Datainspektionen. Årsredovisning Har du frågor om innehållet kontakta Datainspektionen, telefon , e-post

Transkript

1 Datainspektionen Årsredovisning 2016

2 Datainspektionen. Årsredovisning Har du frågor om innehållet kontakta Datainspektionen, telefon , e-post eller besök 2 Datainspektionens årsredovisning 2016

3 Innehåll 1 Året som har gått Datainspektionens uppdrag Återrapporteringskrav Datainspektionens organisation Upplysningar om redovisning av prestationer och verksamhetskostnader Redovisning av prestationer och kostnader Datainspektionens ekonomiska resultat Tillsyn över behandlingen av personuppgifter Information, regelgivning och rådgivning Kommittéarbete och remisser Tillsynsverksamheten Klagomål Tillsyn och tillståndsgivning inom kreditupplysnings- och inkassoverksamhet Information, regelgivning och rådgivning Kreditupplysningslagen Inkassolagen Datainspektionens uppgifter enligt kameraövervakningslagen Den operativa tillsynsverksamheten Datainspektionens centrala tillsynsansvar Datainspektionens uppgift att överklaga länsstyrelsernas beslut om kameraövervakning för att tillvarata allmänna intressen Sammanfattande bedömning av Datainspektionens verksamheten enligt kameraövervakningslagen Annan enhetsövergripande verksamhet Anpassning av verksamhet till EU:s dataskyddsreform Internationell verksamhet Elektronisk förvaltning Övrig rapportering Internet Kvalitet och effektivitet i verksamheten Återrapporteringskrav Aktiviteter Bedömning kvalitet och effektivitet i verksamheten Organisationsstyrning Kompetensförsörjning Jämställdhet Lika rättigheter och möjligheter Arbetsmiljö Sjukfrånvaro Ersättningar och andra förmåner Resultaträkning Balansräkning Anslagsredovisning Tilläggsupplysningar och noter Sammanställning över väsentliga uppgifter Generaldirektörens intygande...47 Datainspektionens årsredovisning

4 1 Året som har gått Arbetet med dataskyddsreformen har intensifierats Personuppgiftslagen trädde i kraft Den bygger på ett EG-direktiv från Då var internet i sin linda och företag som Facebook och Google fanns inte. Under åren som gått sedan dess har lagen blivit ifrånsprungen av den snabba teknikutvecklingen. Men nu reformeras reglerna för skyddet av personuppgifter i Europa. I maj 2018 börjar en ny EU-lagstiftning att tillämpas i Sverige och övriga Europa. Det är en förordning som blir direkt gällande lag i samtliga EU-länder och som helt ersätter personuppgiftlagen, och ett direktiv som reglerar hur personuppgifter får hanteras i brottsbekämpande verksamheter och som ska införas i svensk lag. Reformen innebär den största förändringen hittills i Datainspektionens drygt 40-åriga historia och för myndighetens räkning har mycket av 2016 präglats av ett intensivt arbete med förberedelserna inför den nya lagstiftningen. Trots det kan jag nöjt konstatera att vi ändå har upprätthållit en hög nivå på vår övriga verksamhet, bland annat inledde vi under 2016 fler tillsynsärenden, alltså granskningar av myndigheter, företag och organisationer, än under 2015 samtidigt som det viktiga förebyggande arbetet på olika sätt har fortsatt med stor intensitet, bland annat genom många remissvar samt samråd och samverkan med andra aktörer. Sedan 2013 har Datainspektionen ett centralt tillsynsansvar för kameraövervakningslagen. Myndigheten granskar samtliga tillstånd till kameraövervakning som beslutas av landets länsstyrelser. Under 2016 granskade vi närmare tusen sådana tillstånd, en ökning med 35 procent jämfört med Totalt överklagade Datainspektionen 60 tillstånd, vilket också det är en ökning med drygt 35 procent jämfört med året innan. Som redan nämnts stundar stora, omvälvande förändringar för dataskyddet i Europa, vilket kommer att påverka alla företag, myndigheter och andra organisationer som hanterar personuppgifter. Det finns en stor efterfrågan på information och kunskap om dataskyddsreformen. Under 2016 började Datainspektionen inkludera information om reformen i sina utbildningar. Dessutom ordnade myndigheten särskilda utbildningar med fokus på dataskyddsförordningen i Malmö, Göteborg, Umeå och Stockholm. Antalet utbildningar och föreläsningar som Datainspektionen ordnat eller deltagit i har gått från 50 för 2015 till 62 för 2016, vilket är en ökning med 24 procent. I november 2016 fick Datainspektionen ett särskilt uppdrag av regeringen att ta fram informations- och utbildningsmaterial och vidta andra åtgärder för att underlätta näringslivets anpassning till dataskyddsförordningen. Datainspektionen får 1,5 miljoner kronor för att lösa uppdraget som ska slutredovisas den 30 mars Det här tillskottet till vårt anslag är välkommet och nödvändigt. Men inte tillräckligt. Dataskyddsreformen kommer att ställa helt nya krav på Datainspektionen, såväl vad gäller it-system och kompetens som personella resurser. Det anslag som vi hittills fått för 2017 bedömer jag vara helt otillräckligt för att Datainspektionen ska kunna fungera som tillsynsmyndighet enligt förordningen och direktivet. Därför lämnade jag i januari 2017 ett kompletterande budgetunderlag till Justitiedepartementet där myndigheten äskar ytterligare anslag, något jag anser vara helt avgörande för att vi ska kunna fullfölja vårt nya uppdrag. Avslutningsvis, under 2016 slog Datainspektionen också fast sin vision: Ett samhälle där den personliga integriteten värdesätts och respekteras. En klar och tydlig vision ger myndigheten en kompassriktning mot framtida mål och kopplar medarbetarnas insatser till verksamhetens övergripande riktning och syfte. Den kommande dataskyddsreformen är ett viktigt steg mot vår vision. Men för att nå ända fram måste Datainspektionen vara starkt rustad. Det är en förutsättning för att myndigheten, samtidigt som den ska förbereda sig själv och övriga Sverige inför reformen, ska kunna se till att personuppgifter hanteras på ett sätt som innebär att den personliga integriteten värdesätts och respekteras. Kristina Svahn Starrsjö Generaldirektör Datainspektionen 4 Datainspektionens årsredovisning 2016

5 2 Datainspektionens uppdrag Enligt förordningen (2007:975) med instruktion för Datainspektionen ska inspektionen verka för att människor skyddas mot att deras personliga integritet kränks genom behandling av personuppgifter och för att god sed iakttas i kreditupplysnings- och inkassoverksamhet. Myndigheten ska särskilt inrikta sin verksamhet på att informera om gällande regler samt ge råd och hjälp åt personuppgiftsombud enligt personuppgiftslagen. Myndigheten ska följa och beskriva utvecklingen på Ii-området när det gäller frågor som rör integritet och ny teknik. Datainspektionen är tillsynsmyndighet enligt personuppgiftslagen (1998:204) och tillstånds- och tillsynsmyndighet enligt kreditupplysningslagen (1973:1173) och inkassolagen (1974:182). Datainspektionen har det centrala ansvaret för tillsynen enligt kameraövervakningslagen (2013:460). I detta ingår att utvärdera rättstillämpningen, utvärdera, följa upp och samordna den operativa tillsynen, ge råd och stöd till länsstyrelserna, samt ge information och råd till allmänheten och till dem som tillhandahåller och använder övervakningsutrustning. Datainspektionen får överklaga länsstyrelsernas beslut om kameraövervakning av en plats dit allmänheten har tillträde för att ta tillvara allmänna intressen. Datainspektionen har också i uppdrag att utöva tillsyn över kameraövervakning av platser dit allmänheten inte har tillträde. Myndigheten är tillsynsmyndighet enligt artikel 28 i Europaparlamentets och rådets direktiv 95/46/EG av den 24 oktober 1995 om skydd för enskilda personer med avseende på behandling av personuppgifter och om det fria flödet av sådana uppgifter, ändrat genom Europaparlamentets och rådets förordning (EG)nr 1882/2003. Myndigheten fullgör de förpliktelser som nämns i artikel 13 i Europarådets konvention om skydd för enskilda vid automatisk databehandling av personuppgifter när det gäller att lämna uppgifter till behörig myndighet i en stat som är ansluten till konventionen. Myndigheten är nationell tillsynsmyndighet enligt artikel 114 i konventionen om tillämpning av Schengenavtalet av den 14 juni 1985 (Schengenkonventionen), artikel 24 i rådets beslut 2009/917/RIF av den 30 november 2009 om användning av informationsteknik för tulländamål (TIS- rådsbeslutet), artikel 33 i rådets beslut av den 6 april 2009 om inrättande av Europeiska polisbyrån (Europol), artikel 30.5 i rådets beslut 2008/615/RIF av den 23 juni 2008 om ett fördjupat gränsöverskridande samarbete, särskilt för bekämpning av terrorism och gränsöverskridande brottslighet (Prümrådsbeslutet), artikel 41 i Europaparlamentets och rådets förordning (EG) nr 767/2008 av den 9 juli 2008 om informationssystemet för viseringar (VIS) och utbytet mellan medlemsstaterna av uppgifter om viseringar för kortare vistelse (VIS-förordningen), och artikel 7.1 och 7.2 i Europaparlamentets och rådets direktiv 2011/82/EU av den 25 oktober 2011 om underlättande av ett gränsöverskridande informationsutbyte om trafiksäkerhetsrelaterade brott (CBE-direktivet). Myndigheten är behörig myndighet för kontroll och intygande av att sådana system för insamling av stödförklaringar via internet som används för lagring i Sverige uppfyller de krav som följer av Europaparlamentets och rådets förordning (EU) nr 211/2011 av den 16 februari 2011 om medborgarinitiativet. Myndigheten ska fullgöra de uppgifter som avses i artiklarna 15 och 16 i avtalet mellan Europeiska unionen och Amerikas förenta stater om behandling och överföring av uppgifter om finansiella betalningsmeddelanden från Europeiska unionen till Förenta staterna i enlighet med programmet för att spåra finansiering av terrorism (TFTP). Enligt regleringsbrevet för 2016 ska Datainspektionen upptäcka och förebygga hot mot den personliga integriteten. Verksamheten ska främst inriktas på områden som bedöms vara särskilt känsliga ur ett integritetsperspektiv, nya företeelser och användningsområden av teknik samt områden där risken för missbruk eller felaktig användning bedöms vara särskilt stor. Datainspektionens årsredovisning

6 2.1 Återrapporteringskrav Kvalitet och effektivitet i verksamheten Datainspektionen ska redovisa de åtgärder som myndigheten har vidtagit för att utveckla kvaliteten och effektiviteten i verksamheten. E-förvaltning Datainspektionen ska redovisa vilka insatser myndigheten har gjort för att värna den personliga integriteten i samband med utvecklingen av en elektronisk förvaltning inom den offentliga förvaltningen. Anpassning av verksamhet till EU:s dataskyddsreform Datainspektionen ska redovisa vilka åtgärder myndigheten har vidtagit för att förbereda implementeringen av EU:s dataskyddsreform. Kompetensförsörjning Datainspektionen ska redovisa hur myndigheten arbetar för att åstadkomma en kompetensförsörjning som är hållbar både på kort och lång sikt. Jämställdhetsperspektivet ska beaktas vid planering av åtgärder avseende kompetensförsörjning. Internationell verksamhet Datainspektionen ska redovisa myndighetens deltagande i internationellt arbete. Av redovisningen ska även framgå den tid och de resurser som myndigheten använder till denna verksamhet. 2.2 Datainspektionens organisation Generaldirektör Insynsråd Chefsjurist Verksjurist Arkivarie Administrativa enheten Enheten för rättsväsendet, försvar och kameraövervakning Enheten för näringsoch arbetsliv Enheten för myndigheter, vård och utbildning 6 Datainspektionens årsredovisning 2016

7 3 Upplysningar om redovisning av prestationer och verksamhetskostnader I förordningen om årsredovisning och budgetunderlag (2000:605) anges att resultatredovisningen ska utgå från verksamhetens prestationer och hur de har utvecklats med avseende på volymer och kostnader. Datainspektionen har valt att redovisa delar av väsentliga prestationer med utgångspunkt i myndighetens uppdrag. 3.1 Redovisning av prestationer och kostnader I inspektionens uppdrag ingår ett antal uppgifter som inte enskilt eller på rättvisande sätt kan uttryckas i en eller flera samlade slutprestationer. För att skapa förståelse för verksamheten kompletteras därför redovisningen av prestationer med redovisning av andra produktionsmått. Med andra produktionsmått avses aktiviteter som antingen utförs för att uppnå önskad kvalitet i en sammantagen leverans enligt uppdraget eller som fristående aktiviteter inom ramen för myndighetens verksamhet. Det kan till exempel vara antalet slutförda ärenden eller deltagande i olika kommittéer eller inkomna besök på myndighetens webbplats. Gemensamt för dessa är att de utfall eller volymer som redovisas har uppnåtts genom direkta eller indirekta åtgärder av myndigheten. Med hjälp av dessa produktionsmått kan utvecklingen inom området följas och förklaras samtidigt som en rättvisande bild av verksamheten ges. Redovisningen av volymer uttrycks i nedlagd operativ tid eller något annat styckemått. Redovisade kostnader utgörs av fördelade totalkostnader där samtliga kostnader fördelas med operativ tid som fördelningsgrund. Intäkterna har hänförts till de verksamhetsdelar där de har uppstått. De totala kostnaderna och operativt nedlagd tid redovisas i tabell för respektive verksamhetsområde personuppgifter (avsnitt 4), kreditupplysnings- och inkassoverksamhet (avsnitt 5) samt uppgifter enligt kameraövervakningslagen (avsnitt 6). Av dessa tabeller framgår myndighetens totalkostnad. Kostnader och tid redovisas också för andra underordnade uppgifter inom dessa områden, där det bedöms vara relevant. Redovisningen av kostnader och tid i dessa underordnade delar är dock inte heltäckande. Tabellerna belyser vissa verksamhetsdelar där det kan vara av intresse att se kostnaden för den enskilda aktiviteten, men myndighetens totala kostnad erhålls inte genom att summera dessa delar. Detta förhållande anges i anslutning till tabellerna. I några fall förekommer kostnadsredovisning i underordnade uppgifter i andra avsnitt än de som avser ett specifikt verksamhetsområde. Kostnaderna i dessa fall är inte fristående, utan är en delmängd av de totala kostnaderna i ett verksamhetsområde. Ett exempel på detta är redovisningen av arbetet med anpassningen till EU:s dataskyddsreform i avsnitt där redovisade kostnader är en del av de totala kostnaderna för behandling av personuppgifter i avsnitt 4. Detta anges i förekommande fall i fotnot till tabellen. Under 2016 har strukturen i inspektionens tidredovisning förändrats, vilket har medfört att redovisningen av kostnadsuppgifter i årsredovisningen ändrats. Detta har vissa fall medfört att överensstämmelsen med tidigare års jämförelsevärden har förändrats i tabellerna. I vissa fall har jämförelsevärden räknats om så att en överensstämmelse mellan åren uppnås. Vissa jämförelsevärden är också omräknade på grund av felaktiga beräkningar i årsredovisningen I de fall jämförelsevärden har ändrats sedan årsredovisningen 2015 eller 2014 anges detta i anslutning till tabellen. Begreppet Operativ tid har 2016 genomgående ersatt förra årets benämning timmar. På grund av de förändringar som har gjorts i tidredovisningen 2016 är jämförelsevärdena i vissa tabeller behäftade med osäkerhet. Datainspektionens årsredovisning

8 3.2 Datainspektionens ekonomiska resultat Totala kostnader och intäkter för Datainspektionen Intäkter av anslag Övriga intäkter Intäkter av bidrag Inspektionens verksamhetskostnader 2016 var tkr vilket är en ökning med tkr eller 14 procent jämfört med Ökningen beror på främst ökade personalkostnader, tkr, och ökade övriga driftskostnader, tkr. En utökad lokalyta medförde också tkr i ökade lokalkostnader. Orsaken till denna kostnadsutveckling är bland annat de nödvändiga åtgärder som inspektionen har vidtagit i förberedelserna inför den kommande dataskyddsreformen. Kostnadsökningen har inte kunnat finansieras fullt ut via myndighetens anslag. En utökad anslagskredit har beviljats under året och den uppgår vid årets slut till tkr. Totala kostnader Tillsyn över behandlingen av personuppgifter Totala kostnader och intäkter för området tillsyn över behandlingen av personuppgifter Intäkter av anslag Intäkter av avgifter m.m Intäkter av bidrag Kostnader Operativ tid, timmar Inklusive utbildningsverksamhet samt arbetet med EU:s nya dataskyddsförordning under Information, regelgivning och rådgivning Informationsmaterial Webbplatsen är Datainspektionens viktigaste kommunikationskanal och används av myndighetens samtliga målgrupper. Under åren förde myndigheten inte någon besöksstatistik men i januari 2016 infördes ett nytt statistikverktyg på webbplatsen. Antalet besök har ökat med cirka 70 procent sedan Informationsmaterial om personuppgiftslagen och den kommande dataskyddsförordningen är det som efterfrågas mest. Webbplatsen får numera flest besökare direkt från söktjänster, cirka 60 procent, och andelen besök från handhållna enheter är nu uppe i nästan 30 procent. Datainspektionens informationsmaterial sprids till målgrupperna som webbsidor, pdf-dokument och trycksaker. Under året har nya vägledningar om dataskyddsförordningen tagits fram liksom om kameraövervakning. Flera nya frågor och svar om dataskyddsförordningen och kameraövervakning har också publicerats. Webbplatsens beställningstjänst fungerar som en webbutik för att beställa eller ladda ner det layoutade informationsmaterialet. Butikssystemet har under året byggts om och förbättrats. Datainspektionens tidning Integritet i fokus har under året kommit ut med fyra nummer. Integritet i fokus är en gratis, periodisk, tryckt skrift med reportage, nyheter och kommentarer i anslutning till Datainspektionens intresseområden. Antalet prenumeranter på den tryckta utgåvan har ökat till drygt Datainspektionens årsredovisning 2016

9 Prenumeranter på Integritet i fokus Antal prenumeranter Nya frågor och svar på webbplatsen Antal nya frågor och svar Besökare på webbplatsen Statistik År 2016 Antal besökare på webbplatsen Antal sidvisningar på webbplatsen Press och media Datainspektionens frågor har fått fortsatt stort utrymme i press, radio och TV, vilket bidrar till att sprida medvetenhet om integritetsfrågorna. I snitt publicerade myndigheten tre pressmeddelanden per månad. Under året ökade antalet personer som prenumererar på myndighetens pressmeddelanden via e-post med fyra procent fick flera nyheter om kameraövervakning stor publicitet, som exempelvis myndighetens beslut vad gäller drönare utrustade med kamera. I mars 2009 började Datainspektionen att twittra om nyheter (twitter.com/datainspektion). Numera twittrar myndigheten alltid i samband med publicering av pressmeddelanden och ibland även om andra nyheter. I slutet av 2016 hade myndigheten 949 följare på Twitter vilket är en ökning med närmare 35 procent jämfört med året innan. Mediekontakter Antal pressmeddelanden Prenumeranter på pressmeddelanden Telefon- och e-postfrågor Prestation: Telefon- och e-postfrågor Telefonfrågor E-postfrågor Datainspektionens upplysningstjänst är bemannad av två jurister som alla arbetsdagar besvarar frågor och klagomål per telefon, vanlig post och e-post. I upplysningstjänsten besvaras sådana frågor och klagomål som varken kräver särskild utredning eller föranleder någon annan åtgärd än ett svar från myndigheten. Målsättningen är att dessa frågor och klagomål ska besvaras inom tre arbetsdagar. Övriga frågor och klagomål tas om hand inom ramen för enheternas ordinarie ärendehandläggning. Frågeställaren eller klaganden får då en mottagningsbekräftelse med ett diarienummer inom tre arbetsdagar. Antalet frågor och klagomål gällande tillämpningen av personuppgiftslagen, inkassolagen, kreditupplysningslagen eller kameraövervakningslagen som Datainspektionens årsredovisning

10 besvarats av upplysningstjänsten per vanlig post eller e-post har ökat 2016 jämfört med 2015, från cirka till Antalet besvarade frågor och klagomål per telefon som rörde dessa lagar har minskat under 2016 jämfört med 2015 från cirka till cirka Utbildningar och föreläsningar Kostnader och intäkter för utbildning och föreläsningar Intäkter av anslag Intäkter av avgifter m.m Kostnader Operativ tid, timmar Jämförelsevärden 2014 och 2015 utförda i en ny beräkning. Kostnad och tid ingår i tabell Tot. kostnader för tillsyn av personuppgifter. Prestation: Utbildning och föreläsningar Antal Datainspektionen bedriver både utbildningar i egen regi och håller föreläsningar på uppdrag. De heldagsutbildningar grundutbildning, utbildning av personuppgiftsombud, utbildning med inriktning på informationssäkerhet som bedrivits under flera år har även genomförts 2016, men de har modifierats och under året innehållit mer undervisning kring dataskyddsförordningen. Särskilda utbildningar gällande dataskyddsförordningen har hållits i Malmö, Göteborg, Umeå och Stockholm. Under våren hölls en nätverksdag för personuppgiftsombud inom rättsväsendet och under hösten hölls en särskild utbildningsdag för personuppgiftsombud och jurister inom kommun och landsting. Totalt har Datainspektionen arrangerat 16 utbildningsdagar under året. Utbildningarna har utvärderats genom att deltagarna efter utbildningen tillsänds frågor. Svarsfrekvensen har varit hög och huvudsakligen positiv, i genomsnitt har 84,6 procent svarat att kursen motsvarat deras förväntningar. Förfrågningar om att hålla föreläsningar har varit betydligt fler än Datainspektionen kunnat åta sig. Under 2016 höll myndigheten 46 föreläsningar och tackade nej till 138. Uppdragsgivarna har varit både privata och offentliga aktörer och det absolut mest efterfrågade ämnet har varit dataskyddsförordningen. Ofta har föreläsningarna om förordningen anpassats för det aktuella verksamhetsområdet. Utbildnings- och föreläsningsverksamheten har ingått i det projekt som under året arbetat med att se över myndighetens förebyggande verksamhet. I projektledarens ansvar ingick bland annat att samordna utbildningsinsatserna och utveckla innehållet och kvaliteten i utbildningarna. Projektet har även arbetad med en handbok för utbildningsverksamheten och projektledaren har tillsammans med tre andra jurister utformat en utbildning i dataskyddsförordningen. Bedömningen vid projektets slut var att projektledaren ägnat cirka 70 % av sin tid till utbildning och att det behövs en resurs i den storleken för att myndigheten på ett bra sätt ska kunna bedriva utbildningsverksamheten Personuppgiftsombud Vid ingången av året hade personuppgiftsansvariga anmält personuppgiftsombud. Vid årets slut var antalet 7 856, en ökning med 343 personuppgiftsombud (+4,6 procent). Antalet personer som är anmälda som personuppgiftsombud har ökat från till (+4,4 procent). (En person kan vara ombud åt flera personuppgiftsansvariga. En personuppgiftsansvarig kan också anmäla flera personuppgiftsombud) Samråd Begäran om samråd från ett personuppgiftsombud uppgick under 2016 till 68 stycken. Under 2015 uppgick antalet samrådsärenden till 47. Från att tidigare avse frågor om tolkning av personuppgiftslagens bestämmelser och annan registerlagstiftning har frågorna alltmer kommit att handla om dataskyddsförordningen. Enligt 2 polisdataförordningen (2010:1155) ska Polismyndigheten och Säkerhetspolisen samråda med Datainspektionen när de planerar nya it-system av större omfattning som kan innebär särskilda risker för intrång i den personliga integriteten. Samråd ska också ske när befintliga it-system ska genomgå betydande förändringar. Samråden kan vara omfattande och kräver inte sällan en stor arbetsinsats samt inblandning av såväl jurister som it-säkerhetsspecialister. Under 2016 har Säkerhetspolisen och den öppna polisen samrått med Datainspektionen vid två tillfällen. I ett fall samrådde Säkerhetspolisen med Datainspektionen angående frågan om det var förenligt med polisdatalagen för Säkerhetspolisen att registrera en person 10 Datainspektionens årsredovisning 2016

11 på grund av att han eller hon sympatiserar med en terrororganisation. I ett annat fall handlade det om ett samråd som rörde Polisens allmänna spaningsregister; ett register som Datainspektionen granskade ingående under Under året har dessutom Migrationsverket samrått med Datainspektionen vid flera tillfällen, vilket sannolikt hänger samman med den ökade belastningen hos Migrationsverket med anledning av det stora antalet asylsökande under senare tid. Härutöver har flera samrådsärenden rört arbetsgivares möjligheter att behandla personuppgifter i syfte att utföra olika kontroller av arbetstagare Samverkan med andra myndigheter och organisationer För att öka effektiviteten i verksamheten har Datainspektionen som mål att nationellt samverka med andra myndigheter och organisationer. Syftet med samverkan är att åstadkomma samsyn i integritetsfrågor, att utbyta information om handläggning av ärenden och att klargöra gränserna mellan myndigheternas tillsynsansvar. Genom denna samverkan har myndigheten även kunnat sprida information, fånga upp utvecklingstendenser, följa it-utvecklingen och sprida medvetande om integritetsrisker. Frågor om samverkan har aktualiserats särskilt under året med anledning av arbetet med betänkandet Ett samlat ansvar för tillsyn över den personliga integriteten (SOU 2016:65). Under utredningsarbetet har diskussioner förts kring gränsdragningsfrågor såväl internt som med utredningen och mellan involverade myndigheter. I övrigt har samverkan skett med bland annat Post- och telestyrelsen, Konsumentverket, Myndigheten för samhällsskydd och beredskap, Inspektionen för vård och omsorg, Centrala etikprövningsnämnden och Vetenskapsrådet. Samverkan har också skett med Statens inspektion för försvarsunderrättelse-verksamheten (SIUN) och Säkerhets- och integritetsskyddsnämnden (SIN); två myndigheter som i vissa delar utövar tillsyn på samma områden som Datainspektionen. När det gäller samverkan med Polismyndigheten kan följande sägas. Samverkan har ökat något i omfattning under 2016 jämfört med tidigare år, vilket bl.a. beror på att Polismyndighetens nya organisation i de delar som Datainspektionen samverkar med under året tagit form. I oktober 2016 genomfördes ett större samverkansmöte i Datainspektionens regi med sammanlagt ett femtontal representanter från Säkerhets- och integritetsskyddsnämnden, Polismyndigheten och Datainspektionen. Den planerade samverkan kommer att fortsätta under I maj 2015 genomförde Datainspektionen för första gången en nätverksdag för de personuppgiftsombud som tjänstgör hos de brottsbekämpande myndigheterna samt Domstolsverket. Under nätverksdagen behandlades bl.a. gemensamma frågor med bäring på de berörda myndigheternas regelverk när det gäller behandling av Datainspektionens årsredovisning

12 personuppgifter. I maj 2016 genomfördes nätverksdagen för andra gången och ett av ämnena som behandlades var EU:s dataskyddsreform. Samverkan har också skett med tillverkare och tillhandahållare av kameraövervakningsutrustning inom ramen för Datainspektionens uppgifter som central tillsynsmyndighet enligt kameraövervakningslagen, se vidare avsnitt Undantag enligt 21 personuppgiftslagen Under året har det kommit in 11 ansökningar om undantag från förbudet i 21 personuppgiftslagen att behandla personuppgifter om lagöverträdelser jämfört med 13 ansökningar under De 14 ärenden om sådana undantag som har avgjorts under 2016 har precis som föregående år framför allt avsett ansökningar från finansiella företag som är skyldiga att tillämpa lagen (2009:62) om åtgärder mot penningtvätt och finansiering av terrorism. För att leva upp till lagens krav på kundkännedom anser sig företagen ha behov av att kontrollera sina kunder mot olika sanktionslistor, framför allt den amerikanska så kallade SDN-listan som utfärdas av den amerikanska myndigheten OFAC. Andra exempel är företag som ansökt om att få införa så kallade visselblåsarfunktioner och system för att kontrollera hur anställda framför tjänstefordon i tjänsten. integritetsfrågorna. Myndighetens utbildningar har varit fulltecknade, deltagarna har överlag varit nöjda och myndigheten anser därför att målet med utbildningsverksamheten har nåtts. Datainspektionen anser att det är väsentligt att i förebyggande syfte ha kontakter med myndigheter för att ge dem vägledning i deras hantering av personuppgifter och för att i förlängningen minska myndigheternas kostnader vid uppbyggnaden av nya it-system. Sådan vägledning ges såväl i form av samverkan med andra myndigheter som genom samrådsyttranden. 4.2 Kommittéarbete och remisser Kostnader och intäkter för kommittéarbete och remisser Intäkter av anslag Kostnader Operativ tid, timmar Jämförelsevärden 2015 utförda i en ny beräkning. Kostnad och tid ingår tabell i Tot. kostnader för tillsyn av personuppgifter Bedömning information, regelgivning och rådgivning Det totala antalet frågor och klagomål som besvarats av myndighetens upplysningstjänst har ökat under 2016 jämfört med 2015, från cirka till cirka Ökningen gäller antalet mejlfrågor medan besvarade telefonfrågor har minskat. Ökningen kan bland annat förklaras av att efterfrågan på Datainspektionens vägledning har ökat med anledning av den kommande dataskyddsförordningen som träder i kraft i maj Att antalet besvarade telefonfrågor har minskat i antal kan bland annat förklaras av att de verksamhetsutövare som söker Datainspektionens vägledning med anledning av dataskyddsförordningen har allt fler och mer komplicerade frågor. Varje samtal tar därmed längre tid och juristerna i upplysningen hinner därför inte besvara lika många frågor som tidigare under telefontiden. Antalet prenumeranter på myndighetens tidning har ökat, så också antalet prenumeranter på myndighetens pressmeddelanden. Press, radio och TV har fortsatt visat ett stort intresse för Datainspektionens områden och därmed bidragit till att sprida en medvetenhet om Kommittéarbete Företrädare för Datainspektionen har under året deltagit som experter i Integritetskommittén (Ju 2014:09), Utredningen om ett modernt och starkt straffrättsligt skydd för den personliga integriteten (Ju 2014:10), Mediegrundlagskommittén (Ju 2014:17), Utredningen om tillsyn över den personliga integriteten (Ju 2015:02), Utredningen om kameraövervakning brottsbekämpning och integritetsskydd (Ju 2015:14), Dataskyddsutredningen (Ju 2016:04), Utredningen om ökat fokus på kvalitet och säkerhet på apoteksmarknaden (S 2015:06), Utredningen om 2016 års dataskyddsdirektiv (Ju 2016:06), Utredningen om genomförandet av EUdirektiv om åtgärder för hög gemensam nivå av säkerhet i nätverk och informationssystem (NIS-direktivet) (JU 2016:11), Utredningen om personuppgiftsbehandling inom utbildningsområdet (U 2016:03), Utredningen om personuppgiftsbehandling för forskningsändamål (U 2016:04), Utredningen om en ändamålsenlig reglering för biobanker (S 2016:04), Utredningen om dataskyddsförordningen behandling av personuppgifter och anpassningar av författningar inom Socialdepartemen- 12 Datainspektionens årsredovisning 2016

13 tets verksamhetsområde (S 2016:05) och Utredningen om effektiv styrning av nationella digitala tjänster (N 2016:01). Vidare har Datainspektionen bistått bland annat Spellicensutredningen (F12015:11), Statskontoret i regeringsuppdraget att utreda visselblåsarfunktioner i staten (Fi2016/01356/SFÖ), Energimarknadsinspektionen i regeringsuppdraget att utreda författningsändringar för införande av en central informationshanteringsmodell och en elhandlarcentrisk modell på elmarknaden (M2015/2636/Ee), Affärsverket svenska kraftnät i regeringsuppdraget att utveckla en central informationshanteringsmodell på den svenska elmarknaden (M2015/2635/Ee) och Konsumentverket i regeringsuppdraget att verka för en fördjupad samverkan mot överskuldsättning (Fi/2016/00958/KO) gällande frågor om behandling av personuppgifter Remissarbete Prestation: Avgivna remissyttranden Remissyttranden Under 2016 har 126 remisser kommit in och 119 remissvar lämnats. Därtill kommer ett hundratal delningar, det vill säga begäran om synpunkter på bland annat utkast till författningar, lagrådsremisser, propositioner och instruktioner inför förhandlingar om föreslagna EU-rättsakter. Remissynpunkterna har huvudsakligen avsett lagstiftning om behandling av personuppgifter Bedömning kommittéarbete och remisser Datainspektionen lägger årligen ner ett omfattande arbete på att delta i kommittéarbete, läsa in remissförslag och lämna remissynpunkter. Detta följer redan av att antalet remisser är stort i förhållande till inspektionens begränsade storlek och att inspektionen är skyldig att besvara remisser från Regeringskansliet men beror också på att inspektionen anser att det är väsentligt att påverka utformningen av regelverk som har betydelse för enskildas integritet. Efterfrågan på Datainspektionens medverkan i kommittéarbete är konstant större än vad inspektionen har möjlighet att bidra med. EU:s dataskyddsreform har medfört ett ökat behov av myndighetens aktiva deltagande. Företrädare för myndigheten har under året deltagit i så många som 14 statliga utredningar och kommittéer. Det innebär att en väsentlig andel av myndighetens tjänstemän deltagit i kommittéarbete. Inspektionen bedömer att det varit fråga om ett för uppdraget angeläget arbete. Datainspektionen besvarar varje år ett stort antal remisser. Antalet besvarade remisser ökade markant under 2015 och uppgick till hela 143 remissvar. Under 2016 har myndigheter besvarat 119 remisser vilket också utgör ett stort antal men mer i nivå med åren 2014 och 2013 då motsvarande siffror var 117 respektive 116. Datainspektionen har under 2016 även besvarat ett stort antal delningar. Jämfört med 2015 har myndigheten deltagit i fler statliga utredningar men hanterat färre remisser. Den sammanlagda tiden på kommitté- och remissarbete har ökat. Kommitté- och remissarbetet har som tidigare år sammantaget medfört en betydande resursåtgång trots att inspektionen medvetet begränsar arbetet och synpunkterna till sådant som har betydelse för integritetsskyddet. Inspektionen bedömer att prestationen ligger i nivå med den förutsatta rollen. 4.3 Tillsynsverksamheten Prestation: Tillsyn (PuL) Totalt antal avslutade ärenden Totalt antal påbörjade ärenden Totalt antal ärenden ingående balans Totalt antal ärenden utgående balans Kostnader och intäkter för tillsynsverksamheten PuL Intäkter av anslag Kostnader Operativ tid, timmar Jämförelsevärden 2014 utförda i en ny beräkning. Kostnad och tid ingår i tabell Tot. kostnader för tillsyn av personuppgifter. Datainspektionens årsredovisning

14 4.3.1 Tillsynsärenden Datainspektionen inleder tillsyn med anledning av klagomål eller för att myndigheten fått en indikation via sin omvärldsbevakning, media, visselblåsare eller på annat sätt att en personuppgiftsbehandling kan bryta mot reglerna. Tillsynen kan också ske utifrån en strukturerad planering av områden eller företeelser som det finns särskilda skäl att granska. För att tillsyn ska inledas ska det finnas skäl som motiverar att resurser läggs på just den aktuella tillsynen. Exempel på skäl som kan motivera tillsyn är när det finns risk för allvarliga brister i behandlingen av personuppgifter, att det rör sig om integritetskänsliga uppgifter, att det är frågan om stora uppgiftssamlingar, att det inkommit många klagomål gällande samma sak, men skälet kan också vara att det är fråga om en ny företeelse där det kan finnas integritetsrisker. Tillsyn kan antingen ske genom skriftväxling eller inspektion på plats. Datainspektionen väljer i varje tillsynsärende den inspektionstyp som bedömts vara mest effektiv för att nå syftet med tillsynen. Inom området myndigheter, vård och utbildning har huvuddelen av tillsynen rört behandling av känsliga personuppgifter. Kontroll har exempelvis skett av att inte fler känsliga personuppgifter behandlas än vad som är tillåtet, att inte fler har tillgång till uppgifterna än vad som är tillåtet och att uppgifterna behandlas med tillräcklig säkerhet. Generellt visar tillsynerna att kunskap och förmåga att hantera personuppgifter korrekt inte prioriteras när verksamheter digitaliseras. Särskilt komplicerat blir det när fler personuppgiftsansvariga är involverade antingen genom att behandlingen ska ske gemensamt eller att uppgifter ska delas eller överföras. Ett sådant exempel är tillsynen mot Statiska Central Byrån (SCB) som på uppdrag av Stockholms läns landsting i enkätform insamlat uppgifter om enskildas hälsa. Uppgifterna skulle sedan bearbetas med uppgifter från SCB, landstinget men även med uppgifter från andra aktörer. SCB förelades att upphöra med behandlingen då personuppgiftsbehandlingen saknade rättsligt stöd. Beslutet har överklagats av SCB. På rättsväsendets område genomförde Datainspektionen under 2015 en omfattande granskning av polisens så kallade kvinnoregister. Under 2016 har ärendet prövats i domstol som funnit att den registrering som polisen genomförde i registret inte var laglig. I december 2015 inledde Datainspektionen en större granskning av Försvarets radioanstalt (FRA). Ärendet avslutades i oktober 2016 och Datainspektion hade ett antal synpunkter på FRA:s personuppgiftsbehandling i försvarsunderrättelseverksamheten, bl.a. avseende logguppföljning och tolkningen av 1 kap. 13 FRA-PuL. Den senare frågan hade överlämnats från Statens inspektion för försvarsunderrättelseverksamheten (SIUN) till Datainspektionen. 14 Datainspektionens årsredovisning 2016

15 De tillsynsärenden som inleddes i slutet av 2015 mot Sveriges ambassader i Moskva och Addis Abeba avslutades i början av Datainspektionen fann att ambassaderna i allt väsentligt behandlade personuppgifter i samband med visumhanteringen på ett korrekt sätt. Under 2016 har Datainspektionen genomfört tillsynsärenden mot behandlingen av personuppgifter i Kustbevakningens och Tullverkets brottsbekämpande verksamheter samt inlett tillsyn mot motsvarande behandling vid Säkerhetspolisen och Skatteverket. Datainspektionen har även granskat hur bland annat telebolag hanterar kunders personuppgifter i samband med att bolagen spelar in samtal till sina kundtjänster och riktat kritik mot att bolagen inte lämnar tillräcklig information till kunderna. Under året har Datainspektionen även inlett tillsyn i syfte att kontrollera hur företag behandlar personuppgifter i så kallade visselblåsarsystem, hur fackförbund behandlar känsliga personuppgifter om medlemmar samt om företag och organisationer vidtagit tillräckliga säkerhetsåtgärder för att skydda de personuppgifter om kunder och medlemmar som behandlas Bedömning tillsynsverksamheten Datainspektionens tillsynsverksamhet har i enlighet med myndighetens uppdrag främst inriktats på områden som bedömts vara särskilt känsliga ur ett integritetsperspektiv, nya företeelser och användningsområden av teknik samt områden där risken för missbruk eller felaktig användning bedömts vara särskilt stor. Mot bakgrund av det övergripande uppdraget har tillsynsobjekt inom enheternas olika ansvarsområden valts ut. Antalet påbörjade tillsynsärenden har under 2016 varit högre jämfört med 2015 medan antalet avslutade ärenden ligger på en något lägre nivå. Ärendebalansen ligger på en fortsatt låg nivå och den genomsnittliga handläggningstiden för ett tillsynsärende har minskat. Tillsynsverksamheten är ett av få områden som myndigheten kan använda som dragspel för att hantera exempelvis en stor mängd remisser (såsom under 2015) eller andra tillkommande arbetsuppgifter. Det kan konstateras att Datainspektionen under 2016 lagt ned ett stort arbete på att förbereda dels myndigheten, dels övriga Sverige inför den kommande dataskyddsreformen genom bland annat en ökad undervisningsverksamhet. Vidare har det på inspektionen pågått arbete i flera myndighetsövergripande projekt för att effektivisera myndighetens verksamhet. Projekten, som på sikt kommer att leda till förbättrad effektivitet, har under 2016 påverkat inspektionens möjligheter att ägna sig åt tillsynsaktiviteter. Härtill kommer en generell strävan att förstärka det förebyggande arbetet för att förhindra att integritetskränkningar överhuvudtaget uppstår. Sammantaget görs bedömningen att Datainspektionens tillsynsverksamhet under året bedrivits med hög kvalitet och haft en utifrån förutsättningarna god omfattning. 4.4 Klagomål Inkomna klagomål Prestation: Inkomna klagomål (PuL) Antal klagomål Av de klagomål som kommit in till myndigheten under 2016 och som rört tillämpningen av personuppgiftslagen har 214 diarieförts och 225 besvarats. Övriga klagomål har besvarats av Datainspektionens upplysningstjänst. En del klagomål föranleder Datainspektionen att inleda tillsyn vilket då sker i ett separat ärande. Alla som klagar får besked i någon form. Det flesta klagomål avser personuppgiftsbehandling avseende kund- och medlemsförhållanden samt inom arbetslivet Kvalificerade frågor Prestation: Inkomna kvalificerade frågor Antal frågor Antalet inkomna kvalificerade frågor som diarieförts som ärenden uppgick under 2016 till 223, jämfört med 237 frågor Under 2016 har 219 förfrågningsärenden avslutats Bedömning klagomål (PuL) Antalet diarieförda klagomål har under året minskat från 252 år 2015 till 214. Antalet inkomna kvalificerade frågor har under året minskat något, från 237 år 2015 till 223. Datainspektionens årsredovisning

16 5 Tillsyn och tillståndsgivning inom kreditupplysnings- och inkassoverksamhet Totala kostnader och intäkter för området tillsyn och tillståndsgivning inom KuL och IkL och Kronofogden i frågor som rör omyndigas skuldsättning och med branschorganisationen Svensk Inkasso kring olika frågor av intresse på inkassoområdet. Intäkter av anslag Kreditupplysningslagen Kostnader Operativ tid, timmar Jämförelsevärden 2015 och 2014 utförda i en ny beräkning. 5.1 Information, regelgivning och rådgivning Telefon- och e-postfrågor Datainspektionen redovisar inte antalet besvarade mejl och telefonfrågor till myndighetens upplysningstjänst inom de olika verksamhetsgrenarna personuppgiftslagen, kreditupplysnings- eller inkassolagen. Av kapitel framgår att det totala antalet frågor som besvarats av upplysningen ökat under 2016 jämfört med Datainspektionen bedömer att en stor del av de frågor som besvarats av myndighetens upplysningstjänst precis som föregående år rört tillämpningen av kreditupplysningslagen och inkassolagen. På webbplatsen finns avdelningar för kreditupplysning och inkasso. På webbplatsen finns även listor över innehavare av inkasso- och kreditupplysningstillstånd Föreläsningar Datainspektionen har under 2016 hållit fem uppdragsföreläsningar rörande bland annat tillämpningen av inkassolagen och en föreläsning som rörde tillämpningen av kreditupplysningslagen Samverkan Datainspektionen har under året samverkat med Finansinspektionen i syfte att samordna tillämpningen av god inkassosed och att informera om tillsynsaktiviteter av verksamheter som även står under Finansinspektionens tillsyn. Datainspektionen har även deltagit i samverkansmöten med bland andra Konsumentverket Kostnader och intäkter för kreditupplysningslagen Intäkter av anslag Kostnader Operativ tid, timmar Kostnad och tid ingår i tabell Tot. kostnader för tillsyn och tillståndsgivning inom KuL och IkL Tillsynsverksamheten Prestation: Tillsyn (KuL) Påbörjade Avslutade Ingående balans Utgående balans Datainspektionen har under 2016 inlett fyra tillsynsärenden enligt kreditupplysningslagen vilket är en minskning i förhållande till 2015 då tolv ärenden inleddes. Tre ärenden föranleddes av klagomål från allmänheten. Klagomålen har i huvudsak rört rättelse i kreditupplysningsregister och i vad mån en frågeställare haft legitimt behov av en kreditupplysning. Under året avslutades elva ärenden vilket är en ökning i förhållande till 2015 då sex ärenden avslutades. Datainspektionen behövde under 2016 även lägga ned ett visst arbete på domstolsprocesser i underrätt. Datainspektionen hade vid 2016 års ingång sex pågående uppföljningsärenden mot kreditupplysningsföretag som lämnar ut personupplysningar via webbplatser på internet. Syftet med tillsynen är att tillse efterlevnaden av Datainspektionens förelägganden om att åtkomst till personuppgifter i 16 Datainspektionens årsredovisning 2016

17 kreditupplysningsregister som tillhandahålls via webbplatser på internet måste föregås av stark autentisering. Datainspektionen avgjorde fem av dessa ärenden under I samtliga dessa fall har kreditupplysningsföretag infört en godkänd it-lösning Tillstånd Prestation: Tillstånd (KuL) Inkomna Avgjorda Ingående balans Utgående balans Under 2016 kom det in sex ansökningar om tillstånd att få börja bedriva kreditupplysningsverksamhet till Datainspektionen Klagomål Prestation: Inkomna klagomål (KuL) Antal klagomål Under 2016 kom det in 19 klagomål enligt kreditupplysningslagen som diariefördes. Detta är en minskning i förhållande till 2015 då 27 klagomål kom in. Klagomålen gäller bland annat förekomst av missvisande uppgifter i kreditupplysningsregister och att den som begärt en kreditupplysning saknat legitimt behov. eftersom flera kreditupplysningsföretag börjat tillhandahålla kreditupplysningstjänster i form av tekniska upptagningar som omfattas av grundlagsskydd, vilket innebär att reglerna om legitimt behov och kreditupplysningskopia i kreditupplysningslagen inte behöver beaktas. Användningen av tekniska upptagningar har fortsatt under 2016 Datainspektionen efterfrågade under 2012 en justering av 9 och 11 kreditupplysningslagen med innebörd att även kreditupplysningsverksamhet som bedrivs med hjälp av tekniska upptagningar ska omfattas av bestämmelserna om legitimt behov och kreditupplysningskopia. Justitiedepartementet har sedermera i promemorian Ett teknikoberoende skydd för den enskildes integritet vid kreditupplysning Ds 2013:27 förslagit att samtliga former av utlämnande av kreditupplysningar på sätt som avses i yttrandefrihetsgrundlagen ska omfattas av kreditupplysningslagens skyddsregler. Förslaget har ännu inte lett till någon lagstiftning. Sammanfattningsvis kan Datainspektionen konstatera att lagändringarna från 2011 endast delvis lett till en förstärkning av konsument- och integritetsskyddet på kreditupplysningsområdet. Genom att flera kreditupplysningsbolag fortsätter att tillhandahålla kreditupplysningstjänster i form av tekniska upptagningar, som innebär att reglerna om legitimt behov och kreditupplysningskopia inte behöver beaktas, har lagändringarna inte fått avsedd verkan. Datainspektionen konstaterar därför, för sjätte året i rad, att så länge inte samtliga former av utlämnande av kreditupplysningar omfattas av kreditupplysningslagens regler om legitimt behov och kreditupplysningskopia, saknas rättsliga förutsättningar för ett fullgott integritetsskydd på kreditupplysningsområdet Bedömning tillsyn, tillstånd och klagomål inom kreditupplysningsområdet Datainspektionens uppdrag är att verka för att god sed iakttas i kreditupplysningsverksamhet. Mot denna bakgrund har tillsynen av kreditupplysningsbranschen under 2016 fokuserat på att genomföra krav på stark autentisering vid åtkomst till personuppgifter i kreditupplysningsregister som tillhandahålls via webbplatser på internet och att agera när klagomål från allmänheten pekat på brister i kreditupplysningsföretags verksamhet i det enskilda fallet. Datainspektionen pekade redan 2011 på de nya fenomen som uppstått på kreditupplysningsområdet på grund av de då genomförda ändringarna i kreditupplysningslagen. Datainspektionen framhöll bland annat att lagändringarna inte fått avsedd verkan Datainspektionens årsredovisning

18 5.3 Inkassolagen Kostnader och intäkter för inkassolagen Kostnader Tillstånd Prestation: Tillstånd (IkL) Inkomna Intäkter av anslag Avgjorda Ingående balans Operativ tid, timmar Kostnad och tid ingår i tabell Tot. kostnader för tillsyn och tillståndsgivning inom KuL och IkL Tillsynsverksamheten Prestation: Tillsyn (IkL) Påbörjade Avslutade Ingående balans Utgående balans I första hand riktar myndigheten sin tillsyn mot tillståndshavare med omfattande verksamhet i syfte att granska att deras verksamhet bedrivs enligt god inkassosed eller mot verksamheter där myndigheten, till exempel genom klagomål från allmänheten, har fått indikationer på att det finns allvarliga brister som kan komma att drabbat många. Ibland genomför myndigheten liknande granskningar i flera verksamheter samtidigt, till exempel för att undersöka hur en viss företeelse hanteras i inkassobranschen. Under 2016 har Datainspektionen genomfört en sådan serie av granskningar för att följa upp sina tidigare tillsyner kring hur inkassobolag hanterar fordringar mot barn och unga. Datainspektionen har genomfört sju inspektioner på plats under Dessa var, med ett undantag, planerade på förhand. Härutöver har Datainspektionen bedrivit tillsyn med anledning av klagomål. Utgående balans Under 2016 kom 41 ansökningar om tillstånd att bedriva inkassoverksamhet in till Datainspektionen. Myndigheten beviljade 44 inkassotillstånd under året. En del av ansökningarna rörde förnyelse av tidigare beviljade tillstånd Klagomål Prestation: Inkomna klagomål (IkL) Antal klagomål Antalet klagomål på inkassoområdet som diariefördes under 2016 var 103 stycken. Klagomålen har bland annat rört laglig grund för fordran, tillståndsplikten och kontakten med gäldenärer Bedömning tillsyn, tillstånd och klagomål inom inkassoområdet Antalet diarieförda klagomål har minskat något i förhållande till tidigare år. Minskningen motsvarar ungefär det antal klagomål som tidigare har riktats mot de aktörer som numera står under tillsyn av Finansinspektionen, och alltså inte längre tas upp av Datainspektionen. Med anledning av förändringar i lagstiftningen har nämligen flera stora aktörer i inkassobranschen under året sökt och beviljats tillstånd hos Finansinspektionen. Av det skälet står deras inkassoverksamhet inte längre under Datainspektionens tillsyn. Fler inkassoverksamheter förväntas gå samma väg. Under 2015 minskade antalet tillsynsärenden på inkassoområdet och Datainspektionens ambition för 2016 var att tillsynsverksamheten skulle ligga på en högre nivå än under Myndigheten har med råge levt upp till denna ambition genom att öka antalet påbörjade tillsynsärenden med närmare 60 procent och mer än fördubbla antalet avslutade tillsynsärenden jämfört med Datainspektionens årsredovisning 2016

19 Många klagomål har rört vad som ofta kallas bluffakturor eller fakturabedrägerier, det vill säga fakturor som till exempel har skickats ut av en för mottagaren okänd aktör eller som bygger på vilseledande marknadsföring. Av den anledningen har flera av årets tillsynsärenden rört indrivning av påstått tvivelaktiga fordringar från mer eller mindre oseriösa uppdragsgivare. Myndighetens uppfattning är att de flesta inkassobolag snabbt avslutar sådana samarbeten då man genom kravmottagarnas reaktioner inser att uppdragsgivaren är oseriös. Eftersom det vore önskvärt att inkassobolagen över huvud taget inte inleder några sådana samarbeten har myndigheten under hösten, bland annat genom sin tillsyn, arbetat för att få inkassobolagen att förbättra sina initiala kontroller av presumtiva uppdragsgivare. Tillsynsinsatserna på detta område har hittills lett till kritik mot två inkassobolag som inte ansetts genomföra tillräckliga kontroller för att motverka fakturabedrägerier och liknande. Den ovan nämnda uppföljningen av hur inkassobolag hanterar fordringar mot barn och unga visade att bolagen i de allra flesta fall har tagit till sig av myndighetens tidigare kritik. Hos två av bolagen fanns dock enligt Datainspektionen fortfarande inte tillräckliga kunskaper för att kunna bedöma om en omyndig person är skyldig att betala en fordran. Då detta innebär en stor risk för att bolagen rutinmässigt vidtar inkassoåtgärder mot personer som inte är skyldiga att betala en fordran fann myndigheten skäl att genom föreskrifter förbjuda bolagen att över huvud taget rikta några inkassoåtgärder mot personer som var omyndiga när fordran uppkom. Antalet inkomna ansökningar om tillstånd att bedriva inkassoverksamhet har varierat mellan 40 och 66 per år under innevarande decennium. Antalet ansökningar som kom in till Datainspektionen under 2016 ligger inom det spannet. Datainspektionens årsredovisning

20 6 Datainspektionens uppgifter enligt kameraövervakningslagen Totala kostnader och intäkter för området Datainspektionens uppgifter enligt kameraövervakningslagen. Intäkter av anslag Kostnader Operativ tid, timmar Jämförelsevärden 2015 utförda i en ny beräkning. 6.1 Den operativa tillsynsverksamheten Datainspektionen utövar tillsyn enligt kameraövervakningslagen (2013:460) av den övervakning som sker på platser dit allmänheten inte har tillträde. Den operativa tillsynen var under första halvan av 2016 uppdelad mellan Datainspektionens tre operativa enheter. Efter sommaren 2016 har all tillsynsverksamhet på kameraområdet samlats hos enheten för rättsväsendet, försvar och kameraövervakning (RFK). Syftet med denna förändring är att fullt ut kunna utnyttja de erfarenheter och kunskaper som upparbetats i Datainspektionens roll som överklagandemyndighet och central tillsynsmyndighet enligt kameraövervakningslagen Klagomål Inkomna klagomål Inkomna klagomål KöL Under 2016 har myndigheten diariefört 16 klagomålsärenden enligt kameraövervakningslagen. Övriga klagomål har tagits omhand inom ramen för Datainspektionens upplysningsverksamhet. En del klagomål föranleder Datainspektionen att inleda tillsyn vilket då sker i ett separat ärende. Alla som klagar får besked i någon form. Klagomålen avser bland annat kameraövervakning i arbetslivet och i utrymmen hos bostadsrättsföreningar Tillsyn Inledda tillsynsärenden Inledda tillsynsärenden Datainspektionen har under 2016 inlett 16 tillsynsärenden enligt kameraövervakningslagen vilket är en minskning jämfört med 2015, men fler än 2014 då två ärenden inleddes. Datainspektionen har bland annat fattat beslut i ett tillsynsärende mot en ridskola som kameraövervakade ett omklädningsrum. Datainspektionen, som fann att övervakningsintresset inte vägde tyngre än enskildas intresse av att inte bli övervakade, förelade ridskolan att upphöra med kameraövervakningen. Vid tillsyn mot ett asylboende fann Datainspektionen bland annat att det ansvariga företaget brast i hur det informerar om den kameraövervakning som sker och i skyddet av det videomaterial som lagras från övervakningen. Företaget har överklagat inspektionens beslut. Datainspektionen har också fattat beslut i ett tillsynsärende mot en bostadsrättsförening som kameraövervakade ett gym och mot en förening som kameraövervakade ett soprum. I ett tillsynsbeslut mot ett äldreboende fann inspektionen att kameraövervakningen var tillåten, bland annat för att övervakningen var begränsad till korridorer, endast skedde under vissa tider samt för att inget material spelades in. Under hösten har Datainspektionen inlett granskningar av kameraövervakning i flera flerbostadshus i Stockholmsområdet, samt av kameraövervakning på flera hotell runt om i Sverige. Beslut i dessa ärenden väntas under första kvartalet Datainspektionens centrala tillsynsansvar Datainspektionen har enligt 1 kameraövervakningsförordningen (2013:463) ett centralt tillsynsansvar för 20 Datainspektionens årsredovisning 2016

21 Datainspektionens årsredovisning

22 all kameraövervakning i samhället. Inom ramen för det centrala tillsynsansvaret har Datainspektionen under 2016 genomfört ett flertal aktiviteter. Datainspektionen har under året träffat och samverkat med länsstyrelsernas särskilda samverkansgrupp för kameraövervakningsfrågor, samt deltagit i länsstyrelsernas årliga kamerakonferens. Inspektionen har bland annat informerat om domstolsavgöranden som har betydelse när länsstyrelserna prövar ansökningar om kameraövervakning och om kamerateknik. Datainspektionen och de olika länsstyrelserna har också löpande kontakter i enskilda frågor och inspektionen har under året strävat efter att löpande hålla länsstyrelserna uppdaterade kring vad som händer på kameraområdet. Datainspektionen har haft omfattande kontakter med massmedia, allmänheten och tillverkare när det gäller information och frågor om kameraövervakningslagens tillämpning. Datainspektionens medarbetare har under året föreläst om kameraövervakningslagen vid tre olika konferenser/mässor. Högsta förvaltningsdomstolen slog i dom den 21 oktober (mål nr 78-16) fast att kameraförsedda drönare omfattas av kameraövervakningslagen. Domen medförde ett stort massmedialt intresse och många frågor från allmänheten. Med anledning av domen har Datainspektionen tagit fram information till länsstyrelserna som dessa kan använda vid bedömning av ansökningar om kameraövervakning med drönare. Inspektionen har även deltagit i länsstyrelsernas arbete med att ta fram en särskild ansökningsblankett för kameraövervakning med drönare. Datainspektionen har också, i syfte att för att sprida information om rättsläget, medverkat vid konferensen Effektiv datainsamling med drönare Datainspektionens uppgift att överklaga länsstyrelsernas beslut om kameraövervakning för att tillvarata allmänna intressen Antal diarieförda beslut i ärende om tillstånd till kameraövervakning från länsstyrelse Antal beslut Antal diarieförda övriga prövningar i beslut angående kameraövervakning från länsstyrelse Antal prövningar Antal diarieförda beslut i tillståndsärende från länsstyrelse som Datainspektionen överklagat till förvaltningsrätt Antal beslut Datainspektionen har enligt kameraövervakningslagen till uppgift att pröva om länsstyrelsernas beslut om kameraövervakning ska överklagas för att ta till vara allmänna intressen. Datainspektionen tar inom ramen för denna uppgift löpande emot och granskar samtliga beslut som länsstyrelserna fattar enligt kameraövervakningslagen. Granskningen, som sker enligt upparbetade interna rutiner i syfte att säkerställa en effektiv och enhetlig bedömning, syftar till att inspektionen ska ta ställning till om länsstyrelsens beslut ska överklagas till förvaltningsrätten för att tillvarata allmänna intressen eller inte. Datainspektionens överklaganderoll innefattar också att granska domar där inspektionen inte varit part i syfte att undersöka om inspektionen ska överklaga till högre instans. Under 2016 har Datainspektionen mottagit och granskat 981 beslut från länsstyrelserna i tillståndsärenden, en uppgång med 35 procent jämfört med år Under 2016 har Datainspektionen överklagat 60 länsstyrelsebeslut i ärenden om tillstånd till kameraövervakning, vilket motsvarar omkring sex procent av de inkomna tillståndsbesluten och en lika stor andel som överklagades Domstolarna har bifallit Datain- 22 Datainspektionens årsredovisning 2016

23 spektionens talan i det stora flertalet av de mål som har avgjorts under året. Under 2016 har Datainspektionen mottagit 89 beslut från länsstyrelserna i övriga ärenden (bl.a. operativa tillsynsärenden). Under 2016 avgjorde landets förvaltningsdomstolar 117 mål om kameraövervakning som Datainspektionen överklagat, varav 91 i förvaltningsrätt, 20 i kammarrätt och sex i Högsta förvaltningsdomstolen. Vid årsskiftet 2016/17 hade Datainspektionen 63 pågående rättegångar enligt kameraövervakningslagen, varav åtta i kammarrätt och övriga i förvaltningsrätt. 6.4 Sammanfattande bedömning av Datainspektionens verksamheten enligt kameraövervakningslagen Under 2016 har bemanningen i inspektionens kameraövervakningsgrupp minskats från fyra till tre jurister. Datainspektionen har under 2016 fortsatt lägga resurser på tillsyn enligt kameraövervakningslagen. För att få till stånd en ännu effektivare tillsyn har all tillsynsverksamhet avseende kameraövervakning samlats på en och samma enhet som även fått i särskild uppgift att arbeta med metodutveckling och andra åtgärder i syfte att skapa en så effektiv tillsyn som möjligt. En målsättning i det arbetet har varit att likrikta bedömningen av kameraövervakning av platser dit allmänheten inte har tillträde med den praxis som har utbildats beträffande motsvarande platser dit allmänheten har tillträde. Genom liknande krav för övervakning oavsett om det rör sig om en plats dit allmänheten har tillträde eller inte, bedömer Datainspektionen att förutsägbarheten ökar såväl för dem som bedriver kameraövervakning, som för de övervakade. När det gäller Datainspektionens överklaganderoll visar de avgöranden som domstolarna har meddelat att inspektionen under 2016 upprätthållit en god förmåga att identifiera de beslut där länsstyrelsernas bedömningar i tillståndsprövningen varit för generösa i förhållande till praxis, eller där besluten, enligt inspektionen, av annan anledning varit felaktiga och då med fokus på principiella frågor. Under 2016 har det dessutom skapats mer överrättspraxis på flera olika områden, bland annat avseende vissa gränsdragningsproblem och grundläggande definitioner i kameraövervakningslagen. T.ex. har rättsläget beträffande kameraförsedda drönare respektive dashcams (vindrutekameror) klarlagts genom två avgöranden från Högsta förvaltningsdomstolen i oktober Särskilt domen om drönare medförde mycket omfattande kontakter med media och allmänheten, vilket föranledde Datainspektionen att med kort varsel ta fram en vägledning i syfte att underlätta tillämpningen. Datainspektionen bedömer att praxis avseende Polismyndighetens kameraövervakning av gator och torg under 2016 har blivit något mer tillåtande jämfört med tidigare praxis som varit tämligen restriktiv. Arbetet med att utveckla och förfina mallar, rutiner och blanketter i överklagandeverksamheten har pågått under hela Regeringen beslutade i slutet av 2015 att ge en särskild utredare i uppdrag att utreda vissa frågor avseende kameraövervakning: Utredningen om kameraövervakning brottsbekämpning och integritetsskydd (Ju 2015:14). En medarbetare från Datainspektionen deltar som expert i utredningen. Utredningen har under 2016 mottagit ett tilläggsdirektiv från regeringen med innebörden att utredaren även ska analysera hur regleringen i kameraövervakningslagen bör anpassas till den nya EU-rättsliga dataskyddsregleringen som börjar gälla i maj 2018 (dir. 2016:54). Datainspektionens bedömning är att fokus under 2017 successivt kommer att förskjutas mot det kommande nya regelverket som ska börja tillämpas i maj 2018 och mot kameraövervakningslagens upphörande. I det arbetet bedömer inspektionen att det kommer att krävas omfattande informationsinsatser i syfte att skapa en smidig övergång till den nya rättsliga grunden för kameraövervakning. Datainspektionen bedömer sammanfattningsvis att verksamheten enligt kameraövervakningslagen har fungerat väl och att verksamhetens kvalitetet och förmåga att snabbt handlägga ärenden har gått upp trots en mindre bemanning än under Datainspektionens årsredovisning

24 7 Annan enhetsövergripande verksamhet 7.1 Anpassning av verksamhet till EU:s dataskyddsreform Statistik År 2016 Intäkter av anslag Intäkter av bidrag Kostnader Operativ tid, timmar Ny verksamhet. Jämförelsevärden saknas. Kostnader och intäkter redovisas som ett fristående verksamhetsområde Återrapporteringskrav Datainspektionen ska enligt regleringsbrevet för budgetåret 2016 redovisa vilka åtgärder myndigheten har vidtagit för att förbereda implementeringen av EU:s dataskyddsreform Aktiviteter Datainspektionen tillsatte i november 2015 ett särskilt projekt med uppgift att identifiera vilka åtgärder myndigheten behöver vidta med anledning av EU:s dataskyddsreform. Efter en inledande analys av EUreformen satte projektet under första halvan av 2016 igång ett arbete med intern kunskapsutveckling kring dataskyddsförordningens regler. I det arbetet engagerades stora delar av Datainspektionens personal som i grupper fick i uppgift att gå igenom olika delar av dataskyddsförordningens bestämmelser, identifiera nyheter, analysera tänkbara konsekvenser för registrerade, de som behandlar personuppgifter samt för Datainspektionens verksamhet. Resultatet av det arbetet sammanställdes och presenterades före sommaren för övriga anställda på myndigheten. Resultatet av arbetet har sedan använts bland annat som ett underlag för att ta fram externt utbildningsmaterial. Därefter har projektet under hösten tillsatt olika arbetsgrupper med uppgift att identifiera vilka konkreta åtgärder som Datainspektionen behöver vidta för att dataskyddsförordningen ska kunna börja tillämpas i maj Grupperna har arbetat med följande frågor: Organisation kring anmälan av personuppgiftsincidenter Datainspektionens samarbete med andra dataskyddsmyndigheter och EDPB Hantering av anmälningar om dataskyddsombud Riktlinjer för konsekvensbedömningar och hantering av förhandssamråd Hantering av klagomål och tips från enskilda Datainspektionens roll som personuppgiftsansvarig En särskild grupp har också haft till uppgift att ta fram och hålla aktuell information om dataskyddsförordningen på Datainspektionens webbplats. Datainspektionen har sedan flera år tillbaka identifierat behovet av en ny, säker och funktionell it-infrastruktur, ett anpassat ärendehanteringssystem som stödjer Datainspektionens processer och en ny webb, där webbformulär gör att ärendehandläggningen blir effektivare samtidigt som servicen mot allmänheten förbättras. I Datainspektionens förberedelsearbete av EU:s dataskyddsreform har myndighetens behov av ett modernt it-stöd ställts på sin spets. Det står klart att utan ett sådant saknas alla förutsättningar för myndigheten att uppfylla rollen som tillsynsmyndighet i maj Ett särskilt IT-projekt inom myndigheten har, samordnat med annat förberedelsearbete inom myndigheten, under året arbetat med processkartläggning och annat underlag inför upphandling av en ny infrastruktur och ett elektroniskt ärendehanteringssystem. Arbetet har hittills lett till att inköpet av en ny it-infrastruktur kunde läggas ut för offentlig upphandling i december Utöver det interna arbetet har företrädare för myndigheten under 2016 deltagit i en stor mängd uppdragsföreläsningar kring dataskyddsförordningen. Stort fokus har också lagts på egna utbildningar kring förordningen. Datainspektionen har under året succesivt anpassat innehållet i utbildningsverksamheten till de kommande EU-reglerna och har hållit fyra särskilda utbildningskonferenser om de nya reglerna. Intresset för den nya dataskyddsförordningen har varit stort och Datainspektionens upplysningstjänst har tagit emot och svarat på ett stort antal frågor från både enskilda personer, företag och myndigheter om förordningens bestämmelser. Företrädare för Datainspektionen har vidare deltagit i Artikel 29-gruppens arbete med förberedelser inför att förordningen ska börja gälla. I samarbetet med de andra 24 Datainspektionens årsredovisning 2016

25 Nordiska dataskyddsmyndigheterna har Datainspektionen även medverkat i två särskilda möten under året som ägnats åt verksamhetsförberedelser inför de nya EU-regelverken. Flera av myndighetens anställda har under året deltagit som experter i olika statliga utredningar som har till uppgift att analysera dataskyddsförordningen och vilka nationella kompletterande regler som kan behövas. Myndigheten har också medverkat med en expert i den utredning som ska genomföra det direktiv på det brottsbekämpande området som ingår i EU:s dataskyddsreform. Myndigheten också hållit interna rättstillämpningsmöten om de nya dataskyddsreglerna. De mötena har bland annat syftat till att öka kunskapen om EU-reformen och samordna synpunkter i kommittéarbetet. I slutet av 2016 fick Datainspektionen ett särskilt uppdrag från Näringsdepartementet med uppgift att ta fram ytterligare informations- och utbildningsmaterial samt att genomföra kunskapshöjande och stödjande åtgärder för att underlätta näringslivets anpassning till de nya reglerna. Arbetet ska särskilt fokusera på kunskapsbehov hos bland annat små och medelstora företag Bedömning anpassning av verksamhet till EU:s dataskyddsreform Datainspektionen har som mål att inspektionen ska kunna fullgöra sina uppgifter som dataskyddsmyndighet den dagen då reformen träder ikraft. Inspektionen ska för tiden dessförinnan göra omvärlden medveten om reformen och även på annat sätt bidra till att omvärlden står beredd den dag reformen träder i kraft i maj Förberedelsearbetet under 2016 har kompetensutvecklat personalen i det nya regelverket och gett underlag för fortsatta analyser av åtgärder som behöver vidtas för att inrätta nya rutiner, processer och annan anpassning av Datainspektionens verksamhet. Arbetet har pågått hela året och kommer att behöva intensifieras under Myndigheten har också informerat omvärlden, hållit särskilda utbildningar om reformen och tagit fram checklistor som stöd till företag och andra organisationer som behöver förbereda sig för de nya reglerna. Datainspektionen har också inlett upphandlingen av delar av det it-stöd som är en absolut förutsättning för att myndigheten ska kunna fungera som tillsynsmyndighet enligt det nya regelverket. Grundat på information från Datainspektionens nordiska systermyndigheters förberedelser görs bedömningen att inspektionen har kommit förhållandevis långt i sitt arbete. Bedömningen är att årets förberedelsearbete uppnått de mål som uppställdes i verksamhetsplanen samt att det har utförts effektivt och varit av hög kvalitet. Arbetet har utförts samtidigt som myndigheten lyckats upprätthålla en god nivå på den ordinarie operativa verksamheten. 7.2 Internationell verksamhet Kostnader och intäkter för internationell verksamhet Intäkter av anslag Kostnader Operativ tid, timmar Kostnad och tid ingår tabell Tot. kostnader för tillsyn av personuppgifter. (Avsnitt 4) Återrapporteringskrav Datainspektionen ska enligt regleringsbrevet för 2016 redovisa myndighetens deltagande i internationellt arbete. Av redovisningen ska även framgå den tid och de resurser som myndigheten använder till denna verksamhet. Redovisad tid för internationellt arbete under 2016 uppgick till timmar, vilket kan jämföras med timmar år 2015 och timmar år Drygt ett tiotal av Datainspektionens medarbetare har under året representerat inspektionen vid olika möten i det internationella arbetet. Därutöver har ytterligare ett antal medarbetare deltagit i beredningen av de frågor som behandlas i det internationella arbetet gruppen Datainspektionen medverkar i EU:s gemensamma tillsyn över och utveckling av dataskyddsdirektivet genom sina representanter i 29-gruppen (tillsatt enligt artikel 29 i direktivet). Gruppen ska medverka till att direktivet tillämpas enhetligt i medlemsstaterna. Dessutom ska gruppen lämna yttranden till EU- kommissionen om skyddsnivån i länder utanför EU samt ge råd till kommissionen om förslag till ändringar av direktivet. Dessa uppgifter ska också avse frågor som omfattas av direktivet om integritet och elektronisk kommunikation. Under 2016 har 29-gruppen sammanträtt i Bryssel vid fem ordinarie tillfällen (tvådagarsmöten) samt vid ett extrainsatt möte. Det extrainsatta mötet hölls i anslutning till kommissionens antagande av beslutet om Privacy Shield och överföring av personuppgifter Datainspektionens årsredovisning

26 till USA och avsåg frågor om adekvat skyddsnivå i USA. Därutöver har 29-gruppen under detta år, liksom under de tre senaste åren, fortsatt att diskutera framtiden för skyddet av personuppgifter och förslaget till ny EU-lagstiftning. Diskussionerna har intensifierats och konkretiserats sedan Europaparlamentet och Europeiska unionens råd beslutade att anta den nya lagstiftningen i april Sedan dess har en stor del av 29-gruppens arbete gått ut på att ta fram vägledning kring olika bestämmelser i den allmänna dataskyddsförordningen och att förbereda inrättandet av den Europeiska dataskyddsstyrelsen (EDPB). Den 26 juli 2016 anordnade 29-gruppen en särskild workshop med deltagare från näringsliv och andra organisationer för att samla in synpunkter och diskutera praktiska frågor kring dataskyddsförordningen. Artikel 29-gruppen har också under året bland annat yttrat sig över förslag till reglering av Smart Borders (behandling av personuppgifter i samband med gränspassering) och det praktiska genomförandet av kommissionens beslut i fråga om Privacy Shield och överföring av personuppgifter till USA. Artikel 29-gruppens arbete förbereds i olika undergrupper. Datainspektionen har under 2016 deltagit i sex av dessa grupper; Future of Privacy subgroup (den framtida rättsliga regleringen av skyddet för personuppgifter), Cooperation subgroup (samarbetsfrågor), Technology subgroup (IT-frågor), BTLE subgroup (Border, Travel & Law Enforcement), Key Provisions subgroup (om grundläggande begrepp i dataskyddsdirektivet) och Biometrics & e-government (bland annat e-förvaltning). Totalt har företrädare för Datainspektionen deltagit i ca tio sådana möten under Även dessa möten hålls vanligtvis i Bryssel Samordnad tillsyn med den Europeiska datatillsynsmannen (EDPS) För vissa EU-gemensamma informationssystem gäller att medlemsstaternas dataskyddsmyndigheter och den Europeiske datatillsynsmannen (EDPS) ska träffas för att samordna tillsynen på nationell och central nivå. Detta gäller Eurodac, visuminformationssystemet (VIS), och Schengens informationssystem (SIS). Under 2016 har två möten i respektive grupp hållits och Datainspektionen har deltagit i dessa. Mötena hålls i Bryssel i anslutning till varandra. En företrädare för Datainspektionen är ordförande i gruppen avseende Eurodac. För vissa EU-gemensamma informationssystem gäller att medlemsstaternas dataskyddsmyndigheter och den Europeiske datatillsynsmannen (EDPS) ska träffas för att samordna tillsynen på nationell och central nivå. Detta gäller Eurodac, visuminformationssystemet (VIS), och Schengens informationssystem (SIS). Under 2015 har två möten i respektive grupp hållits och Datainspektionen har då deltagit. Dessa möten hålls i Bryssel i anslutning till varandra. En företrädare för Datainspektionen har också, i egenskap av ordförande i gruppen för Eurodac, deltagit i ett studiebesök hos den EU-myndighet som på central nivå ansvarar för dessa informationssystem, eu-lisa. Studiebesöket ägde rum i Strasbourg, Frankrike Europol JSB och AC Datainspektionen har representanter i den gemensamma tillsynsmyndigheten för Europol, Joint Supervisory Body of Europol, (JSB), som har i uppdrag att övervaka Europols behandling av personuppgifter. JSB har under året sammanträtt vid tre tillfällen i Bryssel. Den 1 maj 2107 ska en ny rättslig grund för Europol börja tillämpas, vilket såvitt gäller dataskydd innebär att tillsynen övertas av den Europeiska datatillsynsmannen (EDPS). De nationella dataskyddsmyndigheterna kommer att ha fortsatt inflytande genom deltagande i en samarbetsnämnd. JSB har under året genomfört två inspektioner vid Europols kontor i Haag. Därutöver har gruppen bland annat arbetat med förberedelser inför överlämnandet av tillsynen och tagit fram en handbok för överföring av uppgifter till Europol Information System (EIS). Datainspektionen har också representanter i Appeals Committee, som är en särskild överklagandekommitté där klagomål från enskilda behandlas CIS JSA På EU-nivå finns en gemensam tillsynsmyndighet, Customs Joint Supervisory Authority (JSA Customs) som har till uppgift att granska behandlingen av personuppgifter i tullinformationssystemet Customs Information Systems (CIS). Datainspektionen deltar med representanter i JSA Customs och gruppen har under året sammanträtt vid två tillfällen i Bryssel Konferenser och arbetsgrupper Varje år träffas myndighetschefer, handläggare och ITspecialister från de nordiska dataskyddsmyndigheterna för att diskutera gemensamma frågor och samarbete. Under våren 2016 hölls denna konferens i Reykjavik och flera medarbetare från Datainspektionen deltog. De nordiska datacheferna höll även ett uppföljande extra möte i Bryssel under hösten 2016 som ägnades åt förberedelser inför EU:s dataskyddsreform. Datainspektionen har också deltagit i det årliga europeiska datachefsmötet 26 Datainspektionens årsredovisning 2016

27 som hölls i Budapest. Det årliga internationella datachefsmötet hölls 2016 i Marocko. Datainspektionen avstod från att delta i det mötet. Handläggare och ITspecialister från Datainspektionen har under året också deltagit i den s.k. Berlingruppens två möten Utländska besök Datainspektionen har under året tagit emot besök från representanter för ombudsmannen för mänskliga rättigheter i Ukraina för att informera om svenska erfarenheter i fråga om skydd för personuppgifter och personlig integritet. Datainspektionen har också haft besök av representanter för International Association of Privacy Professionals (IAPP) och Centre of Information Policy Leadership (CIPL) i samband med konferensen Nordic Privacy Arena som anordnades av Forum för dataskydd i Stockholm i oktober Bedömning internationell verksamhet Den ökade globaliseringen har medfört ett ökat tryck på dataskyddsmyndigheternas samordning och samarbete. EU:s dataskyddsreform kommer att ínnebära långtgående krav på sådant samarbete bland annat i syfte att få en enhetlig tillämpning av de nya reglerna. I Datainspektionens internationella verksamhet behandlas dataskyddsfrågor som är gränsöverskridande och som därför förutsätter att alla dataskyddsmyndigheter inom EU medverkar. Verksamheten tillför kunskap och erfarenheter till det nationella arbetet. Arbetet i gemensamma tillsynsgrupper har också ofta föranlett nationell tillsyn eller andra åtgärder där resultatet sedan kan jämföras med erfarenheterna i andra medlemsstater. När liknande tolknings- och tillämpningsproblem upptäcks i flera länder kan detta tas upp i gemensamma rapporter och därigenom uppnås större uppmärksamhet. Tidsåtgången i den internationella verksamheten har för 2016 visserligen sjunkit något och ligger nu på ungefär samma nivå som verksamhetsåret En förklaring kan vara att mycket av det ökade antalet timmar som kunde konstateras för har avsett arbete kring EU:s förslag till ny dataskyddsreglering och att det arbetet under 2016, i takt med att förhandlingarna gått framåt och EU:s dataskyddsreform beslutades i april 2016, har hanterats som nationell verksamhet. Sedan hösten 2015 har exempelvis ett särskilt projekt inom inspektionen arbetat med uppgift att förbereda myndigheten inför ikraftträdandet av den nya EU-regleringen (se härom under avsnitt 7.1). Inspektionen har bedömt det som nödvändigt att under 2016 fortsatt ägna särskild uppmärksamhet åt de frågor i EU:s dataskyddsreform som rör tillsynsmyndigheternas behörighet och samverkan. Datainspektionen Datainspektionens årsredovisning

28 har också sett det som angeläget att medverka i de frågor som rör uttolkning av och vägledning kring de nya reglerna i dataskyddsreformen som 29-gruppen lagt in i arbetsplanen för Det har också inneburit att Datainspektionen bedömt det som nödvändigt att delta i flertalet av 29-gruppens undergrupper, särskilt som dessa bereder frågor om den reglering av dataskyddet i EU-länderna som ska börja tillämpas i maj Myndigheten ser ett fortsatt behov av att delta i dessa undergrupper men normalt utan att ta på sig den ledande rollen som rapportör i någon av dem. Den internationella verksamheten har under året tagit en hel del resurser i anspråk och sammantaget deltar myndigheten i 13 olika arbetsgrupper på EU- eller internationell nivå. I vissa delar har Datainspektionen kunnat lägga ned det arbete som frågorna förtjänat medan myndigheten i andra delar, av prioriteringsskäl, inte alltid kunnat lägga ned de resurser som ur ett integritetsskyddsperspektiv hade varit önskvärt. 7.3 Elektronisk förvaltning Återrapporteringskrav Datainspektionen ska enligt regleringsbrevet för 2016 redovisa vilka insatser myndigheten har gjort för att värna den personliga integriteten i samband med utvecklingen av en elektronisk förvaltning inom den offentliga förvaltningen Allmänt om arbetet med e-förvaltning E-förvaltning är i princip digitalisering av offentlig verksamhet för att skapa öppenhet, kvalitet och effektivitet. Målet för regeringens it-politik är att Sverige ska vara bäst i världen på att använda digitaliseringens möjligheter. Regeringen har som ett led i detta beslutat om ett program för digital förnyelse av det offentliga Sverige , programmet heter Digitalt först. Regeringen och Sveriges Kommuner och Landsting har tillsammans formulerat en gemensam vision för att specifikt stödja arbetet att ta tillvara digitaliseringens möjligheter i socialtjänsten och hälso- och sjukvården, med målet att Sverige 2025 ska vara bäst i världen på att använda digitaliseringens och e-hälsans möjligheter. Datainspektionen, som har i uppdrag att värna den personliga integriteten i samband med utvecklingen av den elektroniska förvaltningen, har under året sökt att på olika sätt uppfylla detta uppdrag. Förutom vad som beskrivs i följande avsnitt föreläser exempelvis Datainspektionen på konferenser, ger rådgivning till myndigheter och i lagstiftningsprocessen Tillsyn och inspektioner Datainspektionen har under året bland annat inspekterat hur behörigheter hanteras hos vårdgivare. I ett tillsynsärende kunde konstateras att hemsjukvårdens personal i samtliga kommuner inom ett län kunde ta del av uppgifter om patienter i de andra kommunerna via läkemedelslistan, utan att något behov för detta förelåg. Datainspektionen har också inlett en tillsyn för att utröna det rättsliga stödet för en e-tjänst som är planerad att tas i drift I e-tjänsten ska enskilda kunna samla sina hälsouppgifter, såsom exempelvis journalutdrag, på ett ställe och uppgifterna ska med den enskildes samtycke även andra kunna ta del av, såsom exempelvis närstående och olika appleverantörer Samverkan med andra på e-förvaltningsområdet Tillsammans med Sveriges Kommuner och Landsting har 20 myndigheter bildat medlemsorganisationen esam som samverkar för att främja och påskynda digitaliseringen med medborgaren och företagaren i centrum. Datainspektionen har deltagit i ett flertal möten med esam. Frågorna har framförallt rört dataskyddsförordningen och myndigheternas förberedelsearbete. Samråd har även skett med Statens servicecenter gällande det regeringsuppdrag de har att tillsammans med Riksarkivet utveckla en myndighetsgemensam tjänst för e-arkiv. Datainspektionen har även deltagit i Socialdepartementets referensgrupp angående internationell ehälsa. Datainspektionen deltar även regelbundet i e-goverment subgroup som är en undergrupp till Artikel 29-gruppen. I e-goverment subgroup har under året många frågor rört dataskyddsförordningen, men även ehealth och eidas har berörts. Många myndigheter och leverantörer av IT-stöd har också tagit kontakt med Datainspektionen för att diskutera frågor som rör e-förvaltning. Det har skett både skriftligen och vid personliga möten. Exempelvis har Datainspektionen haft möte med Sveriges Kommuner och Landsting och Inera Kommittéarbete och remisser Datainspektionen har deltagit med experter i utredningar som berör e-förvaltningsfrågor såsom Integritetskommittén, Utredningen om ökat fokus på kvalitet och säkerhet på apoteksmarknaden, Utredningen om genomförandet av EU-direktiv om åtgärder för hög gemensam nivå av säkerhet i nätverk och informations- 28 Datainspektionens årsredovisning 2016

29 system (NIS-direktivet) och Utredningen om effektiv styrning av nationella digitala tjänster. Datainspektionen har också experter i flertalet av de nationella utredningar som ska komplettera dataskyddsförordningen. En del av dessa är särskilt viktiga för e-förvaltningen, såsom Dataskyddsutredningen, Utredningen om personuppgiftsbehandling inom utbildningsområdet och Utredningen om dataskyddsförordningen behandling av personuppgifter och anpassningar av författningar inom Socialdepartementets verksamhetsområde. Många remissvar har berört e-förvaltning. Särskilt kan nämnas Digitaliseringskommissionens slutbetänkande Digitaliseringens transformerande kraft vägval för framtiden (SOU 2015:91), betänkandet Låt fler forma framtiden! (SOU 2016:5) och Integritetskommitténs delbetänkande Hur står det till med den personliga integriteten? (SOU 2016:41) Bedömning elektronisk förvaltning Digitaliseringen innebär att it-hanteringen inom den offentliga förvaltningen blir mer och mer gränsöverskridande. Det beror på olika faktorer. Ofta behandlas uppgifterna hos externa tjänsteleverantörer istället för att tekniken finns hos myndigheterna. Myndigheterna samarbetar också alltmer och söker gemensamma lösningar. Även kommunikationen med enskilda, såväl privatpersoner som företag ökar. Det finns också ett allt större intresse för informationen som en resurs i sig. Genom att sammanställa och analysera informationen blir det möjligt att åstadkomma mer, både bättre och snabbare. I denna ambition att bli bättre och effektivare ser Datainspektionen att de regelverk som finns till skydd för den enskildes integritet alltför ofta missas eller missförstås av verksamheterna. Även vad gäller regler om allmänna handlingar och sekretess uppstår det ofta oklarheter i den digitala miljön. Det finns ofta också okunskap om de faktiska effekterna av informationshanteringen. Det är Datainspektionens uppgift att följa denna utveckling och genom råd, information och tillsyn aktivt verka för att den enskildes integritet inte kränks. Eftersom området är mycket stort har Datainspektionen valt att i första hand fokusera på behandlingar som rör känsliga personuppgifter, samarbete mellan flera aktörer, stora uppgiftssamlingar men också ärenden där inspektionens beslut kan ge vägledning till många. Ett omfattande arbete har också skett under året med att besvara remisser rörande e-förvaltning. Datainspektionen har i dessa yttranden återkommande fått erinra om att det så kallade dataskyddsdirektivet måste beaktas när regelverk som ska gälla istället för personuppgiftslagen, så kallade registerförfattningar, ska skapas eller ändras och att konsekvenserna för integriteten alltid ska analyseras när regleringen rör hantering av integritetskänsliga personuppgifter. 8 Övrig rapportering 8.1 Internet Datainspektionen tar varje år emot en stor mängd klagomål och frågor från människor som upplever att de blivit kränkta genom att deras personuppgifter har publicerats på internet. I många fall kan dock Datainspektionen inte agera. Så är fallet exempelvis när de anmälda webbplatserna eller publiceringarna träffas av något av undantagen i personuppgiftslagen, såsom journalistiskt ändamål, vilket innebär att lagen inte ska tillämpas. Vidare är det i vissa fall inte möjligt för Datainspektionen att utreda vem som står bakom en publicering. Datainspektionen har inte resurser att utreda alla inkommande klagomål, utan prioriterar bland annat fall där myndigheten kan åstadkomma största möjliga nytta, fall som innebär tydliga överträdelser av personuppgiftslagen och ärenden som kan leda till att ny praxis skapas. Eftersom Datainspektionens tillsynsmöjligheter på internetområdet i vissa fall är begränsade är informationsspridning och samverkan med andra myndigheter i arbetet kring kränkningar på internet en viktig del av Datainspektionens arbete. Många av de klagomål som kommer in till myndigheten besvaras därför ofta av myndighetens upplysningsverksamhet och diarieförs därmed inte som ärenden. Datainspektionens årsredovisning

30 8.1.1 Aktiviteter Datainspektionens upplysningstjänst tog under 2015 emot en stor mängd klagomål och frågor från personer som dessförinnan, utan resultat hade vänt sig till ett företag som tillhandahåller en sökmotor på internet och begärt att företaget skulle ta bort sökträffar som visats efter sökning på deras namn och som de upplevde vara kränkande. Datainspektionen inledde med anledning härav under 2015 tillsyn mot det aktuella företaget för att undersöka hur tretton av dessa klagomål hanterats och även vilka rutiner företaget har vid hanteringen av klagomål från enskilda. Tillsynsärendet har varit omfattande och handläggningen har pågått under Ett stort antal liknande klagomål och frågor har, efter att tillsynsärendet inleddes, kommit in till Datainspektionen även under Datainspektionen bedömer att myndigheten löpande kommer att behöva lägga resurser på ytterligare tillsynsärenden gällande detta. Datainspektionens upplysningstjänst tog även, precis som föregående år, emot ett stor antal klagomål under 2016 från enskilda som upplevt att de blivit kränkta genom att deras personuppgifter publicerats på sådana webbplatser på internet som av Myndigheten för press, radio och tv meddelats utgivningsbevis enligt 1 kap. 9 yttrandefrihetsgrundlagen. Eftersom utgivningsbeviset innebär att dessa webbplatser omfattas av grundlagsskydd har Datainspektionens varit förhindrad att vidta några åtgärder. 9 Kvalitet och effektivitet i verksamheten 9.1 Återrapporteringskrav Datainspektionen ska redovisa de åtgärder som myndigheten har vidtagit för att utveckla kvaliteten och effektiviteten i verksamheten. 9.2 Aktiviteter Ledning, styrning, planering och uppföljning Datainspektionens styrnings- och uppföljningsprocess innefattar verksamhetsplan och tillsynsplan som regelbundet följs upp både inom respektive enhet och myndighetsövergripande. Varje månad följer myndigheten upp och analyserar ärendestatistik. En mer omfattande analys av bland annat tidredovisningsstatik sker kvartalsvis. Uppföljningen syftar till att säkerställa dels att verksamheten bedrivs i enlighet med uppställda mål, dels att uppställda mål nås. Myndigheten följer varje år upp den rättsliga kvaliteten. Datainspektionen har en rutin för att löpande följa upp kvaliteten i de svar som lämnas inom ramen för upplysningstjänsten. Myndigheten genomför löpande rättstillämpningsmöten som syftar till att vara kompetenshöjande, bidra till ökad kvalitet i rättsliga bedömningar och enhetlighet i myndighetens tillämpning och beslut. Under 2016 har myndigheten fått ägna mycket tid åt rättsliga bedömningar och kompetensutveckling som har samband med förberedelserna inför att EU:s nya dataskyddsregler ska börja tillämpas i maj Det har också avspeglats i inriktningen på rättstillämpningsmötena under 2016 som även ägnats åt samordning av rättsfrågor som aktualiserats av myndighetens representanter i olika statliga kommittéer som tillsatts med anledning av EU:s nya dataskyddsregler. En översyn av inspektionens styrdokument pågår och beräknas vara klar under första delen av Kommunikationsarbetet Under våren 2015 tillsattes ett projekt för att fortsätta arbetet med ett av inspektionens strategiska mål; att utöka och förbättra det förebyggande arbetet. Syftet med projektet var att höja kvaliteten och få en mer samordnad verksamhet vad avser inspektionens utbildnings- och föreläsningsverksamhet, omvärldsbevakning, informationsverksamhet, upplysningstjänst och stöd till personuppgiftsombud. Projektet, som slutredovisades i december 2016, har lagt fram ett antal förslag till strategiska förändringar av Datainspektionens förebyggande verksamhet. Förslagen kommer att tas om hand under Kompetensutveckling och utveckling av arbetssätt och verktyg Kompetensutvecklingsarbetet vid myndigheten följer en fastslagen strategi. Utifrån vad som framkommer 30 Datainspektionens årsredovisning 2016

31 vid de enskilda medarbetarsamtalen identifierar och prioriterar myndigheten kompetensutvecklingsbehovet för varje år. Under 2016 har bland annat hållits föreläsningar om EU:s dataskyddsreform, utbildning i juridisk engelska samt offentlighets- och sekretesslagen. Under året har myndigheten fortsatt arbetet med att förbättra dokumentmallar och skrivregler. Under 2016 fortsatte arbetet med att se till att inspektionen har en modern, effektiv och säker it-miljö anpassad till inspektionens verksamhet och uppdrag. Behovet av en ny it-miljö har funnits sedan lång tid och är nu en absolut förutsättning för att inspektionen ska kunna fullgöra sitt uppdrag enligt den nya dataskyddsreformen. Ett särskilt it-projekt har därför tillsatts. De mest angelägna områdena är en ny it-infrastruktur samt ett ärendehanteringssystem och en omarbetad, säker och tidsenlig webbplats. Som en del av detta har kartläggningen av de operativa och administrativa arbetsprocesserna fortsatt. Till hjälp för utvecklingsarbetet har myndigheten bl.a. visstidsanställt en arkivarie. Målet för arbetet är att få fram underlag för upphandling av dels outsourcing av myndighetens it-drift, dels ett elektroniskt ärendehanteringssystem. I december 2016 inleddes upphandlingen av en ny it-infrastruktur. 9.3 Bedömning kvalitet och effektivitet i verksamheten Datainspektionens arbete med att förbättra verksamheten fortsätter. Den nya arbetsordningen från hösten 2015 bedöms har lett till ökad effektivitet genom att beslut i betydligt större omfattning än tidigare kan fattas på respektive enhet, antingen av en enhetschef eller en handläggare. Det finns därmed också ökat utrymme för myndighetsledningen att ägna sig åt bland annat verksamhets- och styrningsfrågor. Det övriga utvecklingsarbete som skett, i första hand i olika projekt, bedöms under året ha lett till ökad effektivitet bland annat vad gäller utbildnings- och föreläsningsverksamheten samt stödet till personuppgiftsombuden. Arbetet i it-projektet kommer att fortsätta under 2017 och kommer då att leda till ytterligare förbättringar och effektiviseringar. Vad gäller kvalitet och effektivitet i kärnverksamheten hänvisas till bedömningarna under respektive avsnitt. 10 Organisationsstyrning 10.1 Kompetensförsörjning Myndigheten står inför en stor utmaning när EU:s dataskyddsreform träder i kraft i maj 2018 vilket bland annat innebär att personuppgiftslagen ersätts av en EU-förordning. Förändringen kommer att påverka all personal, direkt eller indirekt, vilket i sin tur ställer krav på kompetensutveckling, exempelvis vad avser EU-rätt och juridisk engelska. Den långsiktiga planen är att inspektionens personalstyrka till antal och kompetens ska vara sådan att myndigheten har förutsättningar att fullgöra de uppgifter som följer av att vara tillsynsmyndighet enligt bland annat förordningen. Åldersdemografin på myndigheten föranleder inte några ordinarie pensionsavgångar inom de tre närmsta åren. Under året har myndigheten haft 48 helårsarbetskrafter på plats. Antalet anställda har i medeltal varit 55. Under året har sex medarbetare som tidigare varit vikarier eller visstidsanställda fått fast anställning, fem medarbetare har rekryterats till fasta tjänster och två medarbetare har visstidsanställts. Härutöver har tre medarbetare som varit tjänstlediga återgått i tjänst Bedömning kompetensförsörjning Myndigheten gör bedömningen att behovet av kompetensutveckling av befintlig personal kommer att öka i och med den nya EU-regleringen. Det gäller bland annat EU-rätt och juridisk engelska. Datainspektionen har under året haft lätt att rekrytera medarbetare med relevant juridisk kompetens. Myndigheten gör bedömningen att den även i fortsättningen kommer att ha goda förutsättningar att attrahera medarbetare med rätt kompetens. Det relativt stora antalet rekryteringar under året har tagit en hel del resurser i anspråk för introduktion och handledning. Datainspektionens lokaler ligger centralt i Stockholms innerstad. Myndigheten bedömer att läget är viktigt och strategiskt ur ett kompetensförsörjningsperspektiv. Datainspektionens årsredovisning

32 32 Datainspektionens årsredovisning 2016

33 10.2 Jämställdhet Antalet män i förhållande till kvinnor har minskat något jämfört med det föregående året. Vid årets slut var 67 procent kvinnor och 33 procent män. Stödkompetensen utgörs huvudsakligen av kvinnor. De sex ledande befattningarna utgjordes vid årets slut av tre män och tre kvinnor Bedömning jämställdhet Datainspektionen konstaterar fortsatt att myndigheten i rekryteringsarbetet av framförallt jurister ser färre manliga sökanden vilket har lett till en ojämn fördelning av manliga och kvinnliga medarbetare vid myndigheten Lika rättigheter och möjligheter I syfte att sträva efter en ökning av antalet anställda med annan bakgrund än den traditionellt svenska har inspektionen sedan flera år tillbaka en rutin som innebär att en särskild granskning görs av samtliga sökanden ur mångfaldssynpunkt vid varje rekryteringstillfälle. Granskningen syftar framförallt till att undanröja alla eventuella risker för omedveten diskriminering. Det finns inga tecken vid myndigheten som tyder på att medarbetare med bakgrund i annat land skulle vara utsatta för diskriminering på arbetsplatsen. Mångfald betraktas som en tillgång Arbetsmiljö I planerings- och utvecklingssamtal kan respektive medarbetare bland annat diskutera och planera den utveckling man anser sig behöva för att uppnå fastställda mål samt diskutera fysiska och psykosociala arbetsmiljöfrågor. Företagshälsovården biträder även med stöd när det gäller ergonomi (två besök under året), rehabilitering och andra arbetsmiljöfrågor. Under året erbjöds alla anställda över 50 år en hälsoundersökning. Vidare har företagshälsovården hållit ