera. Nya företeelser kommer i tillämpning. Användningen av kraftfulla mobila datorenheter exploderar. Regeringen höjer ambitionerna för e-förvaltningen och alltfler e-tjänster för kontakter mellan medborgare och myndigheter introduceras. Förbättrade tekniker för att sammanställa och tolka data utvecklas, liksom möjligheterna att söka i stora informationsmängder. Konsumentelektronik hanterar alltmer varor och tjänster över Internet och används i allt högre grad för att samla in och behandla personuppgifter. Övervakningskamerorna ökar och blir alltmer avancerade. IT-säkerhetsfrågorna blir allt viktigare att belysa, medvetandegöra och kvalitetssäkra. Till detta ska läggas den enorma utvecklingen av kommunikation och publicering av personlig information på nätet. Kort sagt, Datainspektionens arbetsfält har växt i en närmast rasande takt de senaste åren och 2011 var inget undantag. Vår största utmaning är därför att prioritera och använda resurserna på ett meningsfullt sätt. Det gör vi genom att försöka synliggöra integritetsfrågorna i samhället. Uppmärksamhet i media ser jag därför som en avgörande framgångsfaktor. För att få uppmärksamhet måste vi ha något att berätta. Vi hämtar våra berättelser från verksamheten, från inspektioner, beslut, rapporter och yttranden över lagförslag, som vi tror har ett allmänt intresse. Genom att föra ut vår berättelse tror vi att vi höjer insikten hos både beslutsfattare och andra medborgare. Med den utgångspunkten kan vi vara mycket nöjda med årets insatser. Antalet artiklar i media ligger i nivå med rekordåret Kontakterna med allmänheten har också ökat markant, både i form av besök på webben men också genom förfrågningar per telefon och mejl. Vi kan också notera en ökning av förfrågningar om deltagande i utredningar och stöd från beslutsfattare i samband med att de utvecklar nya tjänster och verktyg. Allt detta är positivt, men det ökar arbetsbelastningen. Även en betraktelse av objekten för våra tillsynsinsatser pekar på en lyckad prioritering. Som exempel kan nämnas e-förvaltning i vid mening, hälso- och sjukvård, forskning, socialtjänst, skyddade personuppgifter i kommunal förvaltning, brottsbekämpningsområdet, övervakning i skolor, flerfamiljshus och arbetslivet. Bland nya företeelser kan särskilt nämnas en uppmärksammad analys av så kallade molntjänster, det vill säga system och tjänster för distribuerad databehandling. När det gäller kreditupplysning på nätet har vi i årsredovisningen de senaste åren konstaterat brister med hänsyn till rättsläget. Från 2011 genomförde riksdagen vissa lagändringar i syfte att återställa ett försämrat konsument- och integritetsskydd. Ett tillsynsprojekt som vi bedrivit under året mot branschen visar dessvärre att lagändringarna inte i alla avseenden gett önskat resultat. Det pågår för närvarande ett intensivt arbete med att ta fram ett nytt samlat regelverk för dataskyddet inom EU. Som förslaget ser ut i dagsläget kommer det att innebära omfattande förändringar som får konsekvenser för vårt arbete redan under kommande år. Vi har både följt och deltagit i detta arbete. Datainspektionen kan se tillbaka på ännu ett händelserikt år. Tack vare medarbetare med stort engagemang och hög kompetens har myndigheten, enligt min mening, hanterat sin grannlaga uppgift väl. Göran Gräslund Generaldirektör 4 Datainspektionen Årsredovisning 2011

5 2. Datainspektionens organisation Datainspektionen Årsredovisning

6 3. Lagar Datainspektionen är tillsynsmyndighet för personuppgiftslagen, kreditupplysningslagen och inkassolagen. 3.1 Personuppgiftslagen (PuL) Personuppgiftslagen har till syfte att skydda människor mot att deras personliga integritet kränks när personuppgifter behandlas. Med personuppgifter avses all information som kan hänföras till en levande fysisk person. Lagen omfattar behandling av personuppgifter som är helt eller delvis automatiserad samt även manuellt förda personregister. Undantag gäller bland annat med hänsyn till offentlighetsprincipen samt tryck- och yttrandefriheten. Personuppgiftslagen gäller då personuppgifter behandlas i verksamhet som bedrivs av såväl enskilda som av myndigheter. Lagen gäller dock inte om uppgifterna behandlas av en fysisk person helt privat. Att publicera personuppgifter på Internet, till exempel på en webbplats eller en blogg, anses inte som privat behandling. Den som är ansvarig för behandlingen av personuppgifter kallas personuppgiftsansvarig. Denne kan utse och till Datainspektionen anmäla ett personuppgiftsombud. Ett personuppgiftsombud har till uppgift att självständigt kontrollera den personuppgiftsansvariges behandlingar. Vissa särskilt integritetskänsliga behandlingar ska alltid anmälas till Datainspektionen för förhandskontroll. Behandling av personuppgifter i ostrukturerat material, till exempel löpande text och enstaka bild- och ljudupptagningar, är tillåten utan andra restriktioner än att den registrerades integritet inte får kränkas. Särregler i annan lagstiftning tar över bestämmelserna i personuppgiftslagen. Det finns ett stort antal särregler i särskilda registerförfattningar och i andra lagar och förordningar. 3.2 Kreditupplysningslagen (KuL) Kreditupplysningslagen är främst en integritetslagstiftning men lagen ska också bidra till en effektivt fungerande kreditupplysningsverksamhet. Den som bedriver kreditupplysningsverksamhet behöver normalt tillstånd från Datainspektionen. Tillstånd får meddelas endast om verksamheten kan antas bli bedriven på ett sakkunnigt och omdömesgillt sätt. Genom bland annat inspektioner kontrollerar Datainspektionen hur kreditupplysningslagen efterlevs. 3.3 Inkassolagen (IkL) Den som ska driva in fordringar för någon annans räkning, eller fordringar som har övertagits för indrivning, måste normalt ha Datainspektionens tillstånd. För att få tillstånd krävs att någon i företagets ledning har sakkunskap inom inkassoområdet och är omdömesgill. Datainspektionen bedömer om kraven är uppfyllda och kontrollerar att företaget iakttar god inkassosed. 4. Datainspektionens uppgifter Enligt förordningen (2007:975) med instruktion för Datainspektionen ska inspektionen verka för att människor skyddas mot att deras personliga integritet kränks genom behandling av personuppgifter och för att god sed iakttas i kreditupplysnings- och inkassoverksamhet. Myndigheten ska särskilt inrikta sin verksamhet på att informera om gällande regler samt ge råd och hjälp åt personuppgiftsombud enligt personuppgiftslagen. Myndigheten ska följa och beskriva utvecklingen på IT-området när det gäller frågor som rör integritet och ny teknik. Datainspektionen är tillsynsmyndighet enligt personuppgiftslagen (1998:204) och tillstånds- och tillsynsmyndighet enligt kreditupplysningslagen (1973:1173) och inkassolagen (1974:182). Myndigheten är tillsynsmyndighet enligt artikel 28 i Europaparlamentets och rådets direktiv 95/46/EG av den 24 oktober 1995 om skydd för enskilda personer 6 Datainspektionen Årsredovisning 2011

7 med avseende på behandling av personuppgifter och om det fria flödet av sådana uppgifter, ändrat genom Europaparlamentets och rådets förordning (EG) nr 1882/2003. Myndigheten fullgör de förpliktelser som nämns i artikel 13 i Europarådets konvention om skydd för enskilda vid automatisk databehandling av personuppgifter när det gäller att lämna uppgifter till behörig myndighet i en stat som är ansluten till konventionen. Myndigheten är nationell tillsynsmyndighet enligt artikel 24 i rådets beslut 2009/917/RIF av den 30 november 2009 om användning av informationsteknik för tulländamål (TIS- rådsbeslutet), artikel 33 i rådets beslut av den 6 april 2009 om inrättande av Europeiska polisbyrån (Europol), artikel 30.5 i rådets beslut 2008/615/RIF av den 23 juni 2008 om ett fördjupat gränsöverskridande samarbete, särskilt för bekämpning av terrorism och gränsöverskridande brottslighet. artikel 114 i konventionen om tillämpning av Schengenavtalet av den 14 juni 1985 (Schengenkonventionen), 5. Datainspektionens mål och återrapporteringskrav Följande mål och övriga återrapporteringskrav följer av regleringsbrevet för budgetåret i samband med utvecklingen av en elektronisk förvaltning inom den offentliga förvaltningen. Mål Datainspektionen ska upptäcka och förebygga hot mot den personliga integriteten. Verksamheten ska främst inriktas på områden som bedöms vara särskilt känsliga ur ett integritetsperspektiv, nya företeelser och användningsområden av teknik samt områden där risk för missbruk eller felaktig användning bedöms vara särskilt stor. Datainspektionen ska redovisa och kommentera verksamhetens resultat i förhållande till ovan angivet mål samt till de uppgifter som framgår av förordningen (2007:975) med instruktion för Datainspektionen. Återrapporteringen ska innehålla en samlad beskrivning och analys över verksamhetens utveckling. Redovisningen ska göras enligt den statistikindelning som myndigheten använder. Övriga återrapporteringskrav E-förvaltning Datainspektionen ska redovisa vilka insatser myndigheten har gjort för att värna den personliga integriteten Internationell verksamhet Datainspektionen ska redovisa myndighetens deltagande i internationellt arbete. Av redovisningen ska även framgå den tid och de resurser som myndigheten använder till denna verksamhet. Kvalitet och effektivitet i verksamheten Datainspektionen ska redovisa och analysera de åtgärder som myndigheten har vidtagit för att utveckla kvaliteten och effektiviteten i verksamheten. Uppdrag Kursverksamheten Datainspektionen ska redovisa de ekonomiska aspekterna av den kursverksamhet som myndigheten tar ut avgifter för. Redovisningen ska också omfatta de åtgärder som Datainspektionen behöver vidta för att med stöd av ett eventuellt bemyndigande kunna ta ut avgifter för den angivna verksamheten. Uppdraget ska redovisas till regeringen (Justitiedepartementet) senast den 31 augusti Datainspektionen Årsredovisning

8 6. Tillsyn över behandlingen av personuppgifter Kostnader och intäkter för området tillsyn över behandlingen av personuppgifter Kostnader Intäkter Information, regelgivning och rådgivning (omfattning och inriktning) Informationsmaterial Datainspektionens webbplats är vår viktigaste kommunikationskanal. Under 2011 hade webbplatsen besök vilket är en ökning med 24 procent. De mest besökta delarna var Frågor och svar och faktasidorna om personuppgiftslagen. Den största ökningen, 62 procent jämfört med tidigare år, har informationen om kameraövervakning haft. Webbplatsen får allt bättre resultat i sökmotorer och över hälften av besökarna kommer därifrån. Under året har webbplatsen förbättrats på ett antal områden. I oktober lanserades en ny och förbättrad sökfunktion som kommer att underlätta både för webbesökarna och för myndighetens egen personal. Bland alla förbättringar kan nämnas bättre presentation av sökträffarna, utvalda sökord och kategorier samt utökade sorteringsmöjligheter. Pressmeddelanden och remissvar publiceras fortlöpande och samrådsyttranden och frågor och svar från upplysningstjänsten används till att utöka webbplatsens faktadelar. Informationsmaterialet kring ett antal ämnen har uppdaterats eller nyproducerats och publicerats som webbsidor, pdf-dokument och trycksaker. Bland dessa kan nämnas Kameraövervakning på arbetsplatser, Molntjänster, Säkerhet enligt personuppgiftslagen, E-förvaltning, Positioneringsteknik i arbetslivet, Betalningsanmärkningar och Allmänna råd om inkasso. I början av året publicerade vi återigen den mycket uppskattade årsskriften Integritetsåret 2010 som sammanfattade det gångna året ur ett integritetsskyddsperspektiv (se nedan). På Dataskyddsdagen i januari publicerade vi rapporten Ungdomar och integritet Rapporten var en uppföljning av tidigare rapporter från 2009 och Datainspektionens tidning Integritet i fokus har under året kommit ut med fyra nummer. Integritet i fokus är en gratis, periodisk skrift med reportage, nyheter och kommentarer i anslutning till Datainspektionens intresseområden. Antalet prenumeranter på den tryckta utgåvan har ökat till cirka Antal besökare på webbplatsen Prenumeranter på Integritet i fokus Mediekontakter Artiklar Pressmeddelanden Prenumeranter på myndighetens pressmeddelanden Datainspektionen Årsredovisning 2011

