Innehållsförteckning

Transkript

1 Datainspektionen Årsredovisning 2013

2 Innehållsförteckning 1 Året som har gått Datainspektionens organisation Datainspektionens uppdrag Prestationer Tillsyn över behandlingen av personuppgifter Tillsyn och tillståndsgivning inom kreditupplysnings- och inkassoverksamhet Annan enhetsövergripande verksamhet Övrig rapportering Kvalitet och effektivitet i verksamheten Organisationsstyrning Resultaträkning Balansräkning Anslagsredovisning Tilläggsupplysningar och noter Sammanställning över väsentliga uppgifter Generaldirektörens intygande

3 1 Året som har gått Edward Snowdens avslöjanden om att USA:s nationella säkerhetstjänst i stor skala samlat in bland annat internet- och telefonitrafik och Dagens Nyheters artiklar om den svenska polisens registrering av romer är bara två händelser under 2013 som gjort att skyddet av den personliga integriteten kanske aldrig varit så aktuellt och debatterat som nu. Den största händelsen under 2013 för Datainspektionens verksamhet skedde dock den 1 juli. Då trädde den nya kameraövervakningslagen i kraft. Den ersätter lagen om allmän kameraövervakning och gäller även i stället för personuppgiftslagen som ju tidigare gällde för kameraövervakning på platser dit allmänheten inte har tillträde. Den nya lagen innebär att Datainspektionen får ett centralt tillsynsansvar och att myndigheten tar över Justitiekanslerns rätt att överklaga länsstyrelsernas beslut i frågor som rör kameraövervakning. Från 1 juli till 31 december 2013 har Datainspektionen överklagat 32 länsstyrelsebeslut som rör tillstånd till kameraövervakning, vilket motsvarar omkring 10 procent av de tillståndsbeslut som Datainspektionen har tagit emot från länsstyrelserna. Vid årsskiftet 2013/2014 hade domstolarna avgjort fem av överklagandena och gett Datainspektionen fullt bifall i samtliga fall. De flesta av Datainspektionens siffror pekar uppåt. Datainspektionen syns mer i massmedia än förra året, både i tryckta tidningar och på nätet. Det är fler som prenumererar på inspektionens pressmeddelanden och på myndighetens tidning Integritet i fokus. Datainspektionen anordnade eller deltog på 62 föreläsningar eller seminarier vilket är en ökning med nästan 20 procent. Antalet personuppgiftsombud ökade med dryga tre procent till över stycken. Under 2013 har myndigheten yttrat sig över 116 lagförslag. Om man räknar med att ett år har cirka 250 arbetsdagar så innebär det att myndigheten svarade på en ny remiss i princip varannan dag. Ett annat område som krävt mycket resurser är den internationella verksamheten. Det gäller inte minst EU-samarbetet där Datainspektionen deltar i ett flertal arbetsgrupper och det dessutom pågår ett omfattande arbete med att se över EU:s regler om skydd för personuppgifter. I tillsynsverksamheten kan nämnas att antalet enkätinspektioner som rör personuppgiftslagen minskat något, från 59 stycken 2012 till 53 stycken. Flera av enkätinspektionerna under 2013 har dock varit breda granskningar då myndigheten bland annat kontrollerat ärendehanteringssystemen hos 20 länsstyrelser, hanteringen av personuppgifter hos samtliga 21 polismyndigheter och Rikskriminalpolisen samt hur bl.a. samtliga landsting uppfyller sina skyldigheter gentemot patienterna när det gäller möjligheten att spärra uppgifter. När det gäller personuppgiftslagen så är antalet inspektioner på plats ungefär detsamma som förra året medan antalet inledda skrivbordsinspektioner ökat med drygt 17 procent till 134 stycken. 3

4 I Datainspektionens upplysningstjänst som besvarar frågor och klagomål per telefon, post och e-post minskades under 2013 telefontiderna på försök i syfte att ta tillvara myndighetens resurser på ett mer effektivt sätt. Statistiken visar att handläggarna i upplysningstjänsten under året svarade på e-postfrågor vilket är en ökning med nio procent jämfört med Samtidigt har antalet telefonsamtal som gått via upplysningstjänsten minskat med strax över 11 procent till runt samtal vilket är en logisk konsekvens av de förkortade telefontiderna. E-förvaltning genomsyrar i allt högre utsträckning i stort sett all handläggning hos myndigheter, kommuner och vårdgivare. De system som byggs upp för informationsutbyte ger upphov till komplexa juridiska frågeställningar och frågor om hur enskildas personliga integritet bäst ska skyddas. Datainspektionens medverkan i olika projekt och samverkansgrupper är fortsatt efterfrågad. När det gäller myndighetens uppdrag att säkerställa god sed inom kreditupplysningen kan konstateras att kreditupplysningsföretagen fortsätter att tillhandahålla kreditupplysningstjänster i form av tekniska upptagningar som innebär att reglerna om legitimt behov och kreditupplysningskopia inte behöver beaktas. De lagändringar som genomfördes 2011 har därmed inte haft avsedd verkan. Datainspektionen konstaterar därför att det inte har kunnat skapas förutsättningar för ett integritetsskydd iakttas i kreditupplysningsverksamhet i den omfattning som lagändringarna var avsedda att åstadkomma. När det gäller inkassoverksamheten bedömer Datainspektionen, precis som tidigare år, att branschen i allt väsentligt följer god inkassosed. Som siffrorna ovan visar kan Datainspektionen se tillbaka på ett mycket intensivt arbetsår. Tack vare medarbetare med hög kompetens och stort engagemang bedömer jag att myndigheten har hanterat sitt uppdrag mycket väl. Kristina Svahn Starrsjö Generaldirektör 4

5 2 Datainspektionens organisation 5

6 3 Datainspektionens uppdrag Enligt förordningen (2007:975) med instruktion för Datainspektionen ska inspektionen verka för att människor skyddas mot att deras personliga integritet kränks genom behandling av personuppgifter och för att god sed iakttas i kreditupplysnings- och inkassoverksamhet. Myndigheten ska särskilt inrikta sin verksamhet på att informera om gällande regler samt ge råd och hjälp åt personuppgiftsombud enligt personuppgiftslagen. Myndigheten ska följa och beskriva utvecklingen på IT-området när det gäller frågor som rör integritet och ny teknik. Datainspektionen är tillsynsmyndighet enligt personuppgiftslagen (1998:204) och tillstånds- och tillsynsmyndighet enligt kreditupplysningslagen (1973:1173) och inkassolagen (1974:182). Datainspektionen har det centrala ansvaret för tillsynen enligt kameraövervakningslagen (2013:460). I detta ingår att 1. utvärdera rättstillämpningen, 2. utvärdera, följa upp och samordna den operativa tillsynen, 3. ge råd och stöd till länsstyrelserna, och 4. ge information och råd till allmänheten och till dem som tillhandahåller och använder övervakningsutrustning. Datainspektionen får överklaga länsstyrelsernas beslut om kameraövervakning av en plats dit allmänheten har tillträde för att ta tillvara allmänna intressen. Den uppgiften hade tidigare Justitiekanslern. Datainspektionen har också i uppdrag att utöva tillsyn över kameraövervakning av platser dit allmänheten inte har tillträde. Myndigheten är tillsynsmyndighet enligt artikel 28 i Europaparlamentets och rådets direktiv 95/46/EG av den 24 oktober 1995 om skydd för enskilda personer med avseende på behandling av personuppgifter och om det fria flödet av sådana uppgifter, ändrat genom Europaparlamentets och rådets förordning (EG) nr 1882/2003. Myndigheten fullgör de förpliktelser som nämns i artikel 13 i Europarådets konvention om skydd för enskilda vid automatisk databehandling av personuppgifter när det gäller att lämna uppgifter till behörig myndighet i en stat som är ansluten till konventionen. Myndigheten är nationell tillsynsmyndighet enligt artikel 114 i konventionen om tillämpning av Schengenavtalet av den 14 juni 1985 (Schengenkonventionen), artikel 24 i rådets beslut 2009/917/RIF av den 30 november 2009 om användning av informationsteknik för tulländamål (TIS- rådsbeslutet), artikel 33 i rådets beslut av den 6 april 2009 om inrättande av Europeiska polisbyrån (Europol), artikel 30.5 i rådets beslut 2008/615/RIF av den 23 juni 2008 om ett 6

7 fördjupat gränsöverskridande samarbete, särskilt för bekämpning av terrorism och gränsöverskridande brottslighet, och artikel 41 i Europaparlamentets och rådets förordning (EG) nr 767/2008 av den 9 juli 2008 om informationssystemet för viseringar (VIS) och utbytet mellan medlemsstaterna av uppgifter om viseringar för kortare vistelse (VIS-förordningen). Myndigheten är behörig myndighet för kontroll och intygande av att sådana system för insamling av stödförklaringar via internet som används för lagring i Sverige uppfyller de krav som följer av Europaparlamentets och rådets förordning (EU) nr 211/2011 av den 16 februari 2011 om medborgarinitiativet. 3.1 Datainspektionens mål och återrapporteringskrav Följande mål och övriga återrapporteringskrav följer av regleringsbrevet för budgetåret Mål Datainspektionen ska upptäcka och förebygga hot mot den personliga integriteten. Verksamheten ska främst inriktas på områden som bedöms vara särskilt känsliga ur ett integritetsperspektiv, nya företeelser och användningsområden av teknik samt områden där risk för missbruk eller felaktig användning bedöms vara särskilt stor. Datainspektionen ska redovisa och kommentera verksamhetens resultat i förhållande till de uppgifter som framgår av förordningen (2007:975) med instruktion för Datainspektionen samt annan författning. Återrapporteringen ska innehålla en samlad beskrivning och analys av verksamhetens utveckling. Redovisningen ska göras enligt den indelning som myndigheten bestämmer Övriga återrapporteringskrav E-förvaltning Datainspektionen ska redovisa vilka insatser myndigheten har gjort för att värna den personliga integriteten i samband med utvecklingen av en elektronisk förvaltning inom den offentliga förvaltningen. Internationell verksamhet Datainspektionen ska redovisa myndighetens deltagande i internationellt arbete. Av redovisningen ska även framgå den tid och de resurser som myndigheten använder till denna verksamhet. Kvalitet och effektivitet i verksamheten Datainspektionen ska redovisa de åtgärder som myndigheten har vidtagit för att utveckla kvaliteten och effektiviteten i verksamheten. 7

8 3.2 Lagar Datainspektionen är tillsynsmyndighet för personuppgiftslagen, kreditupplysningslagen och inkassolagen. Datainspektionen har också uppgifter enligt kameraövervakningslagen Personuppgiftslagen (PuL) Personuppgiftslagen har till syfte att skydda människor mot att deras personliga integritet kränks när personuppgifter behandlas. Med personuppgifter avses all information som kan hänföras till en levande fysisk person. Lagen omfattar behandling av personuppgifter som är helt eller delvis automatiserad samt även manuellt förda personregister. Undantag gäller bland annat med hänsyn till offentlighetsprincipen samt tryck- och yttrandefriheten. Personuppgiftslagen gäller då personuppgifter behandlas i verksamhet som bedrivs av såväl enskilda som av myndigheter. Lagen gäller dock inte om uppgifterna behandlas av en fysisk person helt privat. Att publicera personuppgifter på Internet, till exempel på en webbplats eller en blogg, anses inte som privat behandling. Den som är ansvarig för behandlingen av personuppgifter kallas personuppgiftsansvarig. Denne kan utse och till Datainspektionen anmäla ett personuppgiftsombud. Ett personuppgiftsombud har till uppgift att självständigt kontrollera den personuppgiftsansvariges behandlingar. Vissa särskilt integritetskänsliga behandlingar ska alltid anmälas till Datainspektionen för förhandskontroll. Behandling av personuppgifter i ostrukturerat material, till exempel löpande text och enstaka bild- och ljudupptagningar, är tillåten utan andra restriktioner än att den registrerades integritet inte får kränkas. Särregler i annan lagstiftning tar över bestämmelserna i personuppgiftslagen. Det finns ett stort antal särregler i särskilda registerförfattningar och i andra lagar och förordningar Kreditupplysningslagen (KuL) Kreditupplysningslagen är främst en integritetslagstiftning men lagen ska också bidra till en effektivt fungerande kreditupplysningsverksamhet. Den som bedriver kreditupplysningsverksamhet behöver normalt tillstånd från Datainspektionen. Tillstånd får meddelas endast om verksamheten kan antas bli bedriven på ett sakkunnigt och omdömesgillt sätt. Genom bland annat inspektioner kontrollerar Datainspektionen hur kreditupplysningslagen efterlevs Inkassolagen (IkL) Den som ska driva in fordringar för någon annans räkning, eller fordringar som har övertagits för indrivning, måste normalt ha Datainspektionens tillstånd. För att få tillstånd krävs att någon i företagets ledning har sakkunskap inom inkassoområdet och är omdömesgill. Datainspektionen bedömer om kraven är uppfyllda och kontrollerar att företaget iakttar god inkassosed Kameraövervakningslagen Den 1 juli 2013 trädde en ny kameraövervakningslag (2013:460) i kraft. Lagen gäller i stället för bestämmelserna i personuppgiftslagen (PuL) vid kameraövervakning och ersätter lagen om allmän kameraövervakning (LAK). 8

9 I den nya lagen finns alla regler för kameraövervakning av platser både dit allmänheten har tillträde och dit allmänheten inte har tillträde samlade. Länsstyrelserna hanterar tillståndsprövningar, anmälningar och operativ tillsyn av kameraövervakning som bedrivs avseende platser dit allmänheten har tillträde. Kameraövervakningslagen beskriver förutsättningarna för tillstånd och anmälningar. Huvudregeln är att det krävs tillstånd för kameraövervakning av platser dit allmänheten har tillträde. Från denna huvudregel finns det några i lagen uppräknade situationer där det i stället för tillstånd räcker att till länsstyrelsen anmäla kameraövervakningen. Den som planerar att bedriva kameraövervakning av platser dit allmänheten inte har tillträde måste se till att övervakningen är tillåten, det vill säga säkerställa att den följer kameraövervakningslagens bestämmelser. Lagen ger två möjligheter. Den ena är att den som ska övervakas lämnar sitt samtycke till övervakningen. Den andra möjligheten är att övervakningen sker efter en tillämpning av överviktsprincipen, vilket innebär att kameraövervakningen är tillåten om övervakningsintresset väger tyngre än den enskildes intresse av att inte bli övervakad. 9