9 skickades ut till riksdagsledamöter, departement, politiska partier, tidningsredaktioner, ledarskribenter och andra påverkare och kan även beställas kostnadsfritt via myndighetens webbplats. På Datainspektionens webbplats kan man skaffa sig en gratis prenumeration på myndighetens pressmeddelanden som då skickas via e-post. Vid slutet av året var det stycken som prenumererade på våra pressmeddelanden vilket är en ökning med nästan 12 procent jämfört med förra året. Datainspektionens frågor har fått fortsatt stort utrymme i press, radio och TV, vilket bidrar till att sprida medvetenhet om integritetsfrågorna. Representanter för Datainspektionen har medverkat i nyhetsprogram i radio och TV. Pressfunktionen är fortsatt aktiv; 67 pressmeddelanden skickades ut via e-post och publicerades på I april publicerades hela tio pressmeddelanden vilket sannolikt är rekord i antal skickade pressmeddelanden på en månad för myndigheten. Vi prenumererar på pressklipp och under 2010 förekom inspektionen och dess frågor i artiklar. Det är en ökning med nästan 19 procent jämfört med föregående år. I mars 2009 började Datainspektionen att twittra om nyheter i liten skala (se Numera twittrar myndigheten om alla pressmeddelanden och ibland även om andra nyheter. I slutet av 2011 hade myndigheten närmare 300 följare på Twitter. För tredje året i följd gav myndigheten ut en uppmärksammad redogörelse för hur det gångna året sett ut från integritetssynpunkt. Precis som fjolårets sammanställning innehåller den lagar, lagförslag, beslut och andra händelser som påverkade den personliga integriteten under året. Skriften Integritetsåret Telefon- och e-postfrågor Datainspektionens upplysningstjänst är bemannad av två jurister som alla arbetsdagar besvarar frågor per telefon och e-post. I upplysningstjänsten besvaras telefon- och e-postfrågor som inte kräver särskild utredning och målsättningen är att frågorna ska vara besvarade inom tre arbetsdagar. En fråga som kräver särskild utredning diarieförs som ett ärende för vidare utredning och frågeställaren får då besked om detta inom tre arbetsdagar. Majoriteten av alla frågor 2011 kunde dock besvaras omgående. Antalet besvarade e-postfrågor som rörde tillämpningen av personuppgiftslagen, inkassolagen och kreditupplysningslagen och som besvarades av juristerna i upplysningstjänsten 2011 var cirka jämfört med cirka för Det totala antalet telefonfrågor och som besvarades var cirka jämfört med cirka för Antalet frågor till upplysningstjänsten har således ökat avsevärt jämfört med föregående år. Även myndighetens övriga medarbetare besvarar dagligen ett stort antal frågor Föreläsningar, seminarier och konferenser Föreläsningar, seminarier och konferenser Datainspektionen har vid 42 tillfällen hållit föreläsningar om personuppgiftslagen (seminarier för personuppgiftsombuden inräknade) på egna och andras konferenser, kurser och seminarier samt hos myndigheter, företag och organisationer runt om i landet. Av dessa var 17 arrangerade av Datainspektionen. Vid dessa tillfällen deltog i regel två eller tre av Datainspektionens anställda som föreläsare. Övriga 25 var uppdragsföreläsningar. Datainspektionen Årsredovisning

10 Under året har åtta speciella utbildningstillfällen och en särskild nätverksdag anordnats för personuppgiftsombuden. Vidare anordnade vi under året riktade utbildningar i patientdatalagen, inkassolagen och kreditupplysningslagen och en skolkonferens Personuppgiftsombud Vid ingången av året hade personuppgiftsombud anmälts. Vid årets slut var siffran 6 621, alltså en ökning under året med 179 personuppgiftsombud. Antalet personer som är anmälda som personuppgiftsombud har ökat från till (en person kan vara ombud åt flera personuppgiftsansvariga. En personuppgiftsansvarig kan också anmäla flera personuppgiftsombud) Utbildningstillfällen för personuppgiftsombud Utbildningstillfällen Rådgivning, stöd och utbildningsverksamhet gentemot personuppgiftsombuden är en viktig verksamhet. Ambitionen är att ombudens kunskaper ska ligga på en hög nivå. Under året har nio utbildningstillfällen i tre olika nivåer anordnats speciellt för ombuden. Nytt för i år var en nätverksdag för personuppgiftsombuden. Våra utbildningstillfällen har utvärderats och ombuden är generellt sett mycket nöjda både vad gäller innehåll och genomförande. Ombuden har under året haft en egen kontaktperson på Datainspektionen som besvarar frågor på telefon och e-post. Datainspektionens webbplats har särskilda faktasidor för personuppgiftsombuden. inspektionens författningar med föreskrifter till datalagen. Samtidigt utfärdade Datainspektionen två författningar till den nya datalagstiftningen, det vill säga till personuppgiftslagen. I övrigt har Datainspektionen, i stället för att utfärda författningar, till vägledning för den som behandlar personuppgifter gett ut allmänna råd med oförbindande råd och rekommendationer. Vidare ger inspektionen, vid sidan av all övrig information och rådgivning som inspektionen bedriver, ut olika informationsbroschyrer med konkret vägledning om innehållet i viktiga delar av lagens olika bestämmelser Samråd Samråd Begäran om samråd från ett personuppgiftsombud i fråga om tolkning av personuppgiftslagens bestämmelser och annan registerlagstiftning uppgick under året till 61 stycken. Under 2010 uppgick samråden till 74. Flera av samrådsärendena har varit komplicerade och resurskrävande. Några av dem har dessutom rört frågor som belyser hur samhället snabbt förändras när det gäller integritetsskydd. Följande ärenden kan nämnas särskilt: Polisen Rikspolisstyrelsen (RPS) har begärt samråd ifråga om andra myndigheters direktåtkomst till polisens register i den brottsbekämpande verksamheten. Frågan gällde särskilt om och i vilken grad RPS har ett ansvar för att 6.2 Regelgivning och rådgivning Föreskrifter Datainspektionen har bemyndigande att meddela närmare föreskrifter till personuppgiftslagen. Inspektionen har sedan tidigare begränsat sådan normgivning till sådant som bedömts som absolut nödvändigt att reglera. I det avseendet kan man säga att Datainspektionen under flera års tid bedrivit ett regelförenklingsarbete. Inför personuppgiftslagens ikraftträdande 1998 upphävde Datainspektionen ett tjugotal av Data- 10 Datainspektionen Årsredovisning 2011

11 säkerställa att mottagande myndigheters behandling svarar mot lagkraven på IT-säkerhet enligt personuppgiftslagen innan direktåtkomst medges. Datainspektionen anförde i yttrandet att RPS har en särskild skyldighet att först försäkra sig om att den mottagande myndigheten uppfyller uppställda krav på behörighet och säkerhet innan direktåtkomst medges och att den mottagande myndigheten har en skyldighet att begränsa tillgången till uppgifter genom både tekniska och administrativa lösningar som förhindrar obehörig åtkomst inom myndigheten. Beslutsoförmögna i kvalitetsregister I ett samrådsärende har Datainspektionen kommit fram till att man i kvalitetsregister får registrera uppgifter om dementa och andra som varaktigt saknar beslutsförmåga, endast om den beslutsoförmögne har en legal ställföreträdare som inte motsätter sig registreringen Samverkan med andra myndigheter och organisationer För att öka effektiviteten i verksamheten har Datainspektionen som mål att nationellt samverka med andra myndigheter och organisationer. Syftet med samverkan har varit att åstadkomma samsyn i integritetsfrågor, att utbyta information om handläggning av ärenden och att klargöra gränser mellan myndigheternas tillsynsansvar. Genom denna samverkan har vi även kunnat sprida information, fånga upp utvecklingstendenser, följa IT-utvecklingen och sprida medvetande om integritetsrisker. Samverkan har skett med Post- och Telestyrelsen (PTS), Rikspolisstyrelsen (RPS), Säkerhets- och Integritetsskyddsnämnden (SIN), Statens inspektion för försvarsunderrättelseverksamhet (SIUN), Arbetsförmedlingen och Skatteverket. Datainspektionen och PTS har träffats vid fyra tillfällen under Vid mötena har information om handläggning av ärenden utbytts och gränser mellan myndigheternas tillsynsansvar har diskuterats. Datainspektionen har även haft ett nära samarbete med PTS när det gäller PTS föreskriftsrätt enligt lagen om elektronisk kommunikation. Datainspektionen och RPS har träffats under sex tillfällen under Samrådsgruppens arbete ska ses som ett komplement till den traditionella ärendehanteringen. Även den planerade utvecklingen av polisens personuppgiftsbehandling och RPS arbete med implementering av den nya polisdatalagen har diskuterats. Datainspektionen och SIUN har träffats vid två tillfällen under år 2011 för att diskutera myndigheternas tillsynsansvar. Möten har ägt rum med SIN vid två tillfällen för att diskutera myndigheternas tillsynsansvar. Möten har också ägt rum med Arbetsförmedlingen och Skatteverket, se under avsnitt Elektronisk förvaltning. Datainspektionen har vid fem tillfällen deltagit tillsammans med ett stort antal andra myndigheter (till exempel Konsumentverket, Kronofogdemyndigheten och Barnombudsmannen) i ett nätverk med syftet att samverka kring frågor som rör barn och ungdomar. Datainspektionen har vid ett tillfälle träffat Justitiekanslern i syfte att utbyta information i gemensamma frågor. Datainspektionen har även träffat Direktoratet for forvaltning og IKT i Norge inom ramen för deras uppdrag att utvärdera Datatilsynets verksamhet. Syftet med mötet var att informera om Datainspektionens verksamhet, organisation och arbetssätt. Ett möte och flera kontakter har ägt rum med länsstyrelsen i Stockholms län för att diskutera kameraövervakningsfrågor. Inom området hälso- och sjukvård har vi haft kontakter och flera möten med Socialstyrelsen för att Datainspektionen Årsredovisning

12 diskutera samverkan och gränsdragning mellan de olika myndigheternas ansvarsområden samt ändringar i Socialstyrelsens tillämpningsföreskrifter till patientdatalagen. På statistik- och forskningsområdet har vi haft ett flertal kontakter och möten med Statistiska centralbyrån och Centrala etikprövningsnämnden. Datainspektionen har deltagit i flera nätverksmöten hos Sveriges kommuner och landsting (SKL). Nätverksmötena har under året framför allt rört information om och tillämpning av patientdatalagen Undantag enligt 21 PuL Ansökningar Under året har det kommit in tio ansökningar om undantag från förbudet att behandla uppgifter om lagöverträdelser. De flesta ansökningar har rört finansiella bolags behov av att få kontrollera sina kunder med mera mot den amerikanska så kallade OFAC-listan. Under året har Datainspektionen meddelat ett undantag som medger att Djurgården Elitfotboll AB får registrera personuppgifter om personer som förbjudits att besöka fotbollsarrangemang. Statens Järnvägar AB (SJ) har beviljats ett undantag som möjliggör upprättandet av en databas över klotter, som kan innehålla personuppgifter. Stockholms Lokaltrafik (SL) har sedan några år tillbaka ett liknande undantag. I ett fall avslog Datainspektionen en ansökan om undantag från ett bolag som avsåg att i ett centralt register behandla uppgifter om bilar som tankats på bensinstationer och lämnat stationen utan att någon betalat. Syftet var att komma till rätta med problemen med smitare. Antalet ansökningar om undantag från förbudet i 21 personuppgiftslagen är markant lägre jämfört med föregående år. Detta beror sannolikt på att den största andelen ansökningar föregående år rört behandling av personuppgifter om lagöverträdelser inom ramen för multinationella företags så kallade whistleblowingsystem, vilken numera kan ske med stöd av Datainspektionens föreskrift DIFS 2010: Bedömning Under året har vi bedrivit en fortsatt omfattande verksamhet med information, rådgivning och samverkan. Vi ser det som ett bra sätt att arbeta för att nå ut med integritetsfrågorna i samhället och värna skyddet för enskildas personliga integritet vid behandling av personuppgifter. Vi kan konstatera att antalet frågor till Datainspektionen har ökat avsevärt under året. Datainspektionen har som ambition att ha så mycket information som möjligt tillgänglig på webbplatsen. Vi arbetar kontinuerligt med att utveckla och förbättra denna och under året har webbplatsen bland annat förbättrats med en ny sökfunktion. Antalet besökare till webbplatsen och framförallt till Frågor och svar har ökat markant under året, likaså antalet frågor via telefon och e-post till Datainspektionens upplysningstjänst. Samråden som är förhållandevis resurskrävande har minskat något jämfört med föregående år men är fortfarande fler än för år Datainspektionen Årsredovisning 2011

13 7. Kommittéarbete och remisser 7.1 Kommittéarbete Företrädare för inspektionen har under året deltagit som experter i E-delegationen (referensgrupp till delegationen) (Fi 2009:01), Organisationsutredningen mot dopning (Ku 2009:03), Utredningen om personuppgiftsbehandling inom den arbetsmarknadspolitiska verksamheten och i tillsynsverksamheten över denna (A 2010:01), Utredningen om informationsutbyte vid brottsbekämpning med mera (Ju 2010:02) samt i Läkemedels- och Apoteksutredningen (S 2011:07). Redovisad tid för deltagande i utredningar under 2011 uppgick till 208 timmar, vilket kan jämföras med 589 timmar år 2010 och 531 timmar år Remissarbete Lämnade remissyttranden Inkomna remisser är ett väsentligt arbete för att påverka utformningen av regelverk som har betydelse för enskildas integritet. Bakgrunden är också att artikel 28 punkten 2 i EU:s dataskyddsdirektiv och propositionen (1997/98:44) Personuppgiftslag (s.101f) förutsätter en sådan roll för datatillsynsmyndigheten. Datainspektionen har under verksamhetsåret 2011 deltagit i flera principiellt viktiga statliga utredningar. Jämfört med verksamhetsåren 2010 och 2009, då Datainspektionens deltog i ett större antal statliga utredningar, har inspektionen under 2011 kunnat lägga ned färre antal timmar på sådant arbete. Antalet inkomna remisser har under år 2011 (104) ökat betydligt och hamnat på ungefär samma nivå som verksamhetsåren 2009 och 2008, då myndigheten hade att besvara mer är hundratalet remisser (107 resp. 111). Datainspektionen har under verksamhetsåret 2011 även haft att besvara ett stort antal delningar. Även om inspektionen under året kunnat ägna mindre tid åt deltagande i statliga utredningar jämfört med föregående år har kommittéoch remissarbetet sammantaget medfört en betydande resursåtgång. Detta fastän vi medvetet i besvarandet av remisser har begränsat arbetet och synpunkterna till sådant som berör integritetsskyddet. Vi har heller inte kunnat ha ambitionen att ge utformade alternativa förslag när problem uppmärksammas. Vi bedömer dock att inspektionen presterat enligt sin förutsatta roll. Under år 2011 har 107 remissyttranden lämnats. Därtill kommer ett femtiotal delningar, det vill säga begäran om synpunkter på utkast till författningar, lagrådsremisser och propositioner. Remissynpunkterna har huvudsakligen avsett verksamhetsgrenen avseende personuppgiftslagen. Redovisad tid för arbete med remisser uppgick under året till timmar vilket kan jämföras med timmar år 2010 och timmar år Bedömning Datainspektionen lägger årligen ner ett omfattande arbete på att delta i kommittéarbetet, läsa in remissförslag och att lämna remissynpunkter. Det följer redan av att antalet remisser är stort i förhållande till inspektionens begränsade storlek och att inspektionen är skyldig att besvara remisser från Regeringskansliet. Men det beror även på att inspektionen anser att det Datainspektionen Årsredovisning

14 8. Inspektionsverksamheten 8.1 Inspektionsverksamheten Fältinspektioner Påbörjade Avslutade Skrivbordsinspektioner Påbörjade Avslutade Enkätinspektioner Påbörjade Avslutade Från de enligt verksamhetsplanen prioriterade områdena kan några inspektioner under detta avsnitt nämnas särskilt. 8.2 Temainspektioner En temainspektion omfattar en bred och djup granskning av en bransch, sektor eller företeelse. En sådan granskning kräver mer tid och större resurser än en sedvanlig inspektion. Även under avsnittet E-förvaltning redovisas inspektioner som genomförts under året Samtycke och information i forskningsprojekt Under hösten inledde Datainspektionen en bred granskning av forskningsprojekt som hanterar känsliga personuppgifter som exempelvis uppgifter om deltagarnas hälsa. Totalt ska projekt hos ett 20-tal universitet, högskolor och myndigheter som bedriver forskning granskas. I ett första skede har vi begärt in redovisningar av pågående forskningsprojekt. Från varje tillsynsobjekt kommer sedan ett par projekt att väljas ut för närmare granskning. Beslut kommer att fattas under våren Klagomål som blivit förenklad tillsyn Inkomna Avslutade Totalt antal ärenden Påbörjade Avslutade Ingående balans Utgående balans Kameraövervakning Under året meddelade vi beslut i ett omfattande projekt om kameraövervakning på arbetsplatser, i flerfamiljshus och skolor. En av arbetsplatserna var ett sjukhus där vi gjorde bedömningen att det för att komma åt sabotaget av sterilförpackningar kan vara motiverat att komplettera den vanliga kameraövervakningen med kameror som inte syns. Vid granskningen av hyreshusen bedömde vi att det endast vid allvarliga problem är tillåtet att övervaka entréer och trapphus Molntjänster Under 2011 genomförde Datainspektionen en granskning av två kommuner och ett företag som använder så kallade molntjänster för lagring av personuppgifter som behandlas i verksamheten. Syftet med projektet vara att klargöra vilka krav personuppgiftslagen ställer på organisationer som använder sådana tjänster. Granskningen visade på ett antal brister, bland annat att det finns avtal med molntjänstleverantörer som inte tydliggör att svensk lag gäller, avtal som inte reglerar att personuppgifterna bara får användas för de ändamål som köparen bestämt, oklarhet om vilka underleverantörer 14 Datainspektionen Årsredovisning 2011

15 som är inblandade, oklarhet om vad som händer med personuppgifterna när avtalet upphör och oklarhet om kundens möjlighet att följa upp att leverantören lever upp till avtalsvillkoren. Projektet har resulterat i vägledning som tydliggör vilka krav som personuppgiftslagen ställer vid användning av molntjänster Företag som erbjuder bakgrundskontroller vid rekryteringar Datainspektionen granskade under 2011 personuppgiftshanteringen hos företag som erbjuder bakgrundskontroller av arbetssökande. Vid sådana kontroller hämtas information från myndigheter, domstolar och Internetsökningar. Uppgifter som arbetssökandes namn, bostadsadress, nationalitet och civilstånd kontrolleras. Även skulder, värnplikt och utbildningar vid universitet och högskolor kontrolleras. De företag som Datainspektionen granskade kontaktar dessutom landets domstolar för att kontrollera om den sökande är dömd för brott. Datainspektionen riktade i besluten kritik bland annat mot att företagen behandlar uppgifter om lagöverträdelser om de arbetssökande, att företagen i alltför stor utsträckning registrerar ekonomiska uppgifter om de arbetssökande samt att företagen inte informerar de arbetssökande om den personuppgiftsbehandling som utförs i samband med att kontrollerna utförs. Två av de fyra företag som granskades har överklagat Datainspektionens beslut Bankers användning av mobilappar Under slutet av 2011 inledde myndigheten även tillsyn mot ett antal banker för att kontrollera hur dessa behandlar och skyddar kunders personuppgifter då kunderna använder bankernas så kallade mobilappar för att utföra bankärenden. Projektet beräknas vara avlutat i början av Politiska partiers behandling av personuppgifter om medlemmar med mera Politiska partier har en omfattande hantering av medlemmars personuppgifter, uppgifter som betraktas som känsliga enligt personuppgiftslagen. Det har även framkommit i media och genom klagomål till Datainspektionen att uppgifter om personer registrerade hos politiska partier har läckt ut och spridits. Datainspektionen har därför inlett tillsyn av samtliga riksdagspartier för att kontrollera hur dessa hanterar personuppgifter om bland annat medlemmar. Projektet beräknas vara avslutat i början av Gps-övervakning av personal I början av året blev Datainspektionen klar med sin granskning av arbetsgivare som använder gps-positionering för att övervaka eller kontrollera sina arbetstagare. Inom ramen för projektet har Datainspektionen granskat trettio arbetsgivare. Projektet har resulterat i en checklista om positioneringsteknik i arbetslivet som innehåller konkreta och användbara exempel på hur positioneringstekniken får eller inte får användas Kompetens- och karriärdatabaser Datainspektionen har i slutet av 2011 inlett ett projekt för att kontrollera vad arbetsgivare registrerar om anställda i kompetens- och karriärdatabaser. Tillsynen kommer att vara avslutad under första delen av Beträffande Informationsutbytesprojektet, E-legitimationsprojektet och Uppföljning av åtkomstprojektet, se avsnitt om elektronisk förvaltning 8.3 Fältinspektioner Polisen Inom polisen har bland annat följande inspektioner gjorts: Datainspektionen har inspekterat IT-säkerheten vid RPS användning av SHS, spridnings- och hämtningssystemet. SHS är ett system för utbyte av information mellan myndigheter. Datainspektionen har inte några anmärkningar på IT-säkerheten. I november och december 2011 inspekterades personuppgiftsbehandlingen vid Polismyndigheten i Västerbottens län och Dalarnas län med betoning på hanteringen av personuppgifter i de stora IT-systemen Rationell Anmälansrutin (RAR), Datoriserad Utredningsrutin Tvångsmedel (DurTvå), hantering av personuppgifter i särskilda undersökningar och IT-säkerhet. Ärendena kommer att avslutas i början av år Behandling av uppgifter om kunder och medlemmar Efter klagomål rörande Scientologikyrkans hantering av personuppgifter genomförde Datainspektionen en inspektion. Efter granskningen konstaterade Datainspektionen bland annat att kyrkan inte gallrat personuppgifter från sitt adress- och arkivsystem avseende personer som inte längre är kunder eller medlemmar i kyrkan. Datainspektionen Årsredovisning

16 I ett beslut konstaterade Datainspektionen att Telia saknar rutiner för att gallra personuppgifter avseende kunder. Bolaget förelades att komma in med en åtgärdsplan i vilken det ska framgå vilka åtgärder bolaget avser att vidta för att komma till rätta med den konstaterade bristen Kravet på särskilda, uttryckligt angivna och berättigade ändamål Under året inspekterade Datainspektionen Karolinska institutets forskningsprojekt LifeGene, som ska samla in en mängd känsliga personuppgifter om en halv miljon svenskar. Datainspektionen fann att projektets ändamål att samla data för framtida, ännu ej specificerad forskning strider mot personuppgiftslagens krav på att ändamålen ska vara särskilda, uttryckligt angivna och berättigade, och beslutade därför att projektet måste upphöra. Karolinska institutet har överklagat beslutet Informationsutbyte mellan hälso- och sjukvården och socialtjänsten Under året har Datainspektionen avslutat tre ärenden som rörde utbytet av känsliga personuppgifter mellan hälso- och sjukvården å ena sidan och socialtjänsten å andra sidan. Vi konstaterade att utbytet av känsliga personuppgifter mellan vård och socialtjänst skedde på ett sätt som kan jämföras med sammanhållen journalföring och att det därmed saknar stöd i lagen och måste upphöra. 8.4 Skrivbordsinspektioner Kameraövervakning i arbetslivet Datainspektionen har i ett ärende bedömt dold kameraövervakning av städpersonal hos ett företag. Företaget uppgav att det under lång tid haft problem med svinn. För att identifiera tjuvarna har företaget satt upp dolda övervakningskameror. Datainspektionen ansåg att personuppgiftslagen inte kan vara mer tillåtande till dold kameraövervakning än den lagstiftning som reglerar kameraövervakning i andra situationer, till exempel lagen om allmän kameraövervakning eller den hemliga kameraövervakning som polisen får genomföra. Datainspektionen ansåg därför att företagets kameraövervakning inte var tillåten enligt personuppgiftslagen. I ett annat ärende har Datainspektionen granskat ett bussbolag som alkotestar all sin personal. Datainspektionen bedömde att företaget med stöd av intresseavvägning fick kontrollera förarna och den personal som har arbetsuppgifter av direkt betydelse att säkra framförandet av fordon. För att exempelvis administrativ personal ska få testas krävs att respektive anställd ger sitt medgivande Polisen I ett tillsynsärende har Datainspektionen granskat en polismyndighet som flera gånger sänt faxförsändelse innehållande sekretesskyddade uppgifter till ett privat företag istället för till en åklagarkammare. Polismyndigheten uppgav i tillsynsärendet att skyddsvärda uppgifter fortsättningsvis inte skulle skickas med fax utan via polisens e-postsystem. Datainspektionen erinrade i beslutet om de säkerhetsåtgärder som polisen bör vidta vid användande av e-post. Inom ramen för den samrådsgrupp som inrättats mellan Rikspolisstyrelsen och Datainspektionen (se 2008 års årsredovisning, sidan 26 f. angående en närmare beskrivning av samrådsgruppens arbete och uppgifter) har en konstruktiv dialog förts om polisdatalagsprogrammet som omfattar och behandlar IT-system hos polisen som är driftsatta och ska anpassas till den nya polisdatalagen. Inom ramen för arbetsgruppen har även frågor som rör polisens införande av ANPR (automatisk nummerskyltavläsning) diskuterats. Arbetet med den nationella polisen har till viss del påverkats av den nya lagstiftning för personuppgiftsbehandlingen i polisens brottsbekämpande verksamhet som träder i kraft den 1 mars Enligt övergångsbestämmelserna till lagen kommer en del av de tillstånd, som Datainspektionen har meddelat med stöd av den numera upphävda datalagen från 1973, fortsätta gälla till utgången av år På sikt kommer således polisens personuppgiftsbehandling att omfattas av ett helt annat regelverk än idag. Det kommer i sin tur innebära att Datainspektionens tillsynsverksamhet gentemot polisen också kommer att förändras Riktlinjer för känsliga uppgifter i e-post Under året granskade Datainspektionen hur tre socialnämnder och tre vårdgivare utformat riktlinjerna för sina anställda när det gäller att skicka känsliga personuppgifter via e-post. I samtliga sex fall visade sig att riktlinjerna inte var tillräckligt tydliga, dock med betydande skillnader mellan de olika ärendena. Som ett resultat av tillsynen tog Datainspektionen också fram en ny webbsida med fördjupad information om IT-säkerhetsaspekterna när personuppgifter skickas via e-post. 16 Datainspektionen Årsredovisning 2011

17 8.5 Förenklad tillsyn Förutom inspektioner har även förenklad tillsyn utförts i 27 ärenden. Förenklad tillsyn innebär att inspektionens handläggare tar kontakt med det företag, organisation eller den myndighet som klagomålet gäller för att utreda enklare frågor. I dessa fall inleds inte något tillsynsärende. Arbetet utförs i klagoärendet. 8.6 Nationella inspektioner inom ramen för EU-samarbetet Schengen Under 2011 gjordes två inspektioner avseende hanteringen av personuppgifter i Schengens informationssystem (SIS). Den ena inspektionen gjordes hos Rikspolisstyrelsen och avsåg deras hantering av uppgifter i SIS. Inspektionen omfattade bland annat kontroll av grunder för registrering, enskildas rätt till information samt IT-säkerhet. Den andra inspektionen gjordes hos Transportstyrelsen i Örebro och avsåg åtkomst till uppgifter i SIS inom ramen för den fordonsregistrerande verksamheten. Inga särskilda anmärkningar gjordes vid inspektionerna men Datainspektionen uttalade att frågan om informationssäkerhet, och särskilt kontroll och uppföljning av loggar, kan komma att följas upp i framtida tillsyn. Inspektionerna (samt tidigare års inspektioner avseende Rikspolisstyrelsens hantering av SIS) redovisades vid den utvärdering av Sverige såsom Schengenmedlemsstat som gjordes under hösten Se vidare under avsnittet Internationell verksamhet. 8.7 Bedömning Vårt val av tillsynsobjekt har präglats av områden där känsliga uppgifter förekommer, nya företeelser och områden där risk för missbruk är särskilt stor. Det totala antalet inspektioner har ökat under året jämfört med förra året. Ökning har skett av antalet skrivbordsinspektioner, och enkätinspektioner medan antalet fältinspektioner har sjunkit. Nedlagda resurser för inspektioner enligt vår tidredovisning har ökat jämfört med förra året (9 301 timmar 2011 och (exklusive FRA-uppdraget) timmar 2010). Icke avslutade tillsynsärenden vid årets slut har ökat jämfört med årsskiftet 2010/2011. Det beror på att enkättillsynerna inleddes under andra halvåret. När det gäller fältinspektioner och skrivbordsinspektioner har fler ärenden avslutats under 2011 än under Det har varit en medveten strategi att öka vår inspektionsverksamhet. Det har även varit en medveten strategi att göra skrivbordsinspektioner och enkätinspektioner där detta är lämpligt i stället för fältinspektioner som är mer resurskrävande. Vi har under året fått en förstärkning av personella resurser som till viss del använts i inspektionsverksamheten. I flera fall har inspektionsresultaten spritts genom att rapporter eller annat informationsmaterial tagits fram. Vi bedömer att det är en bra metod att kontrollera efterlevnaden av personuppgiftslagen genom inspektioner och att resultatet av inspektionerna sprids brett. Vi har även utfört uppföljande inspektioner vilket är en bra metod för att säkerställa att våra påpekanden har beaktats. Datainspektionen Årsredovisning

18 9. Klagomål 9.1 Behandling av inkomna klagomål Inkomna klagomål 9.2 Kvalificerade frågor Inkomna kvalificerade frågor PuL Det har under året kommit in 312 diarieförda klagomål enligt personuppgiftslagen. En del klagomål föranleder Datainspektionen att inleda tillsyn mot den personuppgiftsanvariga som klagomålet riktas mot. Detta sker då i ett separat ärende. Alla som klagar får besked i någon form. De flesta klagomålen avser personuppgiftsbehandling inom kund- och medlemsförhållanden, på Internet, inom myndigheter och arbetslivet. De flesta klagomålen inom området myndigheter och arbetsliv avser personuppgiftsbehandling inom arbetslivet och särskilt olika typer av övervakning, exempelvis, gps och kameraövervakning. 9.3 Bedömning Antalet diarieförda klagomål enligt personuppgiftslagen ligger på ungefär samma nivå som 2010 då antalet klagomål ökade markant. Sett över en längre period kan vi också konstatera att antalet klagomål ökar något. Det är dock inte fråga om några anmärkningsvärda förändringar. Framför allt har vi de senaste åren sett en ökning av klagomål och frågor som rör publicering av personuppgifter på Internet, övervakning i arbetslivet och kameraövervakning. När det gäller antalet kvalificerade frågor kan vi konstatera en minskning i antal. Vi tror att detta kan bero på att allt fler frågor tas om hand av våra handläggare per telefon och e-post. 10. Förhandskontroller Inkomna förhandskontroller Forskning Polisen Skattemyndigheten Tullverket Kustbevakningen Förhandskontroller Den övervägande delen av anmälningar för förhandskontroll har avsett anmälan om hantering av personuppgifter om genetiska anlag i samband med forskning. Antalet sådana anmälningar har minskat med 77 under Bedömning Polisen Datainspektionen har ansett att de behandlingar som polisen har anmält är ändamålsenliga, men betonat vikten av att tillgången till uppgifterna begränsas till de 18 Datainspektionen Årsredovisning 2011

19 befattningshavare som har behov av uppgifterna i sitt arbete och vikten av en god IT-säkerhet Forskning Datainspektionens tidigare förslag (se årsredovisningarna 2006, 2007, 2008, 2009 och 2010) kvarstår gällande att anmälningsskyldigheten beträffande genetiska anlag bör inskränkas i syfte att förenkla för forskarna. Enligt vårt förslag ska anmälningsskyldigheten till Datainspektionen inte längre avse kliniska prövningar som är föremål för både etisk prövning av regional etikprövningsnämnd och granskning av Läkemedelsverket. Under 2011 har vi bistått justitiedepartementet med underlag i syfte att underlätta framtagandet av ett förslag till författningsändring. 11. Internationell verksamhet Internationell verksamhet, inklusive medverkan i EU:s gemensamma tillsyn över och utveckling av dataskyddsdirektivet. Återrapporteringskrav Datainspektionen ska redovisa omfattningen av myndighetens deltagande i internationellt arbete. Av redovisningen ska den tid och de resurser som myndigheten använder till detta arbete framgå. Redovisad tid för internationellt arbete under år 2011 uppgick till timmar, vilket kan jämföras med timmar år 2010 och timmar år Drygt ett femtontal av Datainspektionens medarbetare har under året representerat inspektionen vid olika möten i det internationella arbetet. Därutöver har ytterligare ett antal medarbetare deltagit i beredningen av de frågor som behandlas i det internationella arbetet gruppen Datainspektionen medverkar i EU:s gemensamma tillsyn över och utveckling av dataskyddsdirektivet genom sina representanter i 29-gruppen (tillsatt enligt artikel 29 i direktivet). Gruppen ska medverka till att direktivet tillämpas enhetligt i medlemsstaterna. Dessutom ska gruppen avge yttranden till EU-kommissionen om skyddsnivån i länder utanför EU samt ge råd till kommissionen om förslag till ändringar av direktivet. Dessa uppgifter ska också avse frågor som omfattas av direktivet om integritet och elektronisk kommunikation. Gruppen har under året antagit följande dokument: yttrande (WP 180) om branschens omarbetade förslag till ram för konsekvensbedömning av integritets- och uppgiftsskydd för tillämpningar som stöds av radiofrekvensidentifiering (RFID) med bilaga yttrande (WP 181) om förslaget till Europaparlamentets och rådets direktiv om användning av PNRuppgifter för att förebygga, upptäcka, utreda och lagföra terroristbrott och grov brottslighet yttrande (WP 182) om skyddsnivån för personuppgifter i Nya Zeeland yttrande (WP 183) om smarta mätare arbetsdokument (WP 184) om det nuvarande ramverket för anmälan av säkerhetsincidenter och rekommendationer för utveckling av framtida policy yttrande (WP 185) om positioneringstjänster på smarta mobila enheter yttrande (WP 186) om dataskyddsfrågor som har samband med förhindrande av penningtvätt och terroristfinansiering yttrande (WP 187) om begreppet samtycke yttrande (WP 188) om EASA/IAB Rekommendation om bästa praxis vad gäller beteendebaserad reklam på Internet Under 2011 har 29-gruppen sammanträtt i Bryssel vid fem tillfällen (ett endagsmöte och fyra tvådagarsmöten). 29-gruppen har under året ägnat mycket tid åt att diskutera framtiden för skyddet av personuppgifter och av kommissionen fått i uppdrag att komma med synpunkter beträffande vissa speciella frågor. Datainspektionen har under året också deltagit aktivt i sex arbetsgrupper inom 29-gruppen; Future of Privacy subgroup (den framtida rättsliga regleringen av skyddet för personuppgifter), Health Data subgroup (framför allt om epsos European Patients Smart Datainspektionen Årsredovisning

20 Open Services), Technology subgroup (IT-frågor), Key Provisions subgroup (om grundläggande begrepp i datakyddsdirektivet), Biometrics & e-government (bland annat e-förvaltning) och BTLE subgroup (Border, Travel & Law Enforcement). Dessa sex arbetsgrupper har sammanlagt föranlett sexton möten i Bryssel. Datainspektionen har under året varit och är fortfarande så kallad rapportör i Health Data subgroup, vilket innebär att inspektionen har ansvaret för att undergruppens arbete förs framåt och att det utarbetas förslag till något yttrande eller arbetsdokument Schengen JSA Schengens informationssystem (SIS) är en del i Schengensamarbetet. En gemensam tillsynsmyndighet (Schengen Joint Supervisory Authority (JSA)) utövar tillsyn över den centrala enheten i SIS, den så kallade C.SIS. Tillsyn över de nationella delarna av systemet görs av tillsynsmyndigheten i respektive medlemsstat och företrädare för dessa myndigheter ingår i den gemensamma tillsynsmyndigheten. Datainspektionen är nationell tillsynsmyndighet i Sverige och deltar i Schengen JSA. JSA har under 2011 lanserat en ny webbplats i syfte att öka insynen i myndighetens arbete, consilium.europa.eu. På webbplatsen beskrivs myndighetens uppgifter och där publiceras också de yttranden som myndigheten tagit fram. Under året har JSA bland annat avgett yttranden om åtkomst för fordonsregistrerande myndigheters åtkomst till SIS, registrering i SIS av så kallade våldsamma bråkmakare samt rutinmässig sökning i SIS avseende hotellgäster. JSA har också diskuterat kommande gemensamma tillsynsprojekt avseende olika slags registreringar i SIS. Schengen JSA har under året sammanträtt vid fyra tillfällen i Bryssel. Europeiska unionens råd genomför kontinuerligt en utvärdering av de länder som deltar i Schengensamarbetet för att se att respektive lands lagstiftning och praktiska tillämpning uppfyller kraven i Schengenkonventionen. Under 2011 gjordes en sådan utvärdering av de nordiska länderna, däribland Sverige, avseende dataskydd. En grupp som representerade rådet besökte i detta syfte Sverige under början av oktober Gruppen besökte både Datainspektionen och Rikspolisstyrelsen. Rådet ska därefter anta en rapport med slutsatser från utvärderingen Europol JSB och AC Datainspektionen har representanter i den gemensamma tillsynsmyndigheten för Europol (Joint Supervisory Body of Europol, JSB), som har i uppdrag att övervaka att Europols behandling av personuppgifter sker i enlighet med gällande regelverk. Från och med den 1 januari 2010 gäller en ny rättslig grund för Europols och JSB:s verksamheter i form av Rådets beslut av den 6 april 2009 om inrättande av den Europeiska polisbyrån (Rådsbeslutet för Europol). Rådsbeslutet ersatte den tidigare gällande Europolkonventionen. Europol har nu ställning som EU-myndighet. Årligen utför representanter för JSB inspektioner vid Europols kontor i Haag. En sådan inspektion utfördes under fyra dagar i mars En inspektionsrapport innehållande JSB:s slutsatser och rekommendationer antogs av JSB i november JSB har under året bland annat arbetat med frågor som rör tillsynsmyndighetens framtida strategi, tilllämpningen av tillgänglighetsprincipen, samt med frågor avseende Europols nya sätt att arbeta med analysfiler (Analytical Work Files, AWF). För att öka sin effektivitet har Europol för avsikt att övergå från ett stort antal analysfiler till endast ett fåtal. En annan fråga som har behandlats under 2011 är TFTP (Terrorist Finance Tracking Program), det vill säga EU:s överenskommelse med USA om överföring av uppgifter om finansiella transaktioner från EU i syfte att spåra terrorism. JSB har under året även genomfört en inspektion av personuppgiftsbehandlingen inom ramen för TFTP. Slutligen har JSB behandlat och yttrat sig över dataskyddsnivån och samarbetsavtal mellan Europol och stater som inte är medlemmar i Europol (så kallade tredjeländer). JSB har under 2011 sammanträtt vid fyra tillfällen i Bryssel och vid ett tillfälle i Ljubljana (Slovenien). Inom JSB finns en särskild överklagandekommitté (Appeals Committee, AC), till vilken enskilda kan överklaga Europols beslut ifråga om bland annat tillgång till och rättelse av personuppgifter. En av Datainspektionens representanter i AC är ordförande i kommittén, men har under delar av 2011 varit tjänstledig. AC har under 2011 behandlat fem klagomål och haft sammanlagt fyra sammanträden i Bryssel CIS JSA På EU-nivå finns en gemensam tillsynsmyndighet (CIS Joint Supervisory Authority) med uppgift att övervaka behandlingen av personuppgifter i den del av informationssystemet för tullsamarbete, Customs Information System, som har till syfte att underlätta informations- 20 Datainspektionen Årsredovisning 2011

21 utbyte för att bekämpa brott mot nationell lagstiftning på tullområdet. Informationsutbytet reglerades tidigare i en konvention. Sedan den 27 maj 2011 gäller dock ett rådsbeslut för detta informationsutbyte. Den gemensamma tillsynsmyndigheten består av företrädare för nationella tillsynsmyndigheter och företrädare för Datainspektionen deltar således i CIS JSA. CIS JSA ska se till att informationsutbytet följer bestämmelserna i rådsbeslutet men även i det så kallade dataskyddsrambeslutet. Myndigheten har under 2011 bland annat diskuterat frågor rörande tillämpningen av dataskyddsrambeslutet på CIS. Enligt rådsbeslutet ska CIS JSA och den Europeiske datatillsynsmannen (EDPS) träffas årligen för att samarbeta och samordna tillsynen över CIS. Ett sådant samarbete mellan EDPS och nationella tillsynsmyndigheter ska också ske ifråga om tillsyn över den del av CIS som syftar till att underlätta bekämpning av brott mot EU-gemensamma tullregler. CIS JSA har under året sammanträtt vid fyra tillfällen i Bryssel. I samband med dessa möten har också möten hållits med EDPS för samordning av tillsynen Konferenser och arbetsgrupper Som ett led i det internationella samarbetet träffas dataskyddsmyndigheternas chefer varje år för att diskutera dataskyddsfrågor vid ett internationellt datachefsmöte och ett EU-datachefsmöte. År 2011 hölls det internationella mötet i Mexico City och EU-datachefsmötet i Bryssel. Det hölls också ett nordiskt datachefsmöte i Helsingfors (de nordiska mötena äger rum vartannat år). Sedan 1999 hålls varje år normalt två seminarier (Case Handling workshops) där företrädare för EUstaternas dataskyddsmyndigheter samlas och närmare diskuterar konkreta frågor och ärenden i syfte att underlätta och bidra till harmoniserade resultat samt för att förbättra informationskanalerna mellan myndigheterna. Under 2011 hölls dock endast ett seminarium och det ägde rum i Warszawa. Företrädare för Datainspektionen deltog också i det årliga nordiska handläggarmötet, som 2011 ägde rum i Köpenhamn, och vidare i det nordiska teknikermötet som hölls i Oslo. Datainspektionen deltar i den så kallade Berlingruppen (the International Working Group on Data Protection in Telecommunications; IWGDPT). Det är en arbetsgrupp som på uppdrag av det internationella datachefsmötet behandlar frågor om dataskydd vid telekommunikation och tjänster på Internet. Gruppen har under året sammanträtt två gånger. Datainspektionen har också deltagit i arbetsgruppen Working Party on Police and Justice (WPPJ) som inrättades under ett tidigare EU-datachefsmöte i syfte att diskutera frågor som rör integritet och dataskydd inom brottsbekämpningen. Gruppen har under året sammanträtt vid tre tillfällen i Bryssel. Vid EU-datachefsmötet den 5 april 2011 beslutades att frågor om dataskydd på detta område som faller inom ramen för EU-samarbetet ska föras över till 29-gruppen (se ovan). Ett nytt mandat för WPPJ ska beslutas vid EU-datachefsmötet När det gäller Eurodac deltar Datainspektionen tillsammans med andra EU-länders dataskyddsmyndigheter och den Europeiske datatillsynsmannen (EDPS) i en arbetsgrupp för samordnad tillsyn. Arbetsgruppen inrättades år Gruppen har under året bland annat träffat företrädare för EU-kommissionen för att informera sig om hanteringen av Eurodac och arbetet med översyn av Eurodac-förordningen. Gruppen har också genomfört ett gemensamt tillsynsprojekt i medlemsstaterna avseende tillämpningen av bestämmelser om gallring av uppgifter i Eurodac. Projektet redovisas i en rapport som finns på EDPS webbplats. Gruppen Datainspektionen Årsredovisning

22 har under året sammanträtt vid två tillfällen i Bryssel. Datainspektionens representant är sedan 2009 vice ordförande i gruppen Utländska besök Datainspektionen har under året bland annat tagit emot en delegation från Japan och då informerat om den svenska dataskyddslagstiftningen och om myndighetens verksamhet. större uppmärksamhet. Den ökade globaliseringen har medfört ett ökat tryck på dataskyddsmyndigheternas samordning och samarbete. Det har också inneburit att Datainspektionen sett det som nödvändigt att öka deltagandet i 29-gruppens undergrupper. Särskilt kan nämnas att Datainspektionen under 2011, utifrån sina särskilda erfarenheter av skyddet kring elektronisk hantering av patientuppgifter inom hälso- och sjukvården, har tagit på sig den ledande rollen i undergruppen Health Data. Denna undergrupp har haft att arbeta fram en vägledning kring skyddet för personuppgifter i förhållande till EU-ländernas pilotprojekt för gränsöverskridande vårdtjänster, Smart Open Services for European Patients (epsos). Datainspektionen har därutöver deltagit i fem av 29-gruppens undergrupper, bland annat i den grupp som bereder frågor om den framtida regleringen av dataskyddet i EU-länderna och den grupp som hanterar e-förvaltningsfrågor. Vi ser ett fortsatt behov av att delta i samtliga av dessa sex undergrupper men normalt utan att ta på oss den ledande rollen som rapportör i någon av dem. Nya företeelser kan göra det påkallat att delta även i ytterligare någon undergrupp till 29-gruppen. Det är också något som 29-gruppen förväntar sig av medlemsstaternas dataskyddsmyndigheter. Tidsåtgången i den internationella verksamheten har ökat under året. Det är förklarligt med hänsyn till att vi ökat vårt deltagande till fler undergrupper än tidigare år och att vi tagit på oss en mer aktiv roll i en av grupperna. Den internationella verksamheten har sammantaget tagit en hel del resurser hos inspektionen i anspråk. I vissa delar har vi kunnat lägga ned det arbete som frågorna förtjänat. I andra delar har vi av prioriteringsskäl inte alltid fullt ut kunnat lägga ned de resurser som frågorna har förtjänat Bedömning I Datainspektionens internationella verksamhet behandlas dataskyddsfrågor som är gränsöverskridande och som därför förutsätter att åtminstone alla dataskyddsmyndigheter inom EU medverkar. Verksamheten tillför kunskap och erfarenheter till det nationella arbetet. Arbetet i gemensamma tillsynsgrupper har också ofta föranlett nationell tillsyn eller andra åtgärder där resultatet sedan kan jämföras med erfarenheterna i andra medlemsstater. När liknande tolknings- och tillämpningsproblem upptäcks i flera länder kan detta tas upp i gemensamma rapporter och därigenom uppnås 22 Datainspektionen Årsredovisning 2011

23 12. Elektronisk förvaltning Återrapportering Datainspektionen ska redovisa vilka insatser myndigheten har gjort för att värna den personliga integriteten i samband med utvecklingen av en elektronisk förvaltning inom den offentliga förvaltningen Allmänt om arbetet med e-förvaltning I den offentliga förvaltningen pågår för närvarande stora förändringar och inom många organisationer introduceras nya former av IT-lösningar för att möta krav på ökad effektivitet och tillgänglighet. De nya IT-systemen medför en omfattande automatiserad behandling av personuppgifter och en stor del av Datainspektionens arbete gentemot statliga myndigheter berör därför sådan verksamhet som omfattas av begreppet e- förvaltning. Frågor om e-förvaltning är ett angeläget och prioriterat område för Datainspektionen. Datainspektionens e-förvaltningsarbete är inte begränsat till staten utan har även omfattat till exempel kommuner och landsting. När IT-system utvecklas är det viktigt att säkerhet och integritet byggs in från början, därför har Datainspektionen under året arbetat med att ta fram en vägledning kring inbyggd integritet privacy by design. Vägledningen publicerades i januari Åtskilliga lagförslag, utredningar och propositioner som Datainspektionen har fått på remiss under 2011 har rört frågor om e-förvaltning Tillsyn och inspektioner Projekt Tillsynsprojektet utökat elektroniskt informationsutbyte avslutades under Efter beslut mot två socialnämnder och två statliga myndigheter skickades brev med sammanfattande information ut från Datainspektionens generaldirektör till förvaltningscheferna för samtliga socialnämnder i landet och till myndighetscheferna för fem relevanta statliga myndigheter. Ett av besluten mot en av de statliga myndigheterna (Försäkringskassan) överklagades och ärendet är under prövning av Förvaltningsrätten i Stockholm. E-legitimationsprojektet avslutades i början av året. Datainspektionen konstaterade att ett minimum av personuppgifter hanteras vid identifieringen av användaren. Datainspektionen ansåg det vara positivt och i linje med personuppgiftslagens krav att inte fler personuppgifter ska registreras än vad som är nödvändigt. Under 2008 genomförde Datainspektionen ett tillsynsprojekt som rörde kontroll av hur anställda kommer åt personuppgifter. Fem stora statliga myndigheter inspekterades. Kontrollen visade att det fanns brister i kontrollen hur anställda kommer åt personuppgifter. Myndigheterna blev ålagda att åtgärda bristerna. Datainspektionen har under 2011 inlett ett projekt att följa upp besluten. Inom ramen för ett tillsynsprojekt har vi granskat rutiner kring hantering av känsliga personuppgifter i e-post hos socialnämnder och vårdgivare och funnit att de instruktioner som lämnas till befattningshavare varit alltför otydliga för att säkerställa ett gott skydd för personuppgifterna. Vi har i tre tillsynsärenden granskat informationsutbytet mellan hälso- och sjukvården och socialtjänsten i e-tjänsten WebCare och funnit att det sker på ett sätt som saknar stöd i lagen Övrig tillsyn och inspektioner Datainspektionen inledde under 2011 en granskning av kommuners webbpublicering av framför allt diarier, protokoll och andra möteshandlingar som kan innehålla personuppgifter. Totalt granskas ett 50-tal kommuner. Bakgrunden till tillsynen är att allt fler kommuner publicerar dokument av det här slaget som kan innehålla personuppgifter på sina egna, publika webbplatser. Beslut kommer att fattas under våren Under året har Datainspektionen även inspekterat e-förvaltning hos Nacka kommun. Datainspektionen granskade under året ett antal vårdgivare som använder så kallad sammanhållen journalföring för att ta del av andra vårdgivares patientjournaler. Granskningen visade att det fanns brister i informationsutbytet. Vissa av bristerna berodde på utformningen av de journalsystem som användes. Två av de granskade vårdgivarna var mindre företag som var anslutna till landstingens lösningar för sammanhållen journalföring och använde de journalsystem som används hos landstingen. Efter att ha funnit brister hos de mindre vårdgivarna, inledde Datainspektionen Datainspektionen Årsredovisning

24 tillsyn mot landstingen, eftersom dessa är de enda som har reella möjligheter att åtgärda bristerna. Datainspektionen inledde under året en omfattande granskning av samtliga landsting och fem av de största privata vårdgivarna, i syfte att undersöka hur de tillgodoser patienternas rätt att spärra uppgifter i sina journaler. Enligt patientdatalagen har patienter rätt att spärra uppgifter från att lämnas ut dels mellan olika vårdenheter inom samma vårdgivare, dels mellan olika vårdgivare som använder sammanhållen journalföring för att utbyta uppgifter med varandra. I tillsynen måste vårdgivarna redovisa samtliga IT-system som innehåller vårddokumentation. Beslut kommer att fattas under våren Datainspektionen inledde under året en omfattande granskning av hur kommuner hanterar skyddade personuppgifter om framför allt skolelever. Totalt granskas 24 kommuner, de flesta har fått besvara en enkät och några har inspekterats. Granskningen ska klargöra hur kommunerna hanterar skyddade personuppgifter i det dagliga arbetet, de anställdas tillgång till skyddade personuppgifter, interna regler och riktlinjer för hantering av skyddade personuppgifter samt hur dessa uppgifter skyddas från obehörig åtkomst. Beslut kommer att fattas under våren Samverkan med andra på e-förvaltningsområdet För att stärka utvecklingen av e-förvaltningen och skapa goda möjligheter för myndighetsövergripande samordning beslutade regeringen den 26 mars 2009 att inrätta E-delegationen. Delegationen ska vid behov tillkalla en referensgrupp i vilken Datainspektionen ingår. Datainspektionen har varit representerad i två expertgrupper som inrättats under e-delegationen, expertgruppen för rättsliga frågor och expertgruppen för internationell förvaltning. Inom expertgruppen för rättsliga frågor har inspektionen bland annat varit med och tagit fram e-delegationens Rapport Utlämnande på medium för automatiserad behandling, samt utkast till vägledning för vidareutnyttjande av information (PSI). Av Arbetsförmedlingens regleringsbrev för 2011 framgår följande. Arbetsförmedlingen ska senast den 31 december 2013 ha utvecklat och implementerat ett nytt ärendehanteringssystem. Datasystemet ska vara utformat på ett sådant sätt att den tekniska åtkomsten till personuppgifter begränsas till de personalkategorier som på grund av sina arbetsuppgifter behöver tillgång till personuppgifterna (11 lagen [2002:546] om behandling av personuppgifter i den arbetsmarknadspolitiska verksamheten) samt i enlighet med Datainspektionens rekommendationer. Systemutvecklingen ska ske efter samråd med Datainspektionen. Datainspektionen har löpande under året deltagit i samråd med Arbetsförmedlingen rörande Arbetsförmedlingens systemutveckling. Datainspektionen ingår i en referensgrupp till Kammarkollegiet som arbetar med att ta fram ett ramavtal för kommuner och landsting avseende molntjänster. Datainspektionen har inom ramen för detta arbete deltagit vid två möten. E-legitimationsnämnden bildades den 1 januari Nämnden har som övergripande uppgift är att stödja och samordna offentliga sektorns behov av säkra metoder för elektronisk identifiering och signering. Datainspektionens generaldirektör har förordnats som ledamot i nämnden. Skatteverket har samrått med Datainspektionen rörande Skatteverkets projekt mina meddelanden där Datainspektionen även deltagit i en workshop. Flera myndigheter (exempelvis Lantmäteriet, Försäkringskassan, Arbetsförmedlingen) har under året tagit kontakt med Datainspektionen för att diskutera frågor som rör e-förvaltning. 24 Datainspektionen Årsredovisning 2011

25 12.5 Övrigt Datainspektionen har deltagit som föreläsare vid flera konferenser. Inspektionen har föreläst om Modern e- förvaltning och den personliga integriteten och Molnet vid bland annat konferenserna Offentliga rummet och Sundsvall 42, om integritetsskyddande e-identiteter på E-förvaltningsdagarna, om Molnet på Internetdagarna och om E-förvaltning inom hälso- och sjukvården vid Vitalis-mässan i Göteborg. Datainspektionen deltar löpande i seminarier om e-förvaltning som anordnas av Arena E-förvaltning, ADBJ och Dataföreningen. Datainspektionen har också deltagit i EU-konferensen Borderless egovernment Services for Europeans i Poznan, Polen, anordnad av den polska regeringen och EU kommissionen under Polens ordförandeskap i EU Bedömning Det pågår stora förändringar inom området elektronisk förvaltning. Förändringsarbetet sker dessutom i mycket hög takt och ibland uppdelat i många små förändringar vilket gör det svårt att bedöma konsekvenserna. Det är viktigt att förändringsåtgärder inom den offentliga förvaltningen föregås av avvägningar mellan behovet av effektivitet och behovet av integritetsskydd. Sådana avvägningar är enligt inspektionens erfarenheter en förutsättning, inte endast för att kunna upprätthålla ett rimligt integritetsskydd, utan även för att avsedda förändringar ska kunna genomföras trots befintlig register- och sekretesslagstiftning. Befintlig lagstiftning och grunderna för den måste beaktas tidigt i ett förändringsarbete. Det kan behövas särskilda utredningsinsatser områdesvis för att förändrad lagstiftning med registerregler och sekretess ska kunna genomföras. Datainspektionen har bidragit till en rättsäker elektronisk förvaltning genom att särskilt bevaka enskildas personliga integritet genom i huvudsak inspektioner, remissyttranden, samverkan med andra myndigheter, föreläsningar och deltagande i utredningar. Vid tillsyn finner vi ofta brister när det gäller åtkomsten till personuppgifter i myndigheters ärendehanteringssystem och andra register med personuppgifter. Vi finner också ofta brister i IT-säkerheten. De områden vi fokuserat på är utformning av behörighetssystem, åtkomst till skyddade personuppgifter, loggar och loggkontroll och säkerheten vid kommunikation och informationsutbyte. Tjänster för elektronisk förvaltning förefaller fortfarande många gånger utvecklas och tas i bruk utan att kraven på säkerhetsåtgärder beaktas. 13. Övrig rapportering 13.1 Internet Datainspektionen tar emot en stor mängd klagomål från människor som upplever att de blivit kränkta genom att deras personuppgifter publicerats på Internet. Dessa klagomål är mycket resurskrävande eftersom det ofta är fråga om svåra och viktiga överväganden när det gäller att bedöma gränsdragningar mot yttrandefriheten. Datainspektionen har inte resurser att utreda alla dessa klagomål utan prioriterar att utreda olika typfall av kränkningar, bland annat för att utvärdera effekten i olika åtgärder, som exempelvis att anmäla en kränkning till polisen eller att uppmana ett webbhotell eller sajt att ta bort en kränkande publicering. och som publicerar detaljerade personuppgifter om personer som dömts för sexualbrott mot barn. Datainspektionen har tillsammans med de övriga nordiska dataskyddsmyndigheterna inlett en dialog med Facebook och även deltagit i ett möte med företaget. Målet med denna dialog är att tydliggöra för Facebooks medlemmar hur företaget behandlar deras personuppgifter. Datainspektionen har under året även föreläst om reglerna kring behandling av personuppgifter på sociala medier och även vidareutvecklat myndighetens webbplats Kränkt.se som riktar sig till unga och som ger tips och råd om hur man kan gå tillväga om man blivit kränkt på nätet Aktiviteter Under 2011 har Datainspektionen i ett fall polisanmält en webbplats som inspektionen bedömt vara kränkande Datainspektionen Årsredovisning

26 14. Övergripande bedömning av utveckling och resultat för tillsyn över behandlingen av personuppgifter Personuppgiftsbehandlingen i samhället är gigantisk och Datainspektionen har endast möjlighet att följa en ringa del. Den stora utmaningen är därför att på bästa sätt göra vettiga prioriteringar. En viktig strategi är att synliggöra frågorna i samhället. Myndigheten har också fortsatt att arbeta proaktivt, det vill säga att ta egna initiativ inom särskilt definierade områden. När det gäller synliggörandet har myndigheten varit fortsatt framgångsrik. Våra frågor har fått i stort sett samma uppmärksamhet i media som under rekordåret Vi har arbetat efter hypotesen att en ökad synlighet leder till ökade kontakter med myndigheten. Den hypotesen bekräftas i flera avseenden. Besöken på webbplatsen har fortsatt att öka och uppgick 2011 till drygt , vilket nästan är 25 procent högre än året innan. Vi kan också konstatera en stark uppgång av frågor till vår upplysningstjänst, i synnerhet mejlfrågor. Vissa ärendeslag har minskat. Det gäller till exempel kvalificerade frågor, samråd och klagomål. Sett över flera år är det dock inte fråga om någon ovanlig variation. Arbetet med att avge yttranden över utredningar och lagförslag har nu återgått till ungefär samma höga nivå som året före valåret Vi noterar också en relativt stor ökning av tid för samverkan och samråd med myndigheter och andra aktörer. I den förra årsredovisningen uttryckte vi tillfredställelse över resultatet inom inspektionsverksamheten. Under 2011 inledde vi avsevärt färre fältinspektioner men å andra sidan betydligt fler skrivbords- och enkätinspektioner. Antalet avslutade fält- och skrivbordsinspektioner översteg dock siffrorna för Vi bedömer att valen av inspektionsobjekt legat i linje med vad regeringen uttryckt i regleringsbrevet, nämligen känsliga områden, nya företeelser, samt områden, där risk för missbruk är särskilt stor samt det i regleringsbrevet särskilt utpekade området e-förvaltning. Även om val av inspektionsobjekt är betydligt viktigare än frågan om antalet inspektioner, hade det varit önskvärt med ett högre utfall, än vad Datainspektionen förmått. När det gäller inspektionens deltagande i internationell verksamhet har vi avsatt mer resurser än tidigare. Med tanke på dataskyddsfrågornas gränsöverskridande karaktär är det helt nödvändigt. Trots en höjd ambitionsnivå hade det även inom det här området varit önskvärt med fördjupade arbetsinsatser. Enligt instruktionen ska myndigheten följa och beskriva utvecklingen på IT-området när det gäller frågor som rör integritet och ny teknik. Datainspektionen fullgör det uppdraget genom att ha tillräcklig kompetens för att i sin inspektionsverksamhet granska och bedöma nya företeelser, som kommer till tillämpning. Någon högre ambitionsnivå än så är inte möjlig med tillgängliga resurser. Ett område där våra erfarenheter ger anledning till särskild oro är situationen för e-förvaltningen på hälsooch sjukvårdsområdet. Patientdatalagens bestämmelser till skydd för den personliga integriteten har fortfarande inte fått ett tillfredsställande genomslag, inte ens hos de största, offentliga aktörerna. De brister vi ser rör ofta viktiga grundprinciper för integritetsskyddet, till exempel korrekt information till patienterna och rätten att i vissa sammanhang inte bli registrerad. Slutligen ska i det här sammanhanget åter lyftas fram ytterligare problemområde, inom vilket inspektionen har begränsade möjligheter att göra nytta och det gäller kränkningar på nätet, framförallt enskilda som kränker enskilda. Här ser vi brister dels när det gäller lagstiftningen, dels när det gäller möjligheten för enskilda att få hjälp och dels i den verktygslåda som Datainspektionen disponerar över. Som ovan antytts innebär den digitala utvecklingen att Datainspektionen får allt svårare att prioritera. Bland annat är det svårt att möta en ökad efterfrågan från myndigheter, departement och företrädare från olika samhällsområden när det gäller att biträda i olika utvecklings- och lagstiftningsprojekt samtidigt som tillsynsuppdraget över ett kontinuerligt växande verksamhetsfält måste skötas. Av det skälet överlämnade Datainspektionen i slutet av förra året en skrivelse till justitiedepartementet med ett förslag att se över myndighetens roll, uppdrag och verktyg. Med utgångspunkt från nuvarande resurstilldelning och uppdrag, bedömer vi sammanfattningsvis att Datainspektionen avseende 2011 väl levt upp till kraven såsom de formulerats i instruktion och regleringsbrev och använt resurserna på ett genomtänkt sätt. 26 Datainspektionen Årsredovisning 2011

27 15. Tillsyn och tillståndsgivning inom kreditupplysnings- och inkassoverksamhet Uppgift Datainspektionen ska verka för att god sed iakttas i kreditupplysnings- och inkassoverksamhet. Kostnader och intäkter för området tillsyn och tillståndsgivning inom kreditupplysnings- och inkassoverksamhet Kostnader Intäkter Föreläsningar Datainspektionen har arrangerat fyra heldagsutbildningar rörande kreditupplysningslagens och inkassolagens regelverk. Datainspektionen har dessutom hållit fem uppdragsföreläsningar rörande inkassofrågor. Föreläsningar Inkasso IkL/KuL Information, regelgivning och rådgivning Telefon- och e-postfrågor Datainspektionen har sedan början av 2011 ett nytt sätt att föra statistik över besvarade mejl- och telefonfrågor till myndighetens upplysningstjänst, som bland annat innebär att vi inte längre kan särredovisa antalet frågor inom de olika verksamhetsgrenarna personuppgiftslagen, inkasso- eller kreditupplysningslagen. Totalt sett har det dock konstaterats att det totala antalet frågor till myndigheten har ökat jämfört med föregående år. Det är Datainspektionens uppfattning att en stor del av denna ökning avser frågor som är relaterade till de lagändringar i kreditupplysningslagen som trädde i kraft i början av året. Ärendegruppen Rådgivning KuL och IkL i myndighetens tidredovisning visar också en ökning med cirka 35 procent jämfört med tidigare år. På kreditupplysnings- och inkassoområdena tas dessutom ett stort antal telefonfrågor emot av myndighetens handläggare på dessa områden. Dessa frågor framgår inte av statistiken över telefon- och e-postfrågor. Under 2011 uppgick antalet diarieförda frågor om kreditupplysningslagen till fyra stycken och frågor om inkassolagen till tolv stycken. På webbplatsen finns avdelningar för kreditupplysning och inkasso. Dessa delar av webbplatsen är mycket välbesökta. På webbplatsen finns även listor över innehavare av inkasso- och kreditupplysningstillstånd Samverkan Datainspektionen har under året haft två möten med Finansinspektionen i syfte att samordna tillämpningen av god inkassosed. Därutöver har myndigheten samrått med företrädare för Utredningen om snabbare betalningar (JU 2011:04) och deltagit i ett möte med bland annat företagarorganisationen Företagarna i syfte att diskutera problem med bluffakturor. Vi har även fortlöpande kontakter med Kronofogdemyndigheten, Finansinspektionen, Konsumentverket och branschorganisationen på inkassoområdet Föreskrifter och allmänna råd Datainspektionen har bemyndigande att meddela närmare föreskrifter för tillämpningen av inkassolagen. Inspektionen har sedan tidigare begränsat sådan normgivning till sådant som bedömts som absolut nödvändigt att reglera. Det har skett genom utfärdande av en enstaka författning med föreskrifter om tillstånd enligt inkassolagen. I övrigt har Datainspektion, i stället för att utfärda författningar, till vägledning för den som bedriver inkassoverksamhet gett ut allmänna råd med råd och rekommendationer. Datainspektionen har under 2011 uppdaterat en tidigare utfärdad författning. Det har skett genom utfärdande av inspektionens föreskrift (DIFS 2011:1) om ändring av Datainspektionens föreskrifter (DIFS 1989:1) om tillstånd enligt 2 inkassolagen (1974:182). Datainspektionen har under 2011 även genomfört en omfattande revidering av inspektionens allmänna råd om inkassolagen. De reviderade råden, Tillämpning av Datainspektionen Årsredovisning

28 inkassolagen, finns sedan september 2011 tillgängliga i tryckt format och går även att hämta i pdf-format från Bedömning Antalet diarieförda frågor som rör inkasso har minskat något jämfört med föregående år och antalet frågor om kreditupplysning har ökat något. Totalt sett är dock antalet diarieförda frågor på dessa områden få. Detta kan förklaras av att inkasso- och kreditupplysningsföretagen ofta vänder sig med sina frågor direkt till de handläggare som är specialiserade på respektive rättsområde och som de har upparbetade kontakter med. Sådana frågor diarieförs inte. Frågor från allmänheten tas oftast om hand av juristerna i upplysningstjänsten. Inte heller dessa diarieförs. Som nämnts ovan är dock myndighetens uppfattning att antalet frågor som rör kreditupplysningsverksamhet har ökat jämfört med föregående år Kreditupplysningslagen Tillsynsverksamheten Tillsyn Påbörjade ärenden Avgjorda ärenden Ingående balans Utgående balans Datainspektionen har under 2011 inlett tio tillsynsärenden enligt kreditupplysningslagen. Av dessa var åtta skrivbordsinspektioner som föranleddes av klagomål från allmänheten. Dessa har i huvudsak rört i vad mån frågeställaren haft legitimt behov av upplysningen och registrering av missvisande uppgifter. Övriga tillsynsärenden ingår i det tillsynsprojekt som inleddes i slutet av 2010 och som syftar till att kontrollera hur kreditupplysningsbranschen har anpassat sin verksamhet till de ändringar i kreditupplysningslagen som trädde i kraft den 1 januari Detta projekt avslutades i januari Bedömning Datainspektionens tillsyn av kreditupplysningsbranschen har under 2011 fokuserat på de lagändringar i kreditupplysningslagen som trädde i kraft den 1 januari Ändringarna innebär att bestämmelserna om legitimt behov och kreditupplysningskopia måste beaktas även i de fall utlämnandet sker via en webbplats som omfattas av den så kallade databasregeln i 1 kap. 9 yttrandefrihetsgrundlagen. Datainspektionen har inom ramen för sitt projekt kunnat konstatera att två kreditupplysningsbolag fortsatte att lämna ut kreditupplysningar via sina webbplatser utan att beakta de nya bestämmelserna. Datainspektionen förelade i båda fallen bolagen att upphöra med utlämnandet i fråga vid äventyr av vite på kr. Dessa båda kreditupplysningsbolag följer numera Datainspektionens beslut. De flesta kreditupplysningsföretag anpassade dock redan från början sina webbtjänster efter de nya bestämmelserna. De nya bestämmelserna har föranlett två nya fenomen på kreditupplysningsområdet. För det första har flera av de större kreditupplysningsbolagen utvecklat olika tjänster för att tillhandahålla kreditupplysningskopiorna på elektronisk väg. Ett av bolagen erbjuder numera en elektronisk brevlådetjänst. Andra bolag har inrättat webbplatser dit de omfrågade hänvisas via sms eller e-postmeddelanden för att kunna ta del av sina kreditupplysningskopior i elektronisk form. Datainspektionen har godkänt den elektroniska brevlådetjänsten medan de granskade webbplatstjänsterna inte kan sägas leva upp till kraven på att en kreditupplysningskopia ska sändas till den omfrågade. Datainspektionen har i de sistnämnda fallen förelagt respektive kreditupplysningsbolag att vidta rättelse. Besluten är överklagade till förvaltningsrätten. För det andra har vissa kreditupplysningsbolag börjat tillhandahålla kreditupplysningsinformation via tekniska upptagningar som omfattas av reglerna i 1 kap. 10 yttrandefrihetsgrundlagen. Förenklat innebär dessa tjänster att abonnenten prenumererar på ett usb-minne som innehåller kreditupplysningsinformation. Med hänsyn till att de nya bestämmelserna bara tar sikte på sådant utlämnande som sker på webbplatser med stöd av databasregeln behöver reglerna om legitimt behov och kreditupplysningskopia inte beaktas när utlämnandet sker via tekniska upptagningar. Sammanfattningsvis kan sägas att lagändringarna delvis lett till en förstärkning av konsument- och integritetsskyddet på kreditupplysningsområdet. Genom att flera kreditupplysningsbolag valt att utveckla nya och effektiva kreditupplysningstjänster i form av 28 Datainspektionen Årsredovisning 2011

29 tekniska upptagningar som innebär att reglerna om legitimt behov och kreditupplysningskopia inte behöver beaktas blir dock slutsatsen att lagändringarna i detta hänseende inte fått avsedd verkan. Datainspektionen konstaterar därför att vi inte har kunnat skapa förutsättningar för att ett integritetsskydd iakttas i kreditupplysningsverksamhet i den omfattning som lagändringarna var avsedda att åstadkomma Tillstånd Tillstånd Inkomna ärenden Avgjorda ärenden Ingående balans Utgående balans Under 2011 kom det in fyra ansökningar till Datainspektionen om tillstånd att bedriva kreditupplysningsverksamhet. Av dessa avsåg tre nya tillstånd. Tre ärenden är avgjorda Bedömning Kreditupplysningsverksamheten koncentreras till ett fåtal stora bolag. Därutöver finns ett grupp mindre aktörer som utökas med någon ny aktör per år Bedömning Antalet klagomål har ökat märkbart jämfört med de senast föregående åren. Denna ökning torde till stor del vara en följd av de lagändringar som började gälla den 1 januari. Kravet på att en kreditupplysningskopia ska skickas till den omfrågade även när kreditupplysningen lämnas ut via en webbplats har föranlett kreditupplysningsbolag att av kostnadsskäl utveckla tjänster som går ut på att tillhandahålla kreditupplysningskopior på elektronisk väg. Flera av dessa tjänster har föranlett en stor mängd klagomål, varav de principiellt intressanta har diarieförts som ärenden. Det förhållandet att de omfrågade i ökad omfattning får del av kreditupplysningskopior har inneburit att den omfrågade getts möjlighet att upptäcka missvisande uppgifter och ifrågasätta frågeställarens legitima behov Inkassolagen Tillsynsverksamheten Tillsyn Påbörjade ärenden 66 84* 86 Avgjorda ärenden Ingående balans Utgående balans Klagomål Behandling av inkomna klagomål Inkomna klagomål Under 2011 kom det in 51 klagomål enligt kreditupplysningslagen som diariefördes. Vanligt förekommande är klagomål som rör kreditupplysningsföretagens nya tjänster för tillhandahållande av kreditupplysningskopior på elektronisk väg. Det förekommer även klagomål som rör missvisande uppgifter i kreditupplysningar och att det saknas legitimt behov hos den som begärt ut en kreditupplysning. * Av totalt 84 ärenden utgjorde 18 enkättillsyn Tillsynen har förutom rutintillsyn av nya tillståndshavare, gällt bland annat bristande kommunikation mellan inkassoombud och borgenär, till exempel att information om invändningar som gäldenären lämnat till borgenären inte har framförts till inkassoombudet, och därmed påverkar handläggningen av ärendet hos inkassoombudet samt brister i underrättelse till gäldenären i samband med att fordringar överlåtits. Utöver de 66 diareförda tillsynsärendena har ytterligare 17 ärenden hanterats genom förenklad tillsyn (se avsnitt 8.5) men inom ramen för klagomålsärenden Bedömning Antalet tillsynsärenden ligger på en något lägre nivå jämfört med föregående år. Detta beror bland annat på att Datainspektionen inte inlett några egeninitierade tillsynsprojekt under året utan lagt stora resurser på Datainspektionen Årsredovisning

30 arbetet med att revidera, och även utbildat inkassobranschen i, Datainspektionens allmänna råd om inkasso. Tillsynen har under året varit in inriktad på brister som initierats genom klagomål från enskilda och löpande tillsyns av de stora aktörerna på området. Tillsynen har precis som föregående år visat att det i förhållande till mängden krav som skickas ut är få ärenden som på ett markant sätt faller utanför begreppet god inkassosed. Datainspektionens erfarenheter från tillsynsverksamheten visar att de etablerade inkassobolagen i allt väsentligt följer god inkassosed Tillstånd Tillstånd Inkomna ärenden Avgjorda ärenden Ingående balans Utgående balans Under 2011 inkom 66 ansökningar om tillstånd att bedriva inkassoverksamhet. Av dessa utgjorde en del förlängningar av sedan tidigare beviljade tidsbegränsade tillstånd Bedömning Datainspektionen noterar liksom föregående år att det inte tillkommer många stora nya aktörer på inkassoområdet. De ansökningar som kommer in till myndigheten avser precis som tidigare främst mindre bolag och i viss utsträckning är det även bolag som redan har inspektionens tillstånd att bedriva inkassoverksamhet men som fusionerats med andra bolag Klagomål Behandling av inkomna klagomål Inkomna klagomål Det har under 2011 inkommit 192 klagomål. Klagomålen har bland annat gällt krav där fordran påstås vara preskriberad, att gäldenären inte anser sig ha fått tillräcklig information samt bolagens hantering av bestridda fordringar Bedömning Ser man till det antal inkassokrav som årligen skickas till gäldenärer av inkassoföretagen är antalet klagomål till Datainspektionen få Övergripande bedömning av hur verksamheten har utvecklats och dess resultat När det gäller inkassoverksamheten kan, vi precis som föregående år, konstatera att branschen i allt väsentligt följer god inkassosed och att målet för verksamhetsgrenen, vad avser inkasso, är uppfyllt. Som nämnts ovan har kreditupplysningsbranschen vidtagit ett antal åtgärder med anledning av de lagändringar som trädde i kraft 2011 och som syftar till att återställa integritets- och konsumentskyddet på kreditupplysningsområdet. Datainspektionen har dock i sin tillsyn av branschen under året konstaterat att flera av de förändringar som gjorts inte lever upp till kraven i kreditupplysningslagen och att det fortfarande förekommer kreditupplysningstjänster som är utformade på ett sådant sätt att de som tillhandahåller dessa tjänster inte behöver iaktta bestämmelserna om legitimt behov och kreditupplysningskopia. Mot denna bakgrund kan vi därför inte konstatera att målet för verksamhetsgrenen i denna del fullt ut är uppfyllt. 30 Datainspektionen Årsredovisning 2011

31 16. Kvalitet och effektivitet i verksamheten Datainspektionen ska redovisa och analysera de åtgärder som myndigheten har vidtagit för att utveckla kvaliteten och effektiviteten i verksamheten Aktiviteter Ledning, styrning och uppföljning Datainspektionens styrnings- och uppföljningsprocess innefattar verksamhetsplan och tillsynsplaner som regelbundet följs upp både inom respektive team och myndighetsövergripande. Myndigheten följer kvartalsvis upp och analyserar ärende- och tidredovisningsstatistik. Uppföljningen är nödvändig för att ge myndigheten underlag till eventuella omprioriteringar av resurser och aktiviteter i syfte att uppnå verksamhetsmålen. Uppföljningen säkerställer också att verksamheten bedrivs i enlighet med gällande strategier. Myndigheten genomför löpande rättstillämpningsmöten. Dessa möten syftar till att vara kompetenshöjande, bidra till ökad kvalitet i rättsliga bedömningar och enhetlighet i myndighetens tillämpning och beslut. Under året har vi sett över myndighetens rutin för hantering av remisser. Översynen har resulterat i ett styrdokument som syftar till en mer rättsäker och effektiv hantering av remisser. Myndigheten har en rutin för att löpande följa upp kvaliteten i de svar som lämnas inom ramen för upplysningstjänsten. Myndigheten har tagit initiativ till en benchmarkingaktivitet med andra tillsynsmyndigheter i syfte att identifiera andra och bättre arbetssätt. Myndigheten har under året beslutat att införa förhållningssättet Lean i verksamheten Informations- och kommunikationsarbetet I början av året infördes en ny rutin för årlig, återkommande kvalitetssäkring av allt informationsmaterial. En första granskning av informationsmaterial gjordes enligt rutinen under första kvartalet. Granskningen ledde till att stora delar av informationsmaterialet uppdaterades. Med de nya rutinerna minskar risken för att exempelvis mindre ändringar i praxis och lagar samt namnbyten inte får genomslag i vårt informationsmaterial. Funktionen för beställning av informationsmaterial på webbplatsen försågs under året med en lagersaldofunktion vilken underlättar administrationen av om- och nytryck av informationsmaterial. En förbättrad sökfunktion lanserades också i syfte att göra det lättare för besökare att hitta rätt information Kompetensutveckling och utveckling av arbetssätt Kompetensutvecklingsarbetet vid myndigheten följer en fastslagen strategi. Utifrån vad som framkommer vid de enskilda planerings- och utvecklingssamtalen identifierar och prioriterar myndigheten kompetensutvecklingsbehovet för varje år. För år 2011 genomfördes bredare kompetensutvecklingsinsatser inom områdena presentationsteknik, juridisk engelska och mediaträning. Vidare avsätter myndigheten en budget för respektive team att disponera för kompetensutvecklingsinsatser av mer individuellt eller ämnesspecifikt slag. Myndigheten inledde under året ett långsiktigt arbete med den gemensamma värdegrunden i staten, bland annat under en heldag för all personal. Under året genomfördes en medarbetarundersökning med sammantaget ett mycket bra resultat. En förslagshanteringsrutin för omhändertagande och genomförande av förslag till förbättringar i verksamheten infördes under året. Under året har myndigheten effektiviserat och förenklat hanteringen av vissa administrativa stödsystem. Myndigheten avropar numera exempelvis telefoni, utskrifter och kopiering som tjänster på tillgängliga ramavtal. Därmed bedömer myndigheten att sårbarheten och kostnaderna minskar. I verksamheten med upplysningstjänsten har myndigheten under året effektiviserat arbetet med besvarandet av frågor som kommer in till myndigheten via telefon och e-post Bedömning Sammanfattningsvis bedömer myndigheten att de åtgärder som vidtagits har bidragit till både effektiviteten och kvaliteten i verksamheten. Dessutom bedömer vi att många av åtgärderna har bidragit till det goda arbetsklimatet vid myndigheten. Datainspektionen Årsredovisning

32 17. Kursverksamhet Uppdrag Datainspektionen ska redovisa de ekonomiska aspekterna av den kursverksamhet som myndigheten tar ut avgifter för. Redovisningen ska också omfatta de åtgärder som Datainspektionen behöver vidta för att med stöd av ett eventuellt bemyndigande kunna ta ut avgifter för den angivna verksamheten. Uppdraget ska redovisas till regeringen (Justitiedepartementet) senast den 31 augusti Myndigheten redovisade under hösten sin utbildningsverksamhet för första halvåret till regeringen. Vid en efterföljande genomgång och diskussion med företrädare för myndighetens fackdepartement uttryckte uppdragsgivaren en önskan om att myndigheten ska vidareutveckla och effektivisera den administrativa delen av verksamheten. Under kommande år kommer ett förbättringsarbete att ske för denna del av myndighetens verksamhet. 18. Organisationsstyrning 18.1 Kompetensförsörjning För att inspektionen ska kunna bedriva en effektiv verksamhet krävs att vi har tillgång till hög kompetens inom det juridiska området och IT-säkerhetsområdet. Vi vill också ha rimlig balans mellan antalet män och kvinnor och en blandad åldersstruktur. I samband med nyrekrytering är strävan att öka andelen anställda med annan etnisk eller kulturell bakgrund. Våra medarbetare ska uppfatta att arbetsmiljön ligger på en hög kvalitetsnivå. Under året har myndigheten genomfört ett antal nyrekryteringar till följd av den anslagsökning myndigheten fick till budgetåret. Flertalet nyrekryterade påbörjade sina anställningar under våren och en efter sommaren. Antalet årsarbetskrafter har varit 40 under året. En medarbetare har under året avgått med pension och två har slutat sina anställningar. Flera tjänstledigheter och föräldraledigheter har förekommit under året. Åldersstrukturen inom stödkompetensen är relativt hög. Ledningskompetensens och kärnkompetensens åldersstrukturer är mer balanserade. Under de närmast kommande åren beräknas ytterligare några anställda gå i pension. Detta förhållande bedöms inte leda till några allvarliga problem i kompetensförsörjningen. Medarbetarna ska ha hög kompetens. Fortlöpande utbildningsinsatser görs därför. Insatserna består främst av interna seminarier i aktuella ämnen och ett visst utnyttjande av det externa utbudet av kurser och konferenser i ämnen som medarbetarna behöver i sitt arbete Jämställdhet Antalet män i förhållande till kvinnor har minskat något jämfört med föregående år. Av det totala antalet, 46 anställda vid årets slut är 30 kvinnor (65 procent) och 16 män (35 procent). Inom lednings- och kärnkompetensen är könsfördelningen relativt jämn. Stödkompetensen utgörs huvudsakligen av kvinnor. De sex ledande befattningarna utgjorts av fyra män och två kvinnor Lika rättigheter och möjligheter I syfte att sträva efter en ökning av antalet anställda med annan bakgrund än den traditionellt svenska har inspektionen sedan flera år tillbaka en rutin som innebär att en särskild granskning görs av samtliga sökanden ur mångfaldssynpunkt vid varje rekryteringstillfälle. Granskningen syftar framförallt till att undanröja alla eventuella risker för omedveten diskriminering. Det finns inga tecken som tyder på att våra medarbetare med bakgrund i annat land skulle vara utsatta för diskriminering på arbetsplatsen Arbetsmiljö I planerings- och utvecklingssamtal kan varje medarbetare bland annat diskutera och planera den utveckling denne behöver för att uppnå fastställda mål och diskutera fysiska och psykosociala arbetsmiljöfrågor. Fö- 32 Datainspektionen Årsredovisning 2011

33 retagshälsovården biträder även med stöd när det gäller ergonomi, rehabilitering och andra arbetsmiljöfrågor. Under året genomförde myndigheten en medarbetarundersökning med ett sammantaget mycket bra resultat. De i resultatet identifierade utvecklingsområdena hanteras såsom aktiviteter i kommande års verksamhetsplan. Inspektionen subventionerar motionsaktiviteter och den så kallade motionspengen utnyttjades av 33 anställda Bedömning Datainspektionens lokaler upplevs som trevliga och ändamålsenliga vilket bidrar till en god arbetsmiljö. Även resultatet av medarbetarundersökningen tyder på ett mycket bra arbetsklimat. Myndigheten ser inga tecken på några allvarliga arbetsmiljöbrister Sjukfrånvaro Sjukfrånvaro Total sjukfrånvaro 3,7 % 5,2% Långtidssjukfrånvaro 58,2 % 66,0 % Kvinnor 5,1 % 8,2 % Män 1,3 % 1,0% Samtliga i åldersgruppen år 2,0 % 2,0 % 18.6 Ersättningar och andra förmåner Ledamöter i insynsrådet Otto von Arnold Ersättning: kr. Övriga uppdrag: Ledamot i styrelserna: AB Jordberga Gård, Skånska Biobränslebolaget AB och Sannarp AB samt uppdrag i Arnold Towers Holding och Söderslätts Spannmålsgrupp. Simone Fischer Hübner Ersättning: kr. Övriga uppdrag: Ledamot i Skatteverkets insynsråd, ledamot i MSB:s informationssäkerhetsråd och ledamot i STINT Styrelsen. Catarina Wretman Ersättning: kr. Övriga uppdrag: Inga övriga uppdrag. Stefan Tornberg Entledigad på egen begäran från och med Ersättning: kr. Övriga uppdrag: Ledamot i Pressstödsnämnden. Maryam Yazdanfar Ersättning: 0 kr. Övriga uppdrag: Inga övriga uppdrag. Johan Hedin Ny ledamot från och med Övriga uppdrag: Inga övriga uppdrag. Samtliga i åldersgruppen 50 år och äldre 5,9 % 9,9 % Ledande befattningshavare Den totala sjukfrånvaron minskade under året jämfört med året innan och ligger på en låg nivå. Myndigheten har en skriftlig instruktion om hur arbetsmiljöarbetet ska bedrivas. Av denna framgår bland annat förfarandet vid långa sjukfall. Enligt den håller ansvarig chef fortlöpande kontakt med den sjukskrivne i syfte att denne ska känna arbetsgivarens stöd och för att underlätta återgång i arbete. Den sjukes chef ansvarar för att rehabiliteringsåtgärder initieras. Företagshälsovården anlitas i samtliga situationer där stöd behövs, oavsett om det är fråga om längre sjukfall eller tillfälliga insatser. Under året har vi inte behövt göra några långsiktiga rehabiliteringsinsatser. Göran Gräslund Lön: kr. Ledamot i E-legitimationsnämnden, ledamot i KRUS respektive Kammarkollegiets insynsråd. Datainspektionen Årsredovisning

34 19. Resultaträkning (tkr) Not Verksamhetens intäkter Intäkter av anslag Intäkter av avgifter och andra ersättningar Intäkter av bidrag Finansiella intäkter Summa Verksamhetens kostnader Kostnader för personal Kostnader för lokaler Övriga driftkostnader Finansiella kostnader Avskrivningar och nedskrivningar Summa Verksamhetsutfall 0 0 Årets kapitalförändring Datainspektionen Årsredovisning 2011

35 20. Balansräkning (tkr) Not TILLGÅNGAR Immateriella anläggningstillgångar Rättigheter och andra immateriella anläggningstillgångar Summa Materiella anläggningstillgångar Maskiner, inventarier, installationer m.m Summa Fordringar Kundfordringar Fordringar hos andra myndigheter Övriga fordringar -1 3 Summa Periodavgränsningsposter Förutbetalda kostnader Summa Avräkning med statsverket Avräkning med statsverket Summa Kassa och bank Behållning räntekonto i Riksgäldskontoret Summa SUMMA TILLGÅNGAR Datainspektionen Årsredovisning

36 (tkr) Not KAPITAL OCH SKULDER Avsättningar Avsättningar för pensioner och liknande förpliktelser Summa Skulder m.m. Lån i Riksgäldskontoret Skulder till andra myndigheter Leverantörsskulder Övriga skulder Summa Periodavgränsningsposter Upplupna kostnader Oförbrukade bidrag 0 9 Summa SUMMA KAPITAL OCH SKULDER Datainspektionen Årsredovisning 2011

37 21. Anslagsredovisning Redovisning mot anslag Anslag (tkr) Not Ingående överföringsbelopp Årets tilldelning enl. regleringsbrev Totalt disponibelt belopp Utgifter Utgående överföringsbelopp Uo 1 6:3 Ramanslag ap.1 Datainspektionen (ram) Summa Datainspektionen Årsredovisning

38 22. Tilläggsupplysningar och noter Alla belopp redovisas i tusentals kronor (tkr) om inget annat anges. Till följd av detta kan summeringsdifferenser förekomma. Tilläggsupplysningar Redovisningsprinciper Tillämpade redovisningsprinciper Datainspektionens bokföring följer god redovisningssed och förordningen (2000:606) om myndigheters bokföring (FBF) samt ESV:s föreskrifter och allmänna råd till denna. Årsredovisningen är upprättad i enlighet med förordningen (2000:605) om årsredovisning och budgetunderlag samt ESV:s föreskrifter och allmänna råd till denna. I enlighet med ESV:s föreskrifter till 10 FBF tillämpar myndigheten brytdagen den 5 januari. Brytdagen föregående år var den 10 januari. Efter brytdagen har fakturor överstigande 20 tkr bokförts som periodavgränsningsposter. Kostnadsmässig anslagsavräkning Semesterdagar som intjänats före år 2009 avräknas från och med år 2009 anslaget först vid uttaget enligt undantagsbestämmelsen. Utgående balans år 2010, 918 tkr, har år 2011 minskat med 180 tkr. avskrivningsmetod från den månad tillgången tas i bruk. Tillämpade avskrivningstider 3 5 år Egenutvecklade dataprogram, licenser, rättigheter 3 5 år Maskiner och tekniska anläggningar Övriga kontorsmaskiner Inredningsinventarier 3 år Datorer och kringutrustning Omsättningstillgångar Fordringar har tagits upp till de belopp som de efter individuell prövning beräknas bli betalda. Skulder Skulderna har tagits upp till nominellt belopp. Ersättningar och andra förmåner Uppgifter om ersättningar och andra förmåner lämnas i avsnitt 18.6 i resultatredovisningen. Anställdas sjukfrånvaro Uppgifter om sjukfrånvaro lämnas i avsnitt 18.5 i resultatredovisningen. Upplysningar om avvikelser Avvikelser från ekonomiadministrativa regler Enligt regleringsbrevet får Datainspektionen ta ut avgifter för varor och tjänster med stöd av 4 första stycket avgiftsförordningen (1992:191) med belopp motsvarande 10 procent av de totala kostnaderna för myndighetens verksamhet, utan hinder av den begränsning som följer av 4 andra stycket. Värderingsprinciper Anläggningstillgångar Som anläggningstillgångar redovisas egenutvecklade dataprogram, förvärvade licenser och rättigheter samt maskiner och inventarier som har ett anskaffningsvärde om minst 20 tkr och en beräknad ekonomisk livslängd som uppgår till lägst tre år. Avskrivning sker enligt linjär 38 Datainspektionen Årsredovisning 2011

39 Noter (tkr) Resultaträkning Not 1 Intäkter av anslag Intäkter av anslag Summa Summa Intäkter av anslag ( tkr) skiljer sig från summa Utgifter ( tkr) i anslagsredovisningen. Skillnaden (180 tkr) beror på minskning av semesterlöneskuld som intjänats före år Denna post har belastat anslaget, men inte bokförts som kostnad i resultaträkningen. Not 2 Intäkter av avgifter och andra ersättningar Intäkter enligt 4 avgiftsförordningen Övriga intäkter av avgifter och andra ersättningar 11 9 Summa Ökningen av intäkter enligt 4 avgiftsförordningen beror på ökade intäkter för kurser och konferenser. Not 3 Finansiella intäkter Ränta på räntekonto i Riksgäldskontoret Summa Not 4 Kostnader för personal Lönekostnader (exkl arbetsgivaravgifter, pensionspremier och andra avgifter enligt lag och avtal) Övriga kostnader för personal Summa Not 5 Finansiella kostnader Ränta på lån i Riksgäldskontoret 13 5 Övriga finansiella kostnader 5 1 Summa 18 6 Datainspektionen Årsredovisning

40 Balansräkning Not 6 Rättigheter och andra immateriella anläggningstillgångar Ingående anskaffningsvärde Årets anskaffningar 0 28 Årets försäljningar/utrangeringar, anskaffningsvärde Summa anskaffningsvärde Ingående ackumulerade avskrivningar Årets avskrivningar Årets försäljningar/utrangeringar, avskrivningar 53 0 Summa ackumulerade avskrivningar Utgående bokfört värde Not 7 Maskiner, inventarier, installationer m.m. Ingående anskaffningsvärde Årets anskaffningar 0 39 Årets försäljningar/utrangeringar, anskaffningsvärde Summa anskaffningsvärde Ingående ackumulerade avskrivningar Årets avskrivningar Årets försäljningar/utrangeringar, avskrivningar Summa ackumulerade avskrivningar Utgående bokfört värde Not 8 Förutbetalda kostnader Förutbetalda hyreskostnader Övriga förutbetalda kostnader Summa Datainspektionen Årsredovisning 2011

41 Not 9 Avräkning med statsverket Anslag i räntebärande flöde Ingående balans Redovisat mot anslag Anslagsmedel som tillförts räntekonto Skulder avseende anslag i räntebärande flöde Fordran avseende semesterlöneskuld som inte har redovisats mot anslag Ingående balans Redovisat mot anslag under året enligt undantagsregeln Fordran avseende semesterlöneskuld som inte har redovisats mot anslag Summa Avräkning med statsverket Not 10 Avsättningar för pensioner och liknande förpliktelser Ingående avsättning Årets pensionskostnad Årets pensionsutbetalningar Utgående avsättning Den negativa pensionskostnaden beror på att pensionskostnaden för januari 2011 bokförts i december Not 11 Lån i Riksgäldskontoret Avser lån för investeringar i anläggningstillgångar. Ingående balans Under året nyupptagna lån Årets amorteringar Utgående balans Beviljad låneram enligt regleringsbrev Datainspektionen Årsredovisning

42 Not 12 Skulder till andra myndigheter Utgående mervärdesskatt Arbetsgivaravgifter Leverantörsskulder andra myndigheter Summa Not 13 Leverantörsskulder Leverantörsskulder Summa Ökningen beror i huvudsak på en obetalad hyresfaktura vid årsskiftet 2011 / Not 14 Upplupna kostnader Upplupna semesterlöner och löner inklusive sociala avgifter Övriga upplupna kostnader Summa Anslagsredovisning Not 15 Uo 1 6:3 ap.1 Datainspektionen (ram) Enligt regleringsbrevet disponerar Datainspektionen en anslagskredit på tkr. Datainspektionen får disponera hela det ingående överföringsbeloppet då detta understiger 3% av föregående års tilldelning tkr enligt regleringsbrevet. Anslaget är räntebärande. 42 Datainspektionen Årsredovisning 2011

43 23. Sammanställning över väsentliga uppgifter (tkr) Låneram Riksgäldskontoret Beviljad Utnyttjad Kontokrediter Riksgäldskontoret Beviljad Maximalt utnyttjad Räntekonto Riksgäldskontoret Ränteintäkter Räntekostnader Avgiftsintäkter Avgiftsintäkter som disponeras Beräknat belopp enligt regleringsbrev Avgiftsintäkter Anslagskredit Beviljad Utnyttjad Anslag Ramanslag Anslagssparande varav intecknat Bemyndiganden (ej tillämpligt) Datainspektionen Årsredovisning

44 (tkr) Personal Antalet årsarbetskrafter (st) Medelantalet anställda (st) Driftkostnad per årsarbetskraft Kapitalförändring* Årets Balanserad * Fr.o.m. år 2009 avräknas anslag kostnadsmässigt och därför blir årets kapitalförändring +/ Datainspektionen Årsredovisning 2011

45 24. Generaldirektörens intygande Jag intygar att årsredovisningen ger en rättvisande bild av verksamhetens resultat samt av kostnader, intäkter och myndighetens ekonomiska ställning. Göran Gräslund Generaldirektör Datainspektionen Årsredovisning

46 46 Datainspektionen Årsredovisning 2011

47 Datainspektionen Årsredovisning

48 Detta är Datainspektionen Datainspektionen är en myndighet som arbetar för att behandlingen av personuppgifter i samhället inte ska medföra otillbörliga intrång i enskilda människors personliga integritet. Ansvarsområdet omfattar framförallt personuppgiftslagen, inkassolagen och kreditupplysningslagen. Datainspektionen gör inspektioner och hanterar klagomål från enskilda medborgare samt tar fram vägledningar och ger synpunkter på utredningar och lagförslag. Datainspektionen har också en omfattande informationsverksamhet, vi utbildar, svarar på frågor och ger stöd till personuppgiftsombud. Kontakta Datainspektionen E-post: datainspektionen@datainspektionen.se Webb: Tfn Postadress: Datainspektionen, Box 8114, Stockholm. 48 Datainspektionen Årsredovisning 2011