10 4 Prestationer Myndigheten har valt att redovisa prestationer inom de områden som utgör en betydande andel av myndighetens totala verksamhet eller bedöms vara av intresse för omvärlden. Prestationerna uttrycks vanligen som volym i förhållande till nedlagda kostnader och tidsåtgång. Uträkningen görs genom att multiplicera tidsåtgången med den procentuella andelen av myndighetens totalkostnad (inklusive lokal-, drifts- och finansiella kostnader). Prestationsredovisningen återfinns under följande avsnitt i årsredovisningen. 5 Tillsyn över behandlingen av personuppgifter 5.3 Kommittéarbete och remisser 5.4 Inspektionsverksamheten 5.5 Klagomål 6 Tillsyn och tillståndsgivning inom kreditupplysnings- och inkassoverksamhet 7.1 Internationell verksamhet 7.3 Datainspektionens uppgifter enligt kameraövervakningslagen 10

11 5 Tillsyn över behandlingen av personuppgifter 5.1 Kostnader och intäkter för området tillsyn över behandlingen av personuppgifter Statistik År 2013 År 2012 År 2011 Kostnader kr kr kr Intäkter, övriga kr kr kr Intäkter, anslag kr kr kr Beloppen är avrundade till tusental 5.2 Information, regelgivning och rådgivning Informationsmaterial Webbplatsen är myndighetens viktigaste kommunikationskanal. För att samla in statistik över användningen av webbplatsen har myndigheten använt sig av cookies (kakor). Efter ändringar i lagen om elektronisk kommunikation krävs numera samtycke för att använda kakor på en webbplats. Under 2013 beslutade därför Datainspektionen att sluta samla in statistik över besök på myndighetens webbplats. För närvarande utreds alternativa lösningar till att använda kakor. Datainspektionens tidning, Integritet i fokus, har under året kommit ut med tre nummer varav årets sista nummer var dubbelt så tjockt, 32 sidor mot normalt 16, med anledning av myndighetens 40-årsjubileum. Integritet i fokus är en gratis, periodisk skrift med reportage, nyheter och kommentarer i anslutning till Datainspektionens ansvarsområden. Antalet prenumeranter har under året ökat med nästan fem procent till För femte året i följd gav myndigheten ut skriften Integritetsåret. Precis som fjolårets sammanställning innehåller den artiklar om lagar, lagförslag, beslut och andra händelser som påverkade den personliga integriteten under året. Skriften skickades ut till riksdagsledamöter, departement, politiska partier, tidningsredaktioner, ledarskribenter och andra påverkare och kan även beställas kostnadsfritt via myndighetens Antal besökare på webbplatsen Statistik År 2013 År 2012 År

12 Prenumeranter på Integritet i fokus Statistik År 2013 År 2012 År Mediekontakter Datainspektionens frågor har fått fortsatt stort utrymme i press, radio och TV, vilket bidrar till att sprida medvetenhet om integritetsfrågorna. Myndigheten har som mål är att publicera 4-5 pressmeddelanden per månad, det vill säga stycken per år. Under 2013 publicerades 53 stycken vilket är i linje med målen men samtidigt en minskning med 23 procent jämfört med året innan. Under året ökade antalet personer som prenumererar på myndighetens pressmeddelanden via e-post med nästan 10 procent. Under 2013 förekom myndigheten och dess frågor i artiklar i tryckt press, vilket är en ökning med knappt två procent. Sedan 2012 mäter myndigheten även antalet artiklar som publicerats i digitala media. Under 2013 var det stycken, en ökning med dryga fyra procent. I mars 2009 började Datainspektionen att twittra om nyheter (twitter.com/datainspektion). Numera twittrar myndigheten alltid i samband med publicering av pressmeddelanden och ibland även om andra nyheter. I slutet av 2013 hade myndigheten 549 följare på Twitter vilket är en ökning med över 20 procent jämfört med året innan Artiklar i tryckt media Statistik År 2013 År 2012 År Artiklar i digital media Statistik År 2013 År 2012 År Pressmeddelanden Statistik År 2013 År 2012 År Prenumeranter på myndighetens pressmeddelanden Statistik År 2013 År 2012 År

13 5.2.3 Telefon- och e-postfrågor Kostnad Timmar Kostnad Timmar Kostnad Timmar kr kr kr Datainspektionens upplysningstjänst är bemannad av två jurister som alla arbetsdagar besvarar frågor och klagomål per telefon, vanlig post och e-post. I upplysningstjänsten besvaras frågor och klagomål som varken kräver särskild utredning eller föranleder någon annan åtgärd än ett svar från myndigheten. Målsättningen är att dessa frågor och klagomål ska vara besvarade inom tre arbetsdagar. Övriga frågor och klagomål tas om hand inom ramen för enheternas ordinarie ärendehandläggning. Frågeställaren eller klaganden får då en mottagningsbekräftelse med ett diarienummer inom tre arbetsdagar. Antalet frågor och klagomål till Datainspektionens upplysning har ökat stadigt de senaste åren. Antalet frågor och klagomål som besvarades per vanlig post eller e-post som rörde tillämpningen av personuppgiftslagen, inkassolagen eller kreditupplysningslagen och som besvarades av juristerna i upplysningstjänsten 2013 var cirka jämfört med cirka för Även under 2013 har alltså frågorna och klagomålen från enskilda per vanlig post och e-post fortsatt att öka. Däremot har antalet besvarade frågor och klagomål per telefon som rörde samma lagar och som besvarades av juristerna i upplysningstjänsten 2013 minskat till cirka jämfört med cirka för Minskningen är en logisk konsekvens av att myndigheten under året på försök har förkortat telefontiderna för upplysningstjänsten i syfte att ta tillvara på myndighetens resurser på ett mer effektivt sätt Prestation: Telefon- och e-postfrågor Statistik År 2012 År 2011 År 2010 Telefonfrågor e-postfrågor Föreläsningar, seminarier och konferenser Kostnad Timmar Kostnad Timmar Kostnad Timmar kr kr kr

14 Datainspektionen har vid 62 tillfällen hållit föreläsningar om personuppgiftslagen (seminarier för personuppgiftsombuden inräknade) på egna och andras konferenser, kurser och seminarier samt hos myndigheter, företag och organisationer runt om i landet. Av dessa var 13 arrangerade av Datainspektionen. Vid dessa tillfällen deltog i regel två eller tre av Datainspektionens anställda som föreläsare. Övriga var uppdragsföreläsningar. Datainspektionen har bland annat, som ett resultat av myndighetens tillsyn av bostadsbranschen, vid tre tillfällen hållit föreläsningar för bostadsbranschen och leverantörer av IT-system till bostadsbranschen för registrering av hyresgäster och bostadssökande. Datainspektionen har vid tre tillfällen föreläst om personuppgiftslagen för poliser och åklagare som arbetar med att utreda brott mot personuppgiftslagen. Vid åtta tillfällen har Datainspektionen föreläst om de krav som personuppgiftslagen ställer vid användning av molntjänster. Vid nio tillfällen har Datainspektionen föreläst om IT-säkerhet. Inspektionen tvingas av resursskäl att prioritera bland förfrågningar om uppdragsföreläsningar. Vid två tillfällen har myndigheten hållit föreläsningar avseende EU:s dataskyddsreform. Vidare anordnade myndigheten under året två konferenser, en som avsåg personuppgiftslagen i arbetslivet och en som avsåg patientdatalagen Prestation: Föreläsningar, seminarier och konferenser Statistik År 2013 År 2012 År Personuppgiftsombud Vid ingången av året hade personuppgiftsombud anmälts. Vid årets slut var siffran 7 047, alltså en ökning under året med 222 personuppgiftsombud. Antalet personer som är anmälda som personuppgiftsombud har ökat från till (En person kan vara ombud åt flera personuppgiftsansvariga. En personuppgiftsansvarig kan också anmäla flera personuppgiftsombud) Utbildningstillfällen för personuppgiftsombud Rådgivning, stöd och utbildningsverksamhet gentemot personuppgiftsombuden är en viktig verksamhet. Ambitionen är att ombudens kunskaper ska ligga på en hög nivå. Under året har åtta utbildningstillfällen och en särskild nätverksdag anordnats speciellt för ombuden. Våra utbildningstillfällen har utvärderats och ombuden är generellt sett mycket nöjda både vad gäller innehåll och genomförande. 14

15 Datainspektionens webbplats har särskilda faktasidor för personuppgiftsombuden Föreskrifter Datainspektionen har bemyndigande att meddela närmare föreskrifter till personuppgiftslagen. Inspektionen har sedan tidigare begränsat sådan normgivning till sådant som bedömts som absolut nödvändigt att reglera. I det avseendet kan man säga att Datainspektionen under flera års tid bedrivit ett regelförenklingsarbete. Inför personuppgiftslagens ikraftträdande 1998 upphävde Datainspektionen ett tjugotal av myndighetens författningar med föreskrifter till datalagen. Samtidigt utfärdade Datainspektionen två författningar till den nya personuppgiftslagen. I övrigt har Datainspektionen, i stället för att utfärda författningar, till vägledning för den som behandlar personuppgifter gett ut allmänna råd och rekommendationer. Vidare ger inspektionen, vid sidan av all övrig information och rådgivning som inspektionen bedriver, ut olika informationsbroschyrer med konkret vägledning om innehållet i viktiga delar av lagens olika bestämmelser Samråd Samråd enligt PuL Begäran om samråd från ett personuppgiftsombud i fråga om tolkning av personuppgiftslagens bestämmelser och annan registerlagstiftning uppgick under året till 64 stycken. Under 2012 uppgick samråden till 68. Flera av samrådsärendena har varit komplicerade och resurskrävande. Följande ärenden bör nämnas särskilt: Bevarande av personuppgifter inom arbetslivet Personuppgiftsombudet vid ett företag begärde samråd om bevarande av personuppgifter vid rekrytering till tjänster. Datainspektionen uttalade att det är viktigt att den personuppgiftsansvarige bestämmer ändamålet för behandlingen av uppgifterna. Datainspektionen uttalade vidare att om ändamålet med behandlingen enbart är att göra en bedömning av kandidaten för viss tjänst så bör uppgiften inte sparas efter att rekryteringsprocessen är avslutad Direktåtkomst Personuppgiftsombudet vid en myndighet begärde samråd om direktåtkomst kan medges till ett register som myndigheten är personuppgiftsansvarig för. Datainspektionen uttalade att myndigheten enligt den registerlagstiftningen som reglerar registret har möjlighet att medge direktåtkomst till uppgifter i registret. Enligt registerlagen får direktåtkomst medges endast för sådana ändamål som anges i registerlagen. 15

16 Behandlingshistorik (logghantering) Socialstyrelsen har vänt sig till Datainspektionen med en begäran om samråd rörande alternativa skydd som ersättning för logghantering vid behandling av känsliga personuppgifter. Fråga var om fysisk säkerhet i form av en låst dörr och om begränsad behörighet till en krets av personer kan anses som tillräckligt skydd enligt 31 personuppgiftslagen. Datainspektionen uttalade att behandlingshistorik normalt sett behövs som en del i hantering av känsliga personuppgifter. Datainspektionens generella uppfattning är att loggar ska finnas när fler än en person hanterar känsliga personuppgifter. I personuppgiftslagen finns dock möjligheten att göra bedömningar utifrån omständigheterna i det enskilda fallet Förteckning över avstängda personer på träningsanläggningar Personuppgiftsombudet i Skövde kommun begärde samråd om det är möjligt att ha en förteckning med namn på personer som är avstängda från att träna på de träningsanläggningar som ingår i samverkan mot doping mellan femton kommuner i Skaraborg. Datainspektionen uttalade att den tänkta behandlingen av personuppgifter inte var förenlig med personuppgiftslagen. Det kunde ifrågasättas om samtycket som lämnats av kunderna uppfyllde kravet på frivillighet. Vidare innefattar den tänkta behandlingen, enligt Datainspektionen, behandling av uppgifter om lagöverträdelser vilket den enskilde inte kan samtycka till Samverkan med andra myndigheter och organisationer För att öka effektiviteten i verksamheten har Datainspektionen som mål att nationellt samverka med andra myndigheter och organisationer. Syftet med samverkan har varit att åstadkomma samsyn i integritetsfrågor, att utbyta information om handläggning av ärenden och att klargöra gränserna mellan myndigheternas tillsynsansvar. Genom denna samverkan har myndigheten även kunnat sprida information, fånga upp utvecklingstendenser, följa IT-utvecklingen och sprida medvetande om integritetsrisker. Samverkan har skett med Post- och Telestyrelsen (PTS), Rikspolisstyrelsen (RPS), Säkerhets- och Integritetsskyddsnämnden (SIN) och Statens inspektion för försvarsunderrättelseverksamhet (SIUN). Datainspektionen och PTS har träffats vid två tillfällen under Vid mötena har information om handläggning av ärenden utbytts och gränser mellan myndigheternas tillsynsansvar diskuterats. Datainspektionen har även haft ett nära samarbete med PTS när det gäller PTS föreskriftsrätt enligt lagen om elektronisk kommunikation. Datainspektionen och RPS har träffats vid ett tillfälle under 2013 i formen av en särskild samrådsgrupp som bildats av de båda myndigheternas chefer. Samrådsgruppens arbete ska ses som ett komplement till den traditionella ärendehanteringen. Även den planerade utvecklingen av polisens personuppgiftsbehandling och RPS arbete med implementering av den nya polisdatalagen har diskuterats. 16

17 Datainspektionen och SIUN har träffats vid två tillfällen under år 2013 för att diskutera myndigheternas tillsynsansvar. Möten har vid två tillfällen ägt rum med SIN för att diskutera myndigheternas tillsynsansvar. Utöver dessa planlagda möten har diskussioner förts med SIN i särskilda frågor. Möten har också ägt rum med Arbetsförmedlingen och Skatteverket, se under avsnitt Elektronisk förvaltning 7.2, Samverkan e-förvaltningsområdet. Utöver dessa planlagda möten har diskussioner skett med myndigheter i särskilda frågor. Samverkan har vid två tillfällen skett inom ramen för det nätverk för IT-chefer inom offentlig förvaltning som MSB tagit initiativ till och som syftar till att utbyta erfarenheter samt att sprida information om det arbete som MSB gör för att höja informationssäkerheten i den offentliga förvaltningen. Datainspektionen har vid två tillfällen tillsammans med ett stort antal myndigheter (till exempel Kronofogden, Konsumentverket och Barnombudsmannen) deltagit i ett nätverk som syftar till att samverka kring frågor som rör barn och ungdomar. Samverkan har även vid ett tillfälle skett inom ramen för Tillsynsforum, ett nätverk för statliga myndigheter med tillsynsuppgifter. Syftet är att stärka yrkesrollen för dem som arbetar med tillsyn. Datainspektionen har även haft löpande kontakter med Finansinspektionen i samband med handläggningen av ärenden som rör företag som står under Finansinspektionens tillsyn. Datainspektionen har samverkat med Sveriges kommuner och landsting i frågor som rör t.ex. skolor. På forskningsområdet har inspektionen samverkat med SCB och centrala etikprövningsnämnden och på vårdområdet har samverkan skett med Socialstyrelsen och Läkemedelsverket Undantag enligt 21 PuL Under året har det kommit in 26 ansökningar om undantag från förbudet i 21 personuppgiftslagen att behandla personuppgifter om lagöverträdelser. De flesta av dessa ansökningar har rört finansiella bolag som är skyldiga att tillämpa lag (2009:62) om åtgärder mot penningtvätt och terrorismfinansiering. För att leva upp till lagens krav på kundkännedom anser sig bolagen ha behov av att kontrollera sina kunder mot olika sanktionslistor, framför allt den amerikanska så kallade SDN-listan som utfärdas av den amerikanska myndigheten OFAC. Datainspektionen har under året avslagit ett antal ansökningar från företag som inte är skyldiga att tillämpa lag (2009:62) om åtgärder mot penningtvätt och 17

18 terrorismfinansiering, som ansökt om att få kontrollera fler kategorier av personer än kunder eller som ansett sig ha behov av att kontrollera kunder och andra mot andra listor än SDN-listan. Flera av dessa ärenden har överklagats. En ansökan har rört ett företag som planerat att installera så kallad IVAutrustning i de anställdas tjänstebilar för att registrera om förarna kör för fort, vilket får till följd att en uppgift om lagöverträdelse kan komma att registreras. Denna teknik har visat sig användas i stor utsträckning och Datainspektionen har lämnat ett antal villkor för sitt medgivande. Antalet ansökningar om undantag från förbudet i 21 personuppgiftslagen har ökat markant jämfört med föregående år då det kom in åtta ansökningar. Datainspektionen noterar en ökning av företag som vänder sig till inspektionen för att få möjlighet att kontrollera inte bara kunder utan även andra kategorier personer mot olika så kallade sanktionslistor, såsom till exempel SDN-listan Samråd enligt polisdataförordningen m.m. Enligt 2 polisdataförordningen (2010:1155) ska polisen samråda med Datainspektionen när polisen planerar nya IT-system av större omfattning som kan innebära särskilda risker för intrång i den personliga integriteten. Samråd ska också ske när befintliga IT-system ska genomgå betydande förändringar. Rikspolisstyrelsen har lämnat in två sådana samråd. Samråden är omfattande och kräver en stor arbetsinsats Bedömning - information, regelgivning och rådgivning Under året har frågorna från allmänheten som kommer via post och e-post ökat markant jämfört med föregående år. Frågor som kommer in till myndigheten via telefon har minskat vilket förklaras av att myndighetens telefontider i upplysningstjänsten har förkortats. De flesta frågor som kommer in till myndigheten hanteras inom ramen för Datainspektionens upplysningstjänst. Under året har exponeringen av myndigheten i media ökat markant. Myndighetens utbildningar har under året varit fulltecknade, deltagarna har överlag varit nöjda och myndigheten anser därför att målet med utbildningsverksamheten har nåtts. Datainspektionen anser att det är en bra metod att i förebyggande syfte ha kontakter med myndigheter, för att ge dem vägledning i deras hantering av personuppgifter. Sådan vägledning ger vi såväl i form av samverkan med myndigheterna som genom att vi avger samrådsyttranden. Arbetet med att besvara frågor hanteras alltmer effektivt och myndigheten kan konstatera att arbetet gett avsett resultat. 18

19 5.3 Kommittéarbete och remisser Kostnad Timmar Kostnad Timmar Kostnad Timmar kr kr kr Kommittéarbete Företrädare för inspektionen har under året deltagit som experter i E- delegationen (i referensgrupp respektive rättslig grupp till delegationen) (N Fi 2009:01), Informationshanteringsutredningen (Ju 2011:11), utredningen Rätt information i vård och omsorg (S2011:13), Läkemedels- och apoteksutredningen (S 2011:07), Uppgiftslämnarutredningen (N2012:01), referensgrupp till Samordningsrådet med kunskapsplattform för smarta elnät (N 2012:03), PSIutredningen (S 2013:01), Utredningen om behandling av personuppgifter inom verksamheten för Inspektionen för socialförsäkringen (S 2013:13), Utredningen om registerbaserad forskning (U 2013:01) samt i Utredningen om uppgifter om offentligrättsliga krav vid kreditupplysning (Ju 2013:14) Remissarbete Prestation: Avgivna remissyttranden Statistik År 2013 År 2012 År Prestation: Inkomna remisser Statistik År 2013 År 2012 År Kommentar Under år 2013 har 116 remissyttranden lämnats. Därtill kommer ett sjuttiotal delningar, det vill säga begäran om synpunkter på bland annat utkast till författningar, lagrådsremisser, propositioner och instruktioner inför förhandlingar om föreslagna EU-rättsakter. Remissynpunkterna har huvudsakligen avsett personuppgiftslagen Bedömning - kommittéarbete och remisser Datainspektionen lägger årligen ner ett omfattande arbete på att delta i kommittéarbetet, läsa in remissförslag och lämna remissynpunkter. Detta följer redan av att antalet remisser är stort i förhållande till inspektionens begränsade storlek och att inspektionen är skyldig att besvara remisser från Regeringskansliet men beror också på att inspektionen anser att det är väsentligt att påverka utformningen av regelverk som har betydelse för enskildas integritet. 19

20 Efterfrågan på Datainspektionens medverkan i kommittéarbete är konstant större än vad inspektionen har möjlighet att bidra med. Inspektionen har under verksamhetsåret 2013 deltagit i ett antal principiellt viktiga statliga utredningar. Jämfört med verksamhetsåret 2012 har inspektionen deltagit i fler utredningar och därmed fått ägna mer timmar åt sådant arbete. Inspektionen bedömer att det varit fråga om ett för uppdraget viktigt arbete. Antalet inkomna remisser har under år 2013 (125) återigen ökat och nu hamnat på en högsta nivå jämfört med de tre senaste verksamhetsåren. Datainspektionen har under verksamhetsåret 2013 även haft att besvara ett ovanligt stort antal delningar. Den nedlagda tiden på kommitté- och remissarbete har i konsekvens med deltagandet i fler utredningar och det högre antalet hanterade remisser och delningar ökat väsentligt. Som föregående år har kommitté- och remissarbetet sammantaget medfört en betydande resursåtgång. Så är fallet trots att inspektionen medvetet begränsat arbetet och synpunkterna till sådant som berör integritetsskyddet. Inspektionen har heller inte haft som ambition att ge utformade alternativa förslag när problem uppmärksammas. Inspektionen bedömer dock att prestationen ligger i nivå med den förutsatta rollen. 5.4 Inspektionsverksamheten Kostnad Timmar Kostnad Timmar Kostnad Timmar kr kr kr Prestation: Enkätinspektioner Statistik År 2013 År 2012 År 2011 Påbörjade Avslutade Prestation: Fältinspektioner Statistik År 2013 År 2012 År 2011 Påbörjade Avslutade Prestation: Klagomål som blivit förenklad tillsyn Statistik År 2013 År 2012 År 2011 Inkomna Avslutade

21 Prestation: Skrivbordsinspektioner Statistik År 2013 År 2012 År 2011 Påbörjade Avslutade Totalt antal ärenden Statistik År 2013 År 2012 År 2011 Påbörjade Avslutade Ingående balans Utgående balans Temainspektioner En temainspektion omfattar en bred och djup granskning av en bransch, sektor eller företeelse. En sådan granskning kräver mer tid och större resurser än en sedvanlig inspektion Länsstyrelsernas ärendehanteringssystem Datainspektionen har genomfört enkätinspektioner mot 20 länsstyrelser. Inspektionerna avsåg länsstyrelsernas användning av elektroniska ärendehanteringssystem, ankomstregister och publicering av personuppgifter i elektroniska diarium. Datainspektionen riktade kritik mot samtliga länsstyrelser. Vanliga fel var att det saknades behörighetsstyrning i IT-systemen. Det saknades även kontrollmekanismer i IT-systemen för att upptäcka och beivra obehörig åtkomst. Kritik riktades också mot att länsstyrelserna saknade rutiner som säkerställer att de på sina webbplatser inte publicerar känsliga personuppgifter eller personuppgifter som direkt pekar ut enskilda i ärenden som rör brott Binding corporate rules (BCR) Datainspektionen har genomfört enkätinspektioner mot 19 svenska företag som ingår i en koncern som har en godkänd BCR. Syftet med enkätinspektionen var att uppmärksamma de svenska bolagen på att ansökan om ett undantag enligt 33 personuppgiftslagen måste göras till Datainspektionen för att företaget skulle få föra över personuppgifter till tredje land med stöd av koncernens BCR. Av dessa ansökte 17 bolag om undantag. Två bolag förde över uppgifter med stöd av samtycke eller standardavtalsklausuler Polismyndigheternas hantering av personuppgifter Datainspektionen har genomfört enkätinspektioner mot samtliga 21 polismyndigheter och Rikskriminalpolisen. Syftet var att få en heltäckande bild av hur de olika polismyndigheterna hanterar personuppgifter i den 21

22 brottsbekämpande verksamheten efter den 1 mars 2012 då en ny polisdatalag och polisdataförordning trädde i kraft. Granskningen visade bl.a. att i stort sett samtliga polismyndigheter behandlade personuppgifter i kriminalunderrättelse med stöd av det äldre regelverket och övergångsbestämmelserna till polisdatalagen Kommunala bostadsbolags behandling av personuppgifter Under 2013 uppmärksammades Datainspektionen på att fyra kommunala bostadsbolag registrerade känsliga personuppgifter om sina kunder i strid med personuppgiftslagen. Med anledning av detta inledde Datainspektionen tillsyn mot bolagen och konstaterade att samtliga behandlat personuppgifter i strid med personuppgiftslagen. Därefter blev Datainspektionen på nytt uppmärksammad på att ytterligare åtta kommunala bolag behandlade känsliga personuppgifter om sina kunder i strid med personuppgiftslagen. Datainspektionen inledde tillsyn även mot dessa bolag. Beslut i dessa ärenden kommer att fattas i början av Sociala medier Allt fler företag och organisationer använder social medier såsom till exempel Facebook, och möjliggör därmed för användare att lämna kommentarer. Mot den bakgrunden valde Datainspektionen att inleda ett tillsynsprojekt för att kontrollera om företag och organisationer har uppsikt över de inlägg som görs av enskilda användare och rutiner för att ta bort integritetskränkande inlägg. Tio företag och organisationer har valts ut och tillsynen beräknas vara avslutad i början av Bankers behandling av personuppgifter om oönskade kunder I slutet av 2013 inledde Datainspektionen tillsammans med Datatilsynet i Norge och Dataombudsmannens byrå i Finland en gemensam granskning av hur banker hanterar uppgifter om personer som de inte vill ha som kunder. Tre banker med verksamhet i samtliga tre länder har valts ut för den gemensamma tillsynen. Därutöver har Datainspektionen valt att granska ytterligare två banker. Tillsynen planeras vara avlutad i februari Elektroniska betallösningar I slutet av 2013 inledde Datainspektionen även ett tillsynsprojekt i syfte att undersöka hur företag som tillhandahåller olika tekniker för elektroniska betallösningar till konsumenter behandlar konsumenternas personuppgifter. Beslut i dessa ärenden kommer att fattas i början av Spärr av patientjournal Datainspektionen avslutade under 2012 den första fasen i sin breda tillsyn av alla landsting och fem stora, privata vårdgivare. Ingen av de granskade vårdgivarna visade sig uppfylla sina skyldigheter fullt ut gentemot patienterna när det gäller möjligheten att spärra uppgifter. Vårdgivarna förelades att redogöra för när funktioner för tekniska spärrar som lever upp till patientdatalagens krav kommer att vara genomförda i systemen. Andra delen av tillsynen avslutades i 22

23 maj Det ser numera lite bättre ut hos många vårdgivare, även om det fortfarande kvarstår en del arbete när det gäller spärrfunktioner i IT-systemen Fältinspektioner Polisen Datainspektionen har bl.a. genomfört inspektioner av personuppgiftsbehandlingen vid Polismyndigheten Gotland och Polismyndigheten i Uppsala. Granskningen vid Gotlandspolisen har bl.a. visat att polismyndigheten har registrerat uppgifter om personer under 15 år som inte haft någon annan koppling till brottslig verksamhet än att de till exempel var släkt med en person misstänkt för brott. Inspektionen vid Uppsalapolisen har bl.a. visat brister i personuppgiftsbehandlingen inom kriminalunderrättelseverksamheten. Granskningarna har resulterat i ett antal förelägganden. Polismyndigheterna ska under 2014 redovisa de åtgärder som myndigheterna vidtagit med anledning av föreläggandena. Datainspektionen har även genomfört inspektioner av personuppgiftsbehandlingen i Allmänna spaningsregistret vid Rikspolisstyrelsen. Tillsynen pågår och beslut kommer att fattas i början av Rättsväsendets informationsförsörjning (RIF) Under 2012 granskade Datainspektionen det elektroniska flödet som förekommer mellan olika myndigheter i samband med brottmål. Datainspektionens rapport 2012:1 beskriver flödet av information och identifierar brister i skyddet av de personuppgifter som skickas mellan myndigheterna. Datainspektionen har under 2013 inlett en uppföljning av beslutet mot Kriminalvården. Inspektionen beräknas vara avslutad under första delen av Datainspektionen har även inlett inspektioner vid fyra domstolar för att kontrollera vilka uppgifter domstolarna offentliggör i sina besöksterminaler. Inspektionerna beräknas vara avslutade under första delen av Försvarsmaktens militära underrättelse- och säkerhetstjänst Datainspektionen har genomfört granskning av Försvarsmaktens militära underrättelse- och säkerhetstjänst (MUST). Granskningen visade att det fanns brister i hur personuppgifter hanteras i verksamheten. Granskningen resulterade i ett antal förelägganden som Försvarsmakten måste åtgärda. Försvarsmakten har därefter lämnat in en plan till Datainspektionen som innehåller en redovisning av åtgärder med anledning av Datainspektionens beslut Försvarsmaktens kompetens- och rekryteringsdatabaser Datainspektionen har genomfört granskning av Försvarsmaktens kompetens och rekryteringsdatabaser. Granskningen visade bl.a. uppgifterna sparas i databaserna längre än de behövs för ändamål med behandlingen. Granskningen har resulterat i ett antal förelägganden som Försvarsmakten måste åtgärda. Försvarsmakten har efter inspektionen avslutats lämnat in en plan till Datainspektionen för hur bristerna ska åtgärdas. 23

24 Telebolags bevarande av uppgifter om före detta kunder Mot bakgrund av att Datainspektionen i ett tidigare ärende förelagt ett telebolag att gallra uppgifter om tidigare kunder genomförde Datainspektionen en inspektion hos bolaget för att kontrollera att bolaget genomfört den åtgärdsplan som bolaget tagit fram för att åstadkomma fungerade gallringsrutiner. Datainspektionen kunde i sitt beslut konstatera att bolaget infört gallringsrutiner. Datainspektionen har granskat ytterligare ett telebolag gällande samma frågeställning. Tillsynen pågår och beslut kommer att fattas under Behörighetsstyrning m.m. enligt patientdatalagen I syftet att kontrollera hur Karolinska universitetssjukhuset (KS) begränsar den elektroniska åtkomsten till patientuppgifter inom ramen för den inre sekretessen enligt 4 kap. 1 patientdatalagen har Datainspektionen genomfört en inspektion hos KS. Syftet var också att kontrollera hur KS arbetar med verkningsfulla logguppföljningar när misstanke har uppkommit om obehörig elektronisk åtkomst till patientuppgifter. Datainspektionen förelade KS att genomföra en behovs- och riskanalys för journalsystemet TakeCare samt att ta fram riktlinjer som underlag för KS bedömning av vad som är obehörig elektronisk åtkomst enligt 4 kap. 3 patientdatalagen Skrivbordsinspektioner Bolagsverket Datainspektionen har inlett tillsyn mot Bolagsverket efter klagomål på direktreklam som härrör från personuppgifter ur Bolagsverkets näringslivsregister. Datainspektionen har även inom ramen för tillsynen prövat Bolagsverkets e-tjänster Urvalslista och Sök företagsfakta. Tillsynen pågår och beslut kommer att fattas i början av Umeå kommun Datainspektionen har granskat personuppgifter som Umeå kommun registrerar vid arbetsförmågebedömningar av kommunens personal. Arbetsförmågebedömningarna har tagits fram av kommunens företagshälsovård på uppdrag av kommunen. Datainspektionen konstaterade att kommunen saknar rutiner som säkerställer att kommunen inte registrerar onödigt närgångna eller omfattande uppgifter. Datainspektionen förelade kommunen att förbättra informationen till dem som registreras i IT-systemet och se över rutiner för åtkomst till uppgifterna Svenska kyrkan Efter att Datainspektionen mottagit flera klagomål på att Svenska kyrkan registrerar uppgifter om barn som inte tillhör kyrkan inledde Datainspektionen tillsyn. Datainspektionen konstaterade att kyrkan har rätt att behandla uppgifterna i syfte att värva barnen till kyrkan men att kyrkan inte har rätt att spara uppgifterna från det att barnet föds till dess att det fyller 18 år om inte barnet har gått med i kyrkan. 24

25 Kvalitetsregistret Senior Alert Datainspektionen har i tre beslut uttalat vad som gäller för registrering i kvalitetsregister av personer som varaktigt saknar beslutsförmåga. Inspektionen kom fram till att man inte får behandla uppgifter om personer som varaktigt saknar beslutsförmåga i regionala eller nationella kvalitetsregister om det inte finns en legal ställföreträdare som kan ta emot information om registreringen och ta ställning till att den varaktigt beslutsoförmögne inte motsätter sig registreringen Salem kommuns användning av molntjänster I en uppföljande tillsyn av Salems kommuns användning av molntjänster konstaterade Datainspektionen att personuppgiftsbiträdesavtalet som Kommunstyrelsen i Salems kommun avsåg att teckna med molntjänstleverantören inte uppfyllde kraven på instruktioner till biträdet vad avser ändamål med behandling och radering av personuppgifter, och heller inte garanterade kommunstyrelsen tillräcklig insyn i vilka underleverantörer som anlitades. Beslutet har överklagats av Salems kommun och av dess personuppgiftsbiträde Förenklad tillsyn Förutom inspektioner har även förenklad tillsyn utförts i 15 ärenden. Förenklad tillsyn innebär att inspektionens handläggare tar kontakt med den organisation, myndighet eller det företag som ett klagomål rör för att utreda enklare frågor. I dessa fall inleds inte något tillsynsärende. Arbetet utförs inom klagoärendet Bedömning - inspektionsverksamheten Vårt urval av tillsynsobjekt har präglats av områden där känsliga uppgifter förekommer, nya företeelser och områden där risk för missbruk är särskilt stor. Under 2013 har 214 tillsynsärenden inletts jämfört med 199 för året innan. Av dessa avser tre ärenden tillsyn enligt Lagen om kameraövervakning. Enligt inspektionens tidsredovisning för 2013 har nedlagda resurser för skrivbordstillsyner och fältinspektioner ökat jämfört med 2012 ( timmar för 2013 jämfört med timmar för 2012). Det har varit en medveten strategi att öka tillsynsverksamheten. Det har även varit en medveten strategi att göra skrivbordsinspektioner där detta är lämpligt i stället för fältinspektioner som är mer resurskrävande. Under året har inspektionen utfört flera mycket resurskrävande inspektioner, t.ex. Försvarsmakten och inom polisen. I många fall har inspektionen även publicerat pressmeddelanden för att få en bred spridning av resultatet av tillsynen. Inspektionen bedömer att det är effektivt att kontrollera efterlevnaden av personuppgiftslagen genom inspektioner och att sprida resultaten brett. 25

26 5.5 Klagomål Kostnad Timmar Kostnad Timmar Kostnad Timmar kr kr kr Behandling av inkomna klagomål Under 2013 har det kommit in 352 klagomål till Datainspektionen som diarieförts som ärenden enligt personuppgiftslagen. En del klagomål föranleder Datainspektionen att inleda tillsyn mot den personuppgiftsanvariga som klagomålet riktas mot. Detta sker då i ett separat ärende. Alla som klagar får besked i någon form. De flesta klagomålen avser personuppgiftsbehandling avseende kund- och medlemsförhållanden, på Internet och inom arbetslivet Prestation: Inkomna klagomål (PUL) Statistik År 2013 År 2012 År 2011 PUL Datalagen Kvalificerade frågor Antalet kvalificerade frågor som diarieförts som ärenden uppgick under 2013 till 230 stycken, jämfört med 219 stycken Inkomna kvalificerade frågor Statistik År 2013 År 2012 År Bedömning - klagomål (PUL) Antalet diarieförda klagomål har under de senaste tre åren ökat något. Även antalet kvalificerade frågor har ökat något. Samtidigt visar myndighetens tidredovisning för 2013 att den tid som myndigheten ägnat åt handläggning av framför allt klagomålsärenden minskat med över 50 procent. Detta kan vara resultatet av det effektiviseringsarbete som myndigheten genomfört under året i syfte att effektivisera bland annat handläggningen av klagomål. 26

27 6 Tillsyn och tillståndsgivning inom kreditupplysnings- och inkassoverksamhet 6.1 Uppgift Datainspektionen ska verka för att god sed iakttas i kreditupplysnings- och inkassoverksamhet Kostnader och intäkter för området tillsyn och tillståndsgivning inom KUL och IKL Statistik År 2013 År 2012 År 2011 Kostnader kr kr kr Intäkter, övriga kr kr kr Intäkter, anslag kr kr kr Beloppen är avrundade till tusental 6.2 Information, regelgivning och rådgivning Telefon- och e-postfrågor Datainspektionen särredovisar inte antalet besvarade mejl- och telefonfrågor till myndighetens upplysningstjänst inom de olika verksamhetsgrenarna personuppgiftslagen, kreditupplysnings- eller inkassolagen. Även om det totala antalet besvarade frågor till upplysningstjänsten ökat under 2013, se kapitel 5.2.3, så har ärendegruppen Rådgivning KuL och IkL i myndighetens tidredovisning 2013 minskat med cirka 30 procent jämfört med Det totala antalet frågor till upplysningstjänsten har ökat. På kreditupplysnings- och inkassoområdena ställs ett stort antal frågor genom samtal som kommer direkt till de personer som arbetat inom dessa verksamhetsområden. Dessa frågor framgår inte av statistiken över telefon- och e-postfrågor. Detta kan också vara förklaringen till att antalet diarieförda förfrågningsärenden enligt kreditupplysnings- och inkassolagen är få. De uppgick under året endast till tre respektive sex stycken. På webbplatsen finns avdelningar för kreditupplysning och inkasso. Enligt tidigare års webbstatistik är dessa delar av webbplatsen är mycket välbesökta. På webbplatsen finns även listor över innehavare av inkasso- och kreditupplysningstillstånd. 27

28 6.2.2 Föreläsningar Datainspektionen har under 2013 hållit tre uppdragsföreläsningar rörande inkassofrågor Samverkan Datainspektionen har under året haft två möten med Finansinspektionen i syfte att samordna tillämpningen av god inkassosed. Datainspektionen har även vid ett tillfälle samverkat med Konsumenternas energimarknadsbyrå i syfte att utbyta erfarenheter kring indrivning av elfordringar, med branschorganisationen Svensk Inkasso kring olika frågor av intresse på inkassoområdet samt med nätverket Samverkan mot fakturabedrägerier som syftar till att utbyta erfarenheter för att stävja fakturabedrägerier. 6.3 Kreditupplysningslagen Kostnad Timmar Kostnad Timmar Kostnad Timmar kr kr kr Tillsynsverksamheten Datainspektionen har under 2013 inlett sex tillsynsärenden enligt kreditupplysningslagen. Tillsynsärendena var skrivbordsinspektioner som föranleddes av klagomål från allmänheten om bland annat webbtjänster på Internet där personupplysningar lämnats ut utan att reglerna om legitimt behov och kreditupplysningskopia följts. Datainspektionen har vidare lagt ner ett omfattande arbete på att driva processer i förvaltningsrätt och kammarrätt. Detta är en följd av att kreditupplysningsföretag överklagat många av de förelägganden som Datainspektionen meddelade 2011 inom ramen för det tillsynsprojekt som syftade till att kontrollera hur kreditupplysningsbranschen anpassat sin verksamhet till de ändringar i kreditupplysningslagen som trädde i kraft den 1 januari Lagändringarna innebar att bestämmelserna om legitimt behov och kreditupplysningskopia måste beaktas även i de fall utlämnandet sker via en webbplats som omfattas av den så kallade databasregeln i 1 kap. 9 yttrandefrihetsgrundlagen. Datainspektionen meddelade bland annat förelägganden rörande utskick av kreditupplysningskopior på elektronisk väg Prestation: Tillsyn (KUL) Statistik År 2013 År 2012 År 2011 Påbörjade Avslutade Ingående balans Utgående balans

29 6.3.2 Tillstånd Kostnad Timmar Kostnad Timmar kr kr kr 22 Under 2013 kom det in sex ansökningar till Datainspektionen om tillstånd att bedriva kreditupplysningsverksamhet. Några av ansökningarna avsåg ändringar av befintliga tillstånd. Det har tillkommit två nya aktörer på kreditupplysningsområdet under året Prestation: Tillstånd (KUL) Statistik År 2013 År 2012 År 2011 Inkomna Avgjorda Ingående balans Utgående balans Klagomål Kostnad Timmar Kostnad Timmar Kostnad Timmar kr kr kr 96 Under 2013 kom det in 22 klagomål enligt kreditupplysningslagen som diariefördes. Vanligt förekommande är klagomål som rör kreditupplysningsföretagens nya tjänster för tillhandahållande av kreditupplysningskopior på elektronisk väg. Det förekommer även klagomål på att det saknas legitimt behov hos den som begärt ut en kreditupplysning Prestation: Inkomna klagomål (KUL) Statistik År 2013 År 2012 År Bedömning - tillsyn, tillstånd och klagomål inom kreditupplysningsområdet Tillsynen av kreditupplysningsbranschen har under 2013 fokuserat på att upprätthålla de förelägganden som inspektionen meddelade kreditupplysningsföretag under 2011 och vidta nödvändiga åtgärder när klagomål från allmänheten pekat på brister i kreditupplysningsföretags verksamhet i det enskilda fallet. Datainspektionen pekade redan 2011 på de nya fenomen som uppstått på kreditupplysningsområdet på grund av ändringarna i kreditupplysningslagen. 29

30 Datainspektionen framhöll bl.a. att lagändringarna inte fått avsedd verkan eftersom flera kreditupplysningsföretag börjat tillhandahålla kreditupplysningstjänster i form av tekniska upptagningar som innebär att reglerna om legitimt behov och kreditupplysningskopia inte behöver beaktas. Användningen av tekniska upptagningar har fortsatt under Datainspektionen var under 2012 i kontakt med Justitiedepartementet och efterfrågade en snabb justering av 9 och 11 kreditupplysningslagen med innebörd att även kreditupplysningsverksamhet som bedrivs med hjälp av tekniska upptagningar ska omfattas av bestämmelserna om legitimt behov och kreditupplysningskopia. Justitiedepartementet har sedermera i promemorian Ett teknikoberoende skydd för den enskildes integritet vid kreditupplysning Ds 2013:27 förslagit att samtliga former av utlämnande av kreditupplysningar på sätt som avses i yttrandefrihetsgrundlagen ska omfattas av kreditupplysningslagens skyddsregler. Sammanfattningsvis kan sägas att lagändringarna från 2011 delvis lett till en förstärkning av konsument- och integritetsskyddet på kreditupplysningsområdet. Genom att flera kreditupplysningsbolag fortsätter att tillhandahålla kreditupplysningstjänster i form av tekniska upptagningar som innebär att reglerna om legitimt behov och kreditupplysningskopia inte behöver beaktas har dock lagändringarna inte fått avsedd verkan. Datainspektionen konstaterar därför att myndigheten inte har kunnat skapa förutsättningar för att ett integritetsskydd iakttas i kreditupplysningsverksamhet i den omfattning som lagändringarna var avsedda att åstadkomma. 6.4 Inkassolagen Kostnad Timmar Kostnad Timmar Kostnad Timmar kr kr kr Tillsynsverksamheten Under hösten 2013 har Datainspektionen genomfört ett tillsynsprojekt för att granska de inkassoåtgärder som elbolagen vidtar för att driva in konsumenters obetalda elfordringar, det vill säga den inkassoverksamhet som elbolagen själva bedriver. Som ett första led i granskningen ställde Datainspektionen frågor till 20 elbolag. Av de bolag som lämnade svar som innebar att de bedriver egen inkassoverksamhet har Datainspektionen inspekterat fyra på plats. Besluten i de fyra ärendena kommer att fattas i början av Därutöver har Datainspektionen genomfört uppföljande tillsyn av tillståndshavare med omfattande inkassoverksamhet samt tillsyn med anledning av klagomål. Det har rört bland annat val av processform, åsidosättande av tillståndsplikten och brister i kontakten med gäldenärer. I två fall har Datainspektionens tillsyn lett till att inkassotillståndet har 30

31 återkallats. Det ena fallet rörde ett inkassobolag som trots påpekanden och föreskrifter fortsatte att agera i strid med god inkassosed. I det andra fallet lyckades inkassobolaget inte visa att någon inom bolaget hade erforderlig sakkunskap för att bedriva inkassoverksamhet. Utöver de 64 diarieförda tillsynsärendena har ytterligare elva ärenden hanterats genom förenklad tillsyn inom ramen för klagomålsärenden (se avsnitt 6.4.3) Prestation: Tillsyn (IKL) Statistik År 2013 År 2012 År 2011 Påbörjade Avslutade Ingående balans Utgående balans Tillstånd Kostnad Timmar Kostnad Timmar Kostnad Timmar kr kr kr 460 Under 2013 kom 40 ansökningar om tillstånd att bedriva inkassoverksamhet in till Datainspektionen. Myndigheten beviljade 35 ansökningar. En del av ansökningarna rörde förnyelse av tidigare beviljade tillstånd Prestation: Tillstånd (IKL) Statistik År 2013 År 2012 År 2011 Inkomna Avgjorda Ingående balans Utgående balans Klagomål Kostnad Timmar Kostnad Timmar Kostnad Timmar kr kr kr 559 Det har under 2013 kommit in 157 klagomål. Klagomålen har bland annat gällt brister i kontakten med gäldenärerna, ifrågasättande av grunden för fordran och bolagens hantering av ärendet efter att fordran har bestridits samt att inkassoverksamhet bedrivs utan tillstånd. 31

32 Prestation: Inkomna klagomål (IKL) Statistik År 2013 År 2012 År Bedömning - tillsyn, tillstånd och klagomål inom inkassoområdet Antalet tillsynsärenden är något färre än tidigare år. Bortsett från granskningen av elbranschen har tillsynen under året inriktats på brister i inkassobolagens rutiner, som har drabbat eller skulle kunna drabba många gäldenärer. Datainspektionen konstaterar återigen att det i förhållande till mängden krav som inkassobolagen skickar ut förekommer relativt få brister som på ett markant sätt strider mot god inkassosed. Datainspektionens erfarenheter från tillsynsverksamheten visar att de etablerade inkassobolagen i allt väsentligt följer god inkassosed. Ser man till det antal inkassokrav som årligen skickas till gäldenärer av inkassoföretagen är antalet klagomål till Datainspektionen få. 32

33 7 Annan enhetsövergripande verksamhet 7.1 Internationell verksamhet Internationell verksamhet, inklusive medverkan i EU:s gemensamma tillsyn över och utveckling av dataskyddsdirektivet Kostnad Timmar Kostnad Timmar Kostnad Timmar kr kr kr Återrapporteringskrav Datainspektionen ska redovisa omfattningen av myndighetens deltagande i internationellt arbete. Av redovisningen ska den tid och de resurser som myndigheten använder till detta arbete framgå. Redovisad tid för internationellt arbete under 2013 uppgick till timmar, vilket kan jämföras med timmar år 2012 och timmar år Drygt ett tiotal av Datainspektionens medarbetare har under året representerat inspektionen vid olika möten i det internationella arbetet. Därutöver har ytterligare ett antal medarbetare deltagit i beredningen av de frågor som behandlas i det internationella arbetet gruppen Datainspektionen medverkar i EU:s gemensamma tillsyn över och utveckling av dataskyddsdirektivet genom sina representanter i 29-gruppen (tillsatt enligt artikel 29 i direktivet). Gruppen ska medverka till att direktivet tillämpas enhetligt i medlemsstaterna. Dessutom ska gruppen lämna yttranden till EUkommissionen om skyddsnivån i länder utanför EU samt ge råd till kommissionen om förslag till ändringar av direktivet. Dessa uppgifter ska också avse frågor som omfattas av direktivet om integritet och elektronisk kommunikation. Gruppens antagna dokument finns på dess webbplats: Under 2013 har 29-gruppen sammanträtt i Bryssel vid fem tillfällen (i de flesta fall tvådagarsmöten.) 29-gruppen har under detta år, liksom under 2012, fortsatt att diskutera framtiden för skyddet av personuppgifter och förslaget till ny EUlagstiftning på detta område. Gruppen har också lagt ned mycket arbete på att bevaka den tekniska utvecklingen med avseende på olika dataskyddsfrågor (t.ex. appar i smart phones och liknande samt konsekvenser för dataskyddet ifråga om s.k. smart 33

34 grids och smart metering systems). Gruppen har vidare fortsatt sitt arbete med att analysera olika nyckelbegrepp i dataskyddsdirektivet och har under året publicerat ett yttrande om begreppet ändamålsbegränsning. Datainspektionen har under året deltagit aktivt i fem av de sju arbetsgrupper som finns inom 29-gruppen; Future of Privacy subgroup (den framtida rättsliga regleringen av skyddet för personuppgifter), Technology subgroup (IT-frågor), Key Provisions subgroup (om grundläggande begrepp i dataskyddsdirektivet), Biometrics & e-government (bland annat e-förvaltning) och BTLE subgroup (Border, Travel & Law Enforcement). Dessa fem arbetsgrupper har sammanlagt föranlett arton möten i Bryssel under Schengen JSA Schengens informationssystem (SIS) är en del av Schengensamarbetet. Från och med våren 2013 upphörde Schengen JSA som en följd av att den nya versionen av SIS, SIS II, togs i bruk. Enligt de nya reglerna för SIS II ska tillsynen över SIS på respektive medlemsstats territorium (inklusive överföring från dess territorium) fortsatt ske av den nationella tillsynsmyndigheten, dvs Datainspektionen i Sverige. Tillsynen över den centrala enheten faller däremot numera under den Europeiske datatillsynsmannens (EDPS) ansvar. EDPS och de nationella tillsynsmyndigheterna ska samarbeta och säkerställa en samordnad tillsyn av SIS II. För detta ändamål ska myndigheterna träffas minst två gånger per år. Under 2013 ägde två sådana möten rum och Datainspektionen deltog i dessa. Dessförinnan sammanträdde Schengen JSA vid ett tillfälle där Datainspektionen också deltog. Samtliga möten har hållits i Bryssel. JSAs arbete beskrivs sedan 2011 på en öppen webbplats i syfte att öka insynen i myndighetens arbete ( Där publiceras bl.a. de yttranden som myndigheten tagit fram Europol JSB och AC Datainspektionen har representanter i den gemensamma tillsynsmyndigheten för Europol (Joint Supervisory Body of Europol, JSB), som har i uppdrag att övervaka att Europols behandling av personuppgifter sker i enlighet med gällande regelverk. Årligen utför representanter för JSB inspektioner vid Europols kontor i Haag. En sådan inspektion utfördes även under våren 2013 och gruppen har antagit en rapport över inspektionen under året CIS JSA På EU-nivå finns en gemensam tillsynsmyndighet (CIS Joint Supervisory Authority) som ska övervaka behandlingen av personuppgifter i den del av informationssystemet för tullsamarbete, Customs Information System, som har till syfte att underlätta informationsutbyte för att bekämpa brott mot nationell lagstiftning på tullområdet. Informationsutbytet reglerades tidigare i en konvention. Sedan den 27 maj 2011 gäller dock ett rådsbeslut för detta informationsutbyte. Den gemensamma tillsynsmyndigheten består av företrädare för nationella tillsynsmyndigheter och företrädare för Datainspektionen deltar således i CIS 34

35 JSA. CIS JSA ska se till att informationsutbytet följer bestämmelserna i rådsbeslutet men även i det så kallade dataskyddsrambeslutet. Enligt rådsbeslutet ska vidare CIS JSA och den Europeiske datatillsynsmannen (EDPS) träffas årligen för att samarbeta och samordna tillsynen över CIS. Ett sådant samarbete mellan EDPS och nationella tillsynsmyndigheter ska också ske ifråga om tillsyn över den del av CIS som syftar till att underlätta bekämpning av brott mot EU-gemensamma tullregler. CIS JSA har under året sammanträtt vid tre tillfällen i Bryssel. I samband med två av dessa möten har också möten hållits med EDPS för samordning av tillsynen Konferenser och arbetsgrupper Som ett led i det internationella samarbetet träffas de Europeiska dataskyddsmyndigheternas chefer varje år för att diskutera dataskyddsfrågor vid en s.k. vårkonferens. År 2013 hölls vårkonferensen i Lissabon. Det hölls också ett möte i maj för de nordiska dataskyddsmyndigheterna i Köpenhamn. Vid detta möte träffas myndighetscheferna, handläggare och IT-specialister, dels var för sig och dels i gemensamma möten. Under hösten hölls det årliga internationella datachefsmötet i Warszawa. Företrädare för Datainspektionen deltog vid samtliga dessa möten. Sedan 1999 hålls varje år ett seminarium (Case Handling workshop) där företrädare för EU-staternas dataskyddsmyndigheter samlas och närmare diskuterar konkreta frågor och ärenden i syfte att underlätta och bidra till harmoniserade resultat samt för att förbättra informationskanalerna mellan myndigheterna. Under 2013 hölls ett sådant seminarium i Sarajevo. Datainspektionen deltar vidare i den så kallade Berlingruppen (the International Working Group on Data Protection in Telecommunications; IWGDPT). Det är en arbetsgrupp som behandlar frågor om dataskydd vid telekommunikation och tjänster på Internet. Den består av dataskyddsmyndigheter och andra publika organ, internationella organisationer och vetenskapsmän från hela världen. Gruppen har under året sammanträtt två gånger och Datainspektionen har deltagit vid båda dessa möten. När det gäller Eurodac deltar Datainspektionen tillsammans med andra EUländers dataskyddsmyndigheter och den Europeiske datatillsynsmannen (EDPS) i en arbetsgrupp för samordnad tillsyn. Gruppen har under året sammanträtt vid två tillfällen i Bryssel. Chefen för EDPS är ordförande i gruppen och Datainspektionens representant har under året varit vice ordförande. En liknande arbetsgrupp för samordnad tillsyn mellan EDPS och de nationella tillsynsmyndigheterna inrättades i slutet av 2012 avseende det EU-gemensamma viseringsregistret, VIS. Gruppen har under 2013 träffats två gånger i Bryssel och en företrädare för Datainspektionen har deltagit i dessa möten. Under 2013 har två företrädare för Datainspektionen deltagit i ett särskilt anordnat två-dagarsseminarium i Bonn där dataskyddsmyndigheterna diskuterade hanteringen av ärenden om godkännande av s.k. Binding Corporate 35

36 Rules (BCR). Ärenden rörande BCR har de senaste åren blivit alltmer omfattande. Datainspektionen har under 2013 bl.a. deltagit i arbetet med att tillsammans med två övriga dataskyddsmyndigheter inom EU - närmare granska ett par internationella koncerners utkast till BCR enligt de rutiner som dataskyddsmyndigheterna kommit överens om Utländska besök Datainspektionen har under året bland annat tagit emot en delegation från dataskyddsmyndigheten i Moldavien inom ramen för EU:s TAIEX-program där fokus var dataskydd och ungdomar. Inspektionen har också fått besök av en delegation från Frankrike bestående av företrädare för olika statliga myndigheter. Syftet med besöket var att diskutera hanteringen av personuppgifter inom ramen för ett projekt om olika typer av samhällsrisker och anordnades av den franska ambassaden i Stockholm. Därutöver har inspektionen tagit emot en delegation från Japan för att diskutera skydd för personuppgifter i samband med hanteringen av personnummer. Slutligen har inspektionen haft besök av företrädare för Justitiedepartementet i Lettland inom ramen för ett EU Nordic-Baltic mobility program för att utbyta erfarenheter ifråga om dataskyddsmyndighetens arbete. Utöver dessa besök har Datainspektionen också tagit emot ett par utländska journalister för att svara på frågor om dataskydd och personuppgiftsbehandling i Sverige Bedömning - internationell verksamhet I Datainspektionens internationella verksamhet behandlas dataskyddsfrågor som är gränsöverskridande och som därför förutsätter att åtminstone alla dataskyddsmyndigheter inom EU medverkar. Verksamheten tillför kunskap och erfarenheter till det nationella arbetet. Arbetet i gemensamma tillsynsgrupper har också ofta föranlett nationell tillsyn eller andra åtgärder där resultatet sedan kan jämföras med erfarenheterna i andra medlemsstater. När liknande tolknings- och tillämpningsproblem upptäcks i flera länder kan detta tas upp i gemensamma rapporter och därigenom uppnås större uppmärksamhet. Den ökade globaliseringen har medfört ett ökat tryck på dataskyddsmyndigheternas samordning och samarbete. Det har också inneburit att Datainspektionen sett det som nödvändigt att delta i flertalet av 29-gruppens undergrupper. Datainspektionen har deltagit i fem av 29-gruppens sju undergrupper, bland annat i den grupp som bereder frågor om den framtida regleringen av dataskyddet i EU-länderna och den grupp som hanterar e-förvaltningsfrågor. Myndigheten ser ett fortsatt behov av att delta i samtliga av dessa undergrupper men normalt utan att ta på oss den ledande rollen som rapportör i någon av dem. Nya företeelser kan göra det påkallat att delta även i ytterligare någon undergrupp till 29-gruppen. Det är också något som 29-gruppen förväntar sig av medlemsstaternas dataskyddsmyndigheter. Tidsåtgången i den internationella verksamheten har under året varit högre än 36

37 det närmast föregående verksamhetsåret. Det kan till viss del bero på händelser i omvärlden som föranlett ytterligare arbete i undergrupper till artikel 29-gruppen utöver redan planerat arbete. Under 2013 inrättades också en ny arbetsgrupp för samordnad tillsyn över VIS som inneburit visst ytterligare arbete. Därutöver kan den ökade tidsåtgången antas bero på att arbetet med EU-gemensam bedömning av s.k. Binding Corporate Rules har ökat och att inspektionen haft något fler utländska besök under 2013 än året innan. Myndigheten har under 2013 haft anledning att ägna fortsatt hög uppmärksamhet åt de internationella frågorna. Det är förklarligt med hänsyn till EU:s förslag till ny reglering av dataskyddet och den ökade globaliseringen av behandlingen av personuppgifter. Datainspektionen har till exempel sett det som nödvändigt att ägna särskild uppmärksamhet åt bland annat de frågor i EU:s förslag till ny dataskyddsreglering som rör tillsynsmyndigheternas kompetens och samverkan. Den internationella verksamheten har sammantaget tagit en hel del resurser hos inspektionen i anspråk. I vissa delar har Datainspektionen kunnat lägga ned det arbete som frågorna förtjänat medan myndigheten i andra delar, av prioriteringsskäl, inte alltid fullt ut kunnat lägga ned de resurser som ur ett integritetsskyddsperspektiv hade varit önskvärt. 7.2 Elektronisk förvaltning Återrapportering Datainspektionen ska redovisa vilka insatser myndigheten har gjort för att värna den personliga integriteten i samband med utvecklingen av en elektronisk förvaltning inom den offentliga förvaltningen Allmänt om arbetet med e-förvaltning I den offentliga förvaltningen pågår för närvarande stora förändringar och inom många organisationer introduceras nya former av IT-lösningar för att möta krav på ökad effektivitet och tillgänglighet. De nya IT-systemen medför en omfattande automatiserad behandling av personuppgifter och en stor del av Datainspektionens arbete gentemot myndigheter, kommuner och landsting berör därför sådan verksamhet som omfattas av begreppet e-förvaltning. När IT-system utvecklas är det viktigt att säkerhet och integritet byggs in från början. Åtskilliga lagförslag, utredningar och propositioner som Datainspektionen har fått på remiss under 2013 har rört frågor om e-förvaltning. E-delegationen har ett antal projekt för utveckling av förvaltningsgemensamma tjänster som innehåller komplicerade integritetsfrågor och som kommer ha påverkan på enskilda och offentligsektor t.ex. Mina meddelanden, Mina ärenden, Mina fullmakter, E-arkiv och e-diarium och Effektiv informationsförsörjning. Socialdepartementet har under året drivit ett projekt som innebär införanden av ett Hälsokonto för medborgarna. 37

38 Företrädare för inspektionen har under året deltagit som expert i utredningen Ett minskat och förenklat uppgiftslämnande för företagen (N2012:01). Utredningen har avgivit slutbetänkande under 2014 (SOU 2013:80). Regeringen har fattat beslut om att Uppgiftslämnarutredningen ska gå vidare med att vidareutveckla prototypen för den tekniska lösningen. Se vidare avsnitt 5.3, Kommittéarbete och remisser Tillsyn och inspektioner Informationsutbyte Tillsynsprojektet utökat elektroniskt informationsutbyte avslutades under Ett av besluten mot en av de statliga myndigheterna (Försäkringskassan) överklagades till Förvaltningsrätten i Stockholm som avslog Försäkringskassans överklagande i december Försäkringskassan har överklagat förvaltningsdomstolens dom. Datainspektionen har under året yttrat sig till Kammarrätten i Stockholm i målet. Dom har ännu inte meddelats. Målet är av stor betydelse för e-förvaltningen eftersom det rör vad som kan anses vara utlämnande via direktåtkomst Myndighets försäljning av personuppgifter Datainspektionen har under året granskat hur Bolagsverket lämnar ut personuppgifter från sina register. Datainspektionen har även granskat Bolagsverkets e-tjänster Urvallista" och Sökföretagsfakta. Se vidare under avsnitt Åtkomstprojektet Under 2008 genomförde Datainspektionen ett tillsynsprojekt som rörde kontroll av hur anställda kommer åt personuppgifter. Fem stora statliga myndigheter inspekterades. Kontrollen visade att det fanns brister i kontrollen hur anställda kommer åt personuppgifter. Fyra myndigheter blev ålagda att åtgärda bristerna. Datainspektionen inledde under 2011 ett projekt att följa upp besluten. Uppföljningen av besluten mot två myndigheter avslutades under 2012 och mot två myndigheter under Länsstyrelser Datainspektionen har under året genomfört enkätinspektioner mot 20 länsstyrelser. Se vidare under avsnitt Temainspektioner RIF Rättsväsendets informationsförsörjning (RIF). Se vidare under avsnitt Temainspektioner Svårt få spärrar i sjukvården Datainspektionen avslutade under 2012 den första fasen i sin breda tillsyn av alla landsting och fem stora privata vårdgivare. Ingen av de granskade vårdgivarna visade sig uppfylla sin skyldigheter fullt ut gentemot patienterna när det gäller 38

39 att spärra uppgifter. Vårdgivarna förelades att redogöra för när funktioner för tekniska spärrar som lever upp till patientdatalagens krav kommer att vara genomförda i systemen. Andra delen av tillsynen avslutades i maj Det ser numera lite bättre ut hos många vårdgivare, även om det fortfarande kvarstår en del arbete när det gäller spärrfunktioner i IT-systemen. Se vidare under avsnitt Temainspektioner Mobila enheter hos socialnämnder Det blir allt vanligare att kommunala nämnder digitaliserar sin pappershantering för att komma ifrån stora mängder pappersutskick, bland annat inför nämndoch utskottssammanträden. Inspektionen inledde därför under året en kontroll av hur sju socialnämnder använder mobila enheter såsom surfplattor och smarta telefoner för att granska om de känsliga personuppgifter som hanteras i enheterna är skyddade på ett tillräckligt sätt. Projektet avslutades i maj 2013 med att en checklista för mobila enheter togs fram Samverkan med andra på e-förvaltningsområdet För att stärka utvecklingen av e-förvaltningen och skapa goda möjligheter för myndighetsövergripande samordning beslutade regeringen den 26 mars 2009 att inrätta E-delegationen. Delegationen ska vid behov tillkalla en referensgrupp i vilken Datainspektionen ingår. Datainspektionen har under året varit representerad i en expertgrupp som inrättats under e-delegationen, expertgruppen för rättsliga frågor. Inom expertgruppen för rättsliga frågor har inspektionen bland annat varit med och tagit fram en juridisk vägledning för verksamhetsutveckling inom e-förvaltning. Datainspektionen har under året löpande deltagit i samråd med Arbetsförmedlingen rörande Arbetsförmedlingens systemutveckling. Datainspektionen har ingått i en referensgrupp till Kammarkollegiet som arbetat med att ta fram ett ramavtal för kommuner och landsting avseende molntjänster. Datainspektionen har inom ramen för detta arbete deltagit i ett antal möten samt gett vägledning vid utformandet av biträdesavtalen. E-legitimationsnämnden bildades den 1 januari Nämnden har som övergripande uppgift är att stödja och samordna offentliga sektorns behov av säkra metoder för elektronisk identifiering och signering. Datainspektionens generaldirektör har förordnats som ledamot i nämnden. Datainspektionen ingår även i nämndens referensgrupp och i nämndens juristgrupp. Möten har ägt rum med Skatteverket angående Mina meddelanden. Många myndigheter och leverantörer av IT-stöd har under året tagit kontakt med Datainspektionen för att diskutera frågor som rör e-förvaltning. 39

40 7.2.5 Övrigt Föreläsningar och seminarier på e-förvaltningsområdet Datainspektionen har deltagit som föreläsare vid flera konferenser. Inspektionen har föreläst om Privacy By Design - Inbyggd Integritet vid bland annat en konferens anordnad av MSB. Inspektionen har föreläst om E-förvaltning inom hälso- och sjukvården i flera sammanhang: på bl.a. Vitalismässan, Nationella ehälsodagen och Medicinrättsliga seminariedagarna. Vid Vitalismässan i Göteborg föreläste inspektionen även om 29-gruppens riktlinjer för integritetsskyddet vid gränsöverskridande vårdtjänster och recept. Datainspektionen har föreläst på en konferens med temat digitalisering och tillgängliggörande av Sveriges kulturarv som Folke Bernadotteakademin och Armémuseet arrangerat. Inspektionen har också föreläst på Arkivrådet AAS & Svenska Arkivsamfundets årliga konferens. Ämnet var konflikten mellan öppen data och integritet. Datainspektionen har också hållit en föreläsningsserie om webbpublicering och personuppgiftsbehandling för kommun- och landstingsanställda registratorer och nämndsekreterare på olika håll i landet. Likaså har inspektionen vid ett flertal tillfällen föreläst om skolornas användning av e-förvaltning. Datainspektionen deltar löpande i seminarier om e-förvaltning som anordnas av Arena E-förvaltning, ADBJ och Dataföreningen E-Goverment sub group Datainspektionen har deltagit i en undergrupp till Artikel 29-gruppen som arbetar med e-förvaltningsfrågor. Under 2013 har gruppen bl.a. arbetat med frågor om vidareutveckling av handlingar från den offentliga förvaltningen (PSI), den föreslagna förordningen om betrodda tjänster och transaktioner på den inre marknaden och personuppgiftsbehandlingen hos respektive länders nationella Computer Emergency Response Team (CERT) Bedömning - elektronisk förvaltning Det pågår stora förändringar inom området elektronisk förvaltning. Förändringsarbetet sker dessutom i mycket hög takt och ibland uppdelat i många små förändringar vilket gör det svårt att bedöma konsekvenserna. Myndigheten har under året sett en något större samordning av e-delegationens förvaltningsgemensamma projekt. Likaså har Sveriges kommuner och landsting ett särskilt programkontor för utvecklingen av e-förvaltning hos sina medlemmar, Center för esamhället (CeSam). Datainspektionen har i viss utsträckning bidragit till en rättsäker elektronisk förvaltning genom att särskilt bevaka enskildas personliga integritet genom i huvudsak inspektioner, remissyttranden, samverkan med andra myndigheter, 40

41 föreläsningar och deltagande i utredningar. Inspektionen har dock inte haft möjlighet att delta i den utsträckning som inspektionens medverkan har efterfrågats. E-förvaltningen för med sig komplexa ansvarsfrågor vad gäller t.ex. personuppgiftsansvaret. Vid utveckling av e-förvaltning där fler än en myndighet är inblandad ser inspektionen ofta att ett allt större ansvar läggs på den enskilde. Vid tillsyn finner inspektionen ofta brister när det gäller åtkomsten till personuppgifter i myndigheters ärendehanteringssystem, journalsystem och andra register med personuppgifter. Inspektionen finner också ofta brister i IT-säkerheten. De områden inspektionen fokuserat på är utformning av behörighetssystem, åtkomst till skyddade personuppgifter, loggar och loggkontroll, säkerheten vid kommunikation och informationsutbyte och tekniska spärrar hos vårdgivare. Tjänster för elektronisk förvaltning förefaller fortfarande många gånger utvecklas och tas i bruk utan att kraven på säkerhetsåtgärder beaktas tillräckligt. Likaså finner inspektionen inte sällan brister i personalens kunskap om vilken integritetsskyddande lagstiftning som gäller för deras verksamhet. 7.3 Datainspektionens uppgifter enligt kameraövervakningslagen År 2013 År 2012 År 2011 Kostnader kr 0 kr 0 kr Intäkter övriga 0 kr 0 kr 0 kr Intäkter anslag kr 0 kr 0 kr Den 1 juli 2013 trädde kameraövervakningslagen (2013:460) i kraft. Lagen ersätter lagen (1998:150) om allmän kameraövervakning (LAK) och gäller i stället för personuppgiftslagen (1998:204) (PuL). I kameraövervakningslagen har alla regler om kameraövervakning, oavsett vilken plats som övervakningen avser, samlats. Genom kameraövervakningslagen har Datainspektionen fått ett centralt tillsynsansvar för all kameraövervakning i samhället (se 1 kameraövervakningsförordningen (2013:463)). Inspektionen har också övertagit Justitiekanslerns (JK:s) uppgift att överklaga länsstyrelsernas beslut om kameraövervakning för att tillvarata allmänna intressen. De nya uppgifter som Datainspektionen har fått i och med ikraftträdandet av den nya lagstiftningen förutsätter att inspektionen bygger upp nya funktioner. Mot den bakgrunden startades under senvåren 2013 ett projekt upp med uppgift att till den 1 september 2014 bygga upp kompetens och ta fram rutiner med anledning av de nya uppgifterna. Ett projektdirektiv beslutades (dnr ) i maj 2013 och en projektledare samt styrgrupp utsågs. Därefter har ytterligare personal tillförts projektet, som vid årsskiftet bestod av sammanlagt fyra 41

42 personer (totalt 3 årsarbetskrafter), varav tre jurister (två heltider och en halvtid) och en IT-säkerhetsspecialist (halvtid). IT-säkerhetsspecialistens uppgift är att bygga upp de kunskaper och funktioner som Datainspektionen behöver när det gäller tekniska aspekter vid kameraövervakning, bl.a. användandet av s.k. integritetsvänlig teknik Genomförd verksamhet Inom ramen för projektarbetet har Datainspektionen vidtagit en rad åtgärder under år Inledningsvis har kontakter tagits med JK och de 21 länsstyrelserna för att inhämta erfarenheter från verksamheten som den såg ut före den 1 juli Såväl JK som länsstyrelserna har varit behjälpliga och genom sina bidrag underlättat Datainspektionens inledande arbete. Som prioriterade uppgifter i projektet beslutades att skapa en organisation som den 1 juli 2013 skulle klara av att hantera inflödet av beslut/ärenden från länsstyrelserna. Således skapades rutiner för överföring av beslut från länsstyrelserna till Datainspektionen och rutiner för den interna ärendehanteringen vid inspektionen från det att ärendet inkommit till inspektionen till dess att det skrivs av alternativt överklagas till domstol. Den andra delen av de funktioner som Datainspektionen måste bygga upp avser utövandet av rollen som central tillsynsmyndighet enligt 1 kameraövervakningsförordningen. Under tiden den 1 juli till den 31 december 2013 har Datainspektionens projekt sammanträffat och samverkat med landets länsstyrelser vid sammanlagt tre tillfällen. Två av mötena har avsett den särskilda samverkansgrupp som finns hos länsstyrelserna beträffande kameraövervakning och det tredje mötet har avsett en inledande träff med länsstyrelsernas chefsjurister. Under det sista mötet med länsstyrelserna, som ägde rum i Stockholm i september 2013, återkopplade Datainspektionen de iakttagelser som dittills gjorts beträffande skillnader i länsstyrelsernas tillämpning av kameraövervakningslagen vid prövningen i tillståndsärenden. Det handlade bl.a. om villkor om bevarandetid och vilka krav som länsstyrelserna ställer upp för att bevilja tillstånd till bildinspelning i samband med kameraövervakning. Datainspektionen överlämnade inför mötet också utkast till mallar för länsstyrelsernas beslut i tillståndsärenden (så att samtliga länsstyrelser kan skriva sina beslut på samma sätt). Tanken är att länsstyrelserna vid kommande möten under 2014 ska redovisa till Datainspektionen vilka åtgärder som länsstyrelserna har möjlighet att vidta för att åstadkomma en likformig tillämpning av kameraövervakningslagen. Projektets personal har haft omfattande kontakter med massmedia och allmänheten när det gäller att svara på frågor och upplysa om den nya lagstiftningen och dess tillämpning. Dessutom har projektets personal tagits i anspråk för olika utbildningsinsatser. Projektet har vidare tagit fram såväl internt som externt informationsmaterial avseende den nya kameraövervakningslagen. Det externa materialet har bestått i en faktabroschyr och Frågor och Svar om kameraövervakning. 42

43 Under tiden den 1 juli till den 31 december 2013 har Datainspektionen mottagit omkring 300 beslut från länsstyrelserna i tillståndsärenden. Under tiden den 1 juli till den 31 december 2013 har Datainspektionen mottagit cirka 100 beslut från länsstyrelserna i övriga ärenden (bl.a. tillsynsärenden). Under tiden den 1 juli till den 31 december 2013 har Datainspektionen överklagat sammanlagt 32 länsstyrelsebeslut i ärenden om tillstånd till kameraövervakning, vilket motsvarar omkring 10 procent av de inkomna tillståndsbesluten. Vid årsskiftet 2013/2014 hade domstolarna avgjort fem av överklagandena. Domstolarna har gett Datainspektionen fullt bifall i samtliga avgjorda mål. Vid årsskiftet 2013/2014 hade Datainspektionen cirka 30 pågående rättegångar; samtliga i förvaltningsrätt. Samtliga antalsuppgifter i följande tabeller avser perioden fr.o.m. 1 juli t.o.m. 31 december 2013 Statistik År 2013 År 2012 År 2011 Antal diarieförda beslut i ärende om tillstånd till kameraövervakning från länsstyrelse Statistik År 2013 År 2012 År 2011 Antal diarieförda övriga prövningar i beslut angående kameraövervakning från länsstyrelse Statistik År 2013 År 2012 År 2011 Antal diarieförda beslut i tillståndsärende från länsstyrelse som Datainspektionen överklagat till förvaltningsrätt Sammanfattande bedömning av verksamheten med anledning av den nya kameraövervakningslagstiftningen Datainspektionens överklagandefunktion för att ta tillvara allmänna intressen har hittills fungerat mycket väl. 43

44 8 Övrig rapportering 8.1 Internet Datainspektionen tar emot en stor mängd klagomål från människor som upplever att de blivit kränkta genom att deras personuppgifter har publicerats på Internet. I många fall kan Datainspektionen inte agera, exempelvis när de anmälda webbplatserna eller publiceringarna träffas av något av undantagen i personuppgiftslagen, som innebär att lagen inte ska tillämpas. I andra fall har Datainspektionen inte möjlighet att utreda vem som står bakom en publicering. De klagomål som rör Internetkränkningar är ofta mycket resurskrävande, eftersom det ofta är fråga om svåra överväganden när det gäller att bedöma gränsdragningar mot yttrandefriheten. Datainspektionen har inte resurser att utreda alla inkommande klagomål, utan prioriterar bland annat fall där myndigheten kan åstadkomma största möjliga nytta, fall som innebär tydliga överträdelser av personuppgiftslagen och ärenden som kan leda till att ny praxis skapas. Eftersom Datainspektionens tillsynsmöjligheter på Internetområdet i vissa fall är begränsade är informationsspridning och samverkan med andra myndigheter, i arbetet kring kränkningar på Internet, en viktig del av Datainspektionens arbete Aktiviteter Datainspektionen har under 2013 polisanmält två webbplatser som publicerat personuppgifter på sätt som inspektionen bedömde vara kränkande och straffbara enligt personuppgiftslagen och även straffbara. Det ena ärendet rörde publiceringar om statstjänstemän och deras anhöriga. I det andra fallet bestod publiceringarna av uppgifter om att utpekade personer hade tagit del av porr. I syfte att stödja polisen i utredningar rörande kränkningar på Internet har Datainspektionen under hösten 2013 hållit utbildning för poliser och åklagare. Datainspektionen har även bistått med yttranden till polisen i två ärenden rörande brott mot personuppgiftslagen. Båda ärendena rörde Internetpubliceringar som Datainspektionen bedömde vara kränkande och straffbara enligt personuppgiftslagen. Det ena fallet handlade om att en person hängdes ut som pedofil i en blogg. Det andra ärendet rörde publicering av en dom som innehöll personuppgifter om brott. Vidare har Datainspektionen under 2013 deltagit i Statens Medieråds arbete med att ta fram ett lärarmaterial för mellanstadiet rörande rättigheter och skyldigheter på Internet. 44

45 9 Kvalitet och effektivitet i verksamheten 9.1 Återrapportering Datainspektionen ska redovisa de åtgärder som myndigheten har vidtagit för att utveckla kvaliteten och effektiviteten i verksamheten. 9.2 Aktiviteter Ledning, styrning, planering och uppföljning Datainspektionens styrnings- och uppföljningsprocess innefattar verksamhetsplan och tillsynsplan som regelbundet följs upp både inom respektive enhet och myndighetsövergripande. Myndigheten följer kvartalsvis upp och analyserar ärende- och tidredovisningsstatistik. Uppföljningen är nödvändig för att ge myndigheten underlag till eventuella omprioriteringar av resurser och aktiviteter i syfte att uppnå verksamhetsmålen. Uppföljningen säkerställer också att verksamheten bedrivs i enlighet med uppställda mål. Myndigheten har en årlig plan för uppföljning av den rättsliga kvaliteten. Myndigheten genomför löpande rättstillämpningsmöten som syftar till att vara kompetenshöjande, bidra till ökad kvalitet i rättsliga bedömningar och enhetlighet i myndighetens tillämpning och beslut. Myndigheten har en rutin för att löpande följa upp kvaliteten i de svar som lämnas inom ramen för upplysningstjänsten. Myndigheten har under året fortsatt arbeta enligt en metod för löpande och långsiktigt arbete med ständiga förbättringar utifrån förhållningssättet Lean i verksamheten. Flera processer har kartlagts och förbättringar och effektivisering sker nu fortlöpande Informations- och kommunikationsarbetet Myndigheten har en rutin för årlig, återkommande kvalitetssäkring av allt informationsmaterial. Granskningen ledde till att delar av informationsmaterialet uppdaterades. Med de nya rutinerna minskar risken för att exempelvis mindre ändringar i praxis och lagar samt namnbyten inte får genomslag i vårt informationsmaterial Kompetensutveckling och utveckling av arbetssätt och verktyg Medarbetarna ska ha hög kompetens. Fortlöpande utbildningsinsatser görs därför. Insatserna består av både interna seminarier i aktuella ämnen och utnyttjande av det externa utbudet av kurser och konferenser i ämnen som medarbetarna behöver i sitt arbete. Kompetensutvecklingsarbetet vid myndigheten följer en fastslagen strategi. 45

46 Utifrån vad som framkommer vid de enskilda planerings- och utvecklingssamtalen identifierar och prioriterar myndigheten kompetensutvecklingsbehovet för varje år. För år 2013 genomfördes bredare kompetensutvecklingsinsatser inom områdena juridisk engelska och mediaträning. Myndigheten fortsatte det under 2013 det påbörjade klarspråksarbetet att se över bland annat beslutsmallar. Myndigheten arbetar kontinuerligt med den gemensamma värdegrunden i staten. Bland annat har myndigheten utarbetat ett förslag till egen värdegrund som processas inom organisationen. Under året har myndigheten anskaffat och implementerat olika administrativa stödsystem. Myndigheten avropar exempelvis lednings-, planerings- och uppföljningssystem, IT-drift, ärendehanteringssystem med processorienterad arkivredovisning och e-arkiv, telefoni, utskrifter och kopiering som tjänster från statliga ramavtal. 9.3 Bedömning - kvalitet och effektivitet i verksamheten Myndighetens arbete med ständiga förbättringar (Lean-arbetet) har gett resultat. Exempelvis har myndigheten genom olika åtgärder undanröjt en del "flaskhalsar" i några arbetsprocesser. Lean-arbetet har under år 2013 utvidgats till att förutom tillsynen och utbildningsverksamheten också omfatta inkassoområdet och delar av den administrativa verksamheten. I arbetet med att lägga ut IT-drift och avropa applikationer och system som tjänster bedömer myndigheten att sårbarheten har minskat, kostnadseffektiviteten ökat, säkerhetsnivån förstärkts och att administrationen både har förenklats och effektiviserats. 46

47 10 Organisationsstyrning 10.1 Kompetensförsörjning För att Datainspektionen ska kunna bedriva en effektiv verksamhet krävs att myndigheten har tillgång till hög kompetens inom det juridiska området och ITsäkerhetsområdet. Myndigheten eftersträvar också en jämn balans mellan antalet män och kvinnor och en blandad åldersstruktur. I samband med nyrekrytering är strävan att öka andelen anställda med annan etnisk eller kulturell bakgrund. Datainspektionens medarbetare ska uppfatta arbetsmiljön som god. Antalet årsarbetskrafter har under året varit knappt 41. Det är en ökning med en årsarbetskraft jämfört med föregående år. Under senvåren startade ett projekt med Datainspektionens uppgifter enligt nya Kameraövervakningslagen. Projektet bemannades med tre medarbetare från andra delar av organisationen Bedömning - kompetensförsörjning Datainspektionen har i rekryteringsarbetet inte haft några större problem att attrahera nya medarbetare med juristkompetens. Däremot upplever myndigheten det inte lika oproblematiskt att attrahera nya medarbetare med ITsäkerhetskompetens. Myndigheten har dock efter ett search-förfarande rekryterat en medarbetare med IT-säkerhetskompetens. Datainspektionens lokaler ligger centralt i Stockholms innerstad. Myndigheten bedömer läget som viktigt och strategiskt riktigt ur ett kompetensförsörjningsperspektiv. Datainspektionen är övertygad om att detta i stor utsträckning bidrar till myndighetens möjligheter att attrahera, rekrytera och behålla kompetenta medarbetare 10.2 Jämställdhet Antalet män i förhållande till kvinnor har minskat jämfört med föregående år. Av det totala antalet anställda vid årets slut är 67 (65 för år 2012) procent kvinnor och 33 (35 för år 2012) procent män. Inom kärnkompetensen är könsfördelningen relativt jämn. Stödkompetensen och ledningen utgörs huvudsakligen av kvinnor. De sex ledande befattningarna utgjordes vid årets slut av två män och fyra kvinnor Bedömning - jämställdhet Datainspektionen konstaterar att myndigheten i rekryteringsarbetet av framförallt jurister ser allt färre manliga sökanden vilket har lett till en snedfördelning av manliga och kvinnliga medarbetare vid myndigheten. 47

48 10.3 Lika rättigheter och möjligheter I syfte att sträva efter en ökning av antalet anställda med annan bakgrund än den traditionellt svenska har inspektionen sedan flera år tillbaka en rutin som innebär att en särskild granskning görs av samtliga sökanden ur mångfaldssynpunkt vid varje rekryteringstillfälle. Granskningen syftar framförallt till att undanröja alla eventuella risker för omedveten diskriminering. Det finns inga tecken vid myndigheten som tyder på att medarbetare med bakgrund i annat land skulle vara utsatta för diskriminering på arbetsplatsen 10.4 Arbetsmiljö I planerings- och utvecklingssamtal kan varje medarbetare bland annat diskutera och planera den utveckling denne behöver för att uppnå fastställda mål och diskutera fysiska och psykosociala arbetsmiljöfrågor. Företagshälsovården biträder även med stöd när det gäller ergonomi, rehabilitering och andra arbetsmiljöfrågor. Myndigheten subventionerar motionsaktiviteter och den så kallade motionspengen utnyttjades under året av 36 anställda Bedömning - arbetsmiljö Myndigheten ser inga tecken på några allvarliga arbetsmiljöbrister Sjukfrånvaro Den totala sjukfrånvaron minskade återigen jämfört med året innan och ligger på en mycket låg nivå. Myndigheten har inget fall av långtidssjukfrånvaro under året. Myndigheten har en skriftlig instruktion om hur arbetsmiljöarbetet ska bedrivas. Av denna framgår bland annat förfarandet vid långa sjukfall. Enligt den håller ansvarig chef fortlöpande kontakt med den sjukskrivne i syfte att denne ska känna arbetsgivarens stöd och för att underlätta återgång i arbete. Den sjukes chef ansvarar för att rehabiliteringsåtgärder initieras. Företagshälsovården anlitas i samtliga situationer där stöd behövs, oavsett om det är fråga om längre sjukfall eller tillfälliga insatser. Under året har myndigheten inte behövt göra några långsiktiga rehabiliteringsinsatser Sjukfrånvaro (i procent av totalt arbetad tid) Statistik År 2013 År 2012 Total sjukfrånvaro 1,9 2,2 Långtidssjukfrånvaro 0 0 Kvinnor 2 2,3 Män 1,6 2,1 Samtliga i åldersgruppen år Samtliga i åldersgruppen 50 år och äldre 1,7 2 1,9 2,6 48

49 10.6 Ersättningar och andra förmåner Ledamöter i insynsrådet Otto von Arnold Övriga uppdrag: ledamot i styrelserna: AB Jordberga Gård, Skånska Biobränslebolaget AB och Sannarp AB samt uppdrag i Arnold Towers Holding, Söderslätts Spannmålsprodukter, SBI Jordberga AB och Insynrådet för Boverket. Arvode : kr Simone Fischer Hübner Övriga uppdrag: ledamot i MSB:s informationssäkerhetsråd och ledamot i STINT Styrelsen Arvode: kr Johan Hedin (ledamot t.o.m. 16 maj 2013) Övriga uppdrag: inga övriga uppdrag Arvode: kr Monica Green Övriga uppdrag: inga övriga uppdrag Arvode: kr Anne-Marie Qvarfort Övriga uppdrag: generaldirektör på IAF t.o.m. 31 mars 2013, särskild utredare åt Regeringen, fr.o.m. 1 april 2013, expert i den parlamentariska polisorganisationsutredningen. Arvode: kr Catarina Wretman Övriga uppdrag: inga övriga uppdrag Arvode: kr Göran Lindell (ledamot fr.o.m. 14 juni 2013) Övriga uppdrag: inga övriga uppdrag Arvode: kr Ledande befattningshavare Göran Gräslund, generaldirektör t.o.m. 31 mars 2013 Övriga uppdrag: ledamot i Kammarkollegiets insynsråd, ledamot i E- legitimationsnämnden och styrelseledamot i Statens Servicecenter. Lön: kr Hans-Olof Lindblom, t.f. generaldirektör, fr.o.m. 1 april t.o.m. 31 maj 2013 Övriga uppdrag: inga övriga uppdrag. Lön: kr Kristina Svahn Starrsjö, generaldirektör fr.o.m. 1 juni 2013 Övriga uppdrag: ledamot i IVO:s insynsråd. Lön: kr 49

50 11 Resultaträkning RESULTATRÄKNING (tkr) Not Verksamhetens intäkter Intäkter av anslag Intäkter av avgifter och andra ersättningar Finansiella intäkter Summa Verksamhetens kostnader Kostnader för personal Kostnader för lokaler Övriga driftkostnader Finansiella kostnader Avskrivningar och nedskrivningar Summa Verksamhetsutfall 0 0 Årets kapitalförändring

51 12 Balansräkning BALANSRÄKNING (tkr) Not TILLGÅNGAR Immateriella anläggningstillgångar Rättigheter och andra immateriella anläggningstillgångar Summa Materiella anläggningstillgångar Maskiner, inventarier, installationer m.m Summa Fordringar Kundfordringar Fordringar hos andra myndigheter Övriga fordringar 2 15 Summa Periodavgränsningsposter Förutbetalda kostnader Summa Avräkning med statsverket Avräkning med statsverket Summa Kassa och bank Behållning räntekonto i Riksgäldskontoret Summa SUMMA TILLGÅNGAR

52 BALANSRÄKNING (tkr) Not Myndighetskapital Statskapital Summa Avsättningar Övriga avsättningar Summa 61 0 Skulder m.m. Lån i Riksgäldskontoret Skulder till andra myndigheter Leverantörsskulder Övriga skulder Summa Periodavgränsningsposter Upplupna kostnader Summa SUMMA KAPITAL OCH SKULDER

53 13 Anslagsredovisning ANSLAGSREDOVISNING Redovisning mot anslag Anslag (tkr) Not Ing. överföringsbelopp Årets tilldelning enl. regl. brev Totalt disponibelt belopp Utgifter Utgående överföringsbelopp Uo 1 6:3 Ramanslag ap.1 Datainspektionen (ram) Summa

54 14 Tilläggsupplysningar och noter TILLÄGGSUPPLYSNINGAR OCH NOTER Alla belopp redovisas i tusentals kronor (tkr) om inget annat anges. Till följd av detta kan summeringsdifferenser förekomma. TILLÄGGSUPPLYSNINGAR Redovisningsprinciper Tillämpade redovisningsprinciper Datainspektionens bokföring följer god redovisningssed och förordningen (2000:606) om myndigheters bokföring (FBF) samt Ekonomistyrningsverket (ESV):s föreskrifter och allmänna råd till denna. Årsredovisningen är upprättad i enlighet med förordningen (2000:605) om årsredovisning och budgetunderlag samt ESV:s föreskrifter och allmänna råd till denna. I enlighet med ESV:s föreskrifter till 10 FBF tillämpar myndigheten brytdagen den 3 januari. Efter brytdagen har fakturor överstigande 20 tkr bokförts som periodavgränsningsposter. Beloppsgränsen är oförändrad sedan föregående år. Kostnadsmässig anslagsavräkning Semesterdagar som intjänats före år 2009 avräknas fr. o. m. år 2009 anslaget först vid uttaget enligt undantagsbestämmelsen. Utgående balans år 2012, 607 tkr, har år 2013 minskat med 234 tkr. Upplysningar om avvikelser Avvikelser från ekonomiadministrativa regler Enligt regleringsbrevet från Datainspektionen ta ut avgifter för varor och tjänster med stöd av 4 första stycket avgiftsförordningen (1992:191) med belopp motsvarande 10 procent av de totala kostnaderna för myndighetens verksamhet, utan hinder av den begränsning som följer av 4 andra stycket. Värderingsprinciper Anläggningstillgångar Tillämpade avskrivningstider Som anläggningstillgångar redovisas förvärvade licenser och rättigheter, samt maskiner och inventarier som har ett anskaffningsvärde om minst 20 tkr och en beräknad ekonomisk livslängd som uppgår till lägst tre år. Avskrivning sker enligt linjär avskrivningsmetod från den månad tillgången tas i bruk. 3-5 år Licenser och rättigheter 3-5 år Maskiner och tekniska anläggningar Övriga kontorsmaskiner Inredningsinventarier 3 år Datorer och kringutrustning 54

55 TILLÄGGSUPPLYSNINGAR OCH NOTER Omsättningstillgångar Fordringar har tagits upp till det belopp som de efter individuell prövning beräknas bli betalda. Skulder Skulderna har tagits upp till nominellt belopp. Ersättningar och andra förmåner Uppgifter om ersättningar och andra förmåner lämnas i avsnitt 10.6 i resultatredovisningen. Anställdas sjukfrånvaro Uppgifter om sjukfrånvaro lämnas i avsnitt 10.5 i resultatredovisningen. Noter (tkr) Resultaträkning Not 1 Intäkter av anslag Intäkter av anslag Summa Summa "Intäkter av anslag" ( tkr) skiljer sig från summa "Utgifter" ( tkr) i anslagsredovisningen. Skillnaden (234 tkr) beror på minskning av semesterlöneskuld som intjänats före år Denna post har belastat anslaget, men inte bokförts som kostnad i resultaträkningen. Not 2 Intäkter av avgifter och andra ersättningar Intäkter enligt 4 avgiftsförordningen Summa

56 Noter (tkr) Not 3 Finansiella intäkter Ränta på räntekonto i Riksgäldskontoret Summa Not 4 Kostnader för personal Lönekostnader (exkl arbetsgivaravgifter, pensionspremier och andra avgifter enligt lag och avtal) Övriga kostnader för personal Summa Not 5 Finansiella kostnader Ränta på lån i Riksgäldskontoret 4 7 Summa 4 7 Balansräkning Not 6 Rättigheter och andra immateriella anläggningstillgångar Ingående anskaffningsvärde Summa anskaffningsvärde Ingående ackumulerade avskrivningar Årets avskrivningar Summa ackumulerade avskrivningar Utgående bokfört värde Not 7 Maskiner, inventarier, installationer m.m. Ingående anskaffningsvärde Årets anskaffningar Summa anskaffningsvärde Ingående ackumulerade avskrivningar Årets avskrivningar Summa ackumulerade avskrivningar Utgående bokfört värde

57 Noter (tkr) Not 8 Förutbetalda kostnader Förutbetalda hyreskostnader Övriga förutbetalda kostnader Summa Not 9 Avräkning med statsverket Anslag i räntebärande flöde Ingående balans Redovisat mot anslag Anslagsmedel som tillförts räntekonto Skulder avseende anslag i räntebärande flöde Fordran avseende semesterlöneskuld som inte har redovisats mot anslag Ingående balans Redovisat mot anslag under året enligt undantagsregeln Fordran avseende semesterlöneskuld som inte har redovisats mot anslag Summa Avräkning med statsverket Not 10 Statskapital Ingående balans 80 0 Konst överförd från Statens konstråd 0 80 Utgående balans Not 11 Övriga avsättningar Kompetensväxlings- och kompetensutvecklingsåtgärder Ingående avsättning 0 0 Årets förändring 61 0 Utgående avsättning

58 Noter (tkr) Not 12 Lån i Riksgäldskontoret Avser lån för investeringar i anläggningstillgångar. Ingående balans Under året nyupptagna lån Årets amorteringar Utgående balans Beviljad låneram enligt regleringsbrev Not 13 Skulder till andra myndigheter Utgående mervärdesskatt Arbetsgivaravgifter Leverantörsskulder andra myndigheter Summa Not 14 Leverantörsskulder Leverantörsskulder Summa Ökningen beror i huvudsak på en enskild faktura från Visma Consulting AB avseende elektroniska arkivtjänster. Not 15 Övriga skulder Personalens källskatt Summa Not 16 Upplupna kostnader Upplupna semesterlöner inklusive sociala avgifter Övriga upplupna kostnader Summa

59 Noter Anslagsredovisning Not 17 Uo 1 6:3 ap.1 Datainspektionen (ram) Enligt regleringsbrevet disponerar Datainspektionen en anslagskredit på tkr. Datainspektionen får disponera hela det ingående överföringsbeloppet då detta understiger 3% av föregående års tilldelning tkr enligt regleringsbrevet. Anslaget är räntebärande. 59

60 15 Sammanställning över väsentliga uppgifter SAMMANSTÄLLNING ÖVER VÄSENTLIGA UPPGIFTER (tkr) Låneram Riksgäldskontoret Beviljad Utnyttjad Kontokrediter Riksgäldskontoret Beviljad Maximalt utnyttjad Räntekonto Riksgäldskontoret Ränteintäkter Räntekostnader Avgiftsintäkter Avgiftsintäkter som disponeras Beräknat belopp enligt regleringsbrev Avgiftsintäkter Anslagskredit Beviljad Utnyttjad Anslag Ramanslag Anslagssparande varav intecknat Bemyndiganden (ej tillämpligt) 60

61 SAMMANSTÄLLNING ÖVER VÄSENTLIGA UPPGIFTER (tkr) Personal Antalet årsarbetskrafter (st) Medelantalet anställda (st) Driftkostnad per årsarbetskraft Kapitalförändring Årets Balanserad

62 16 Generaldirektörens intygande Jag intygar att årsredovisningen ger en rättvisande bild av verksamhetens resultat samt av kostnader, intäkter och myndighetens ekonomiska ställning. Stockholm den 21 februari 2014 Kristina Svahn Starrsjö Generaldirektör 62

63 Detta är Datainspektionen Datainspektionen är en myndighet som arbetar för att behandlingen av personuppgifter i samhället inte ska medföra otillbörliga intrång i enskilda människors personliga integritet. Ansvarsområdet omfattar framförallt personuppgiftslagen, inkassolagen och kreditupplysningslagen. Datainspektionen gör inspektioner och hanterar klagomål från enskilda medborgare samt tar fram vägledningar och ger synpunkter på utredningar och lagförslag. Datainspektionen har också en omfattande informationsverksamhet, vi utbildar, svarar på frågor och ger stöd till personuppgiftsombud. Kontakta Datainspektionen E-post: datainspektionen@datainspektionen.se Webb: Tfn Postadress: Datainspektionen, Box 8114, Stockholm. 50 Datainspektionen Årsredovisning 2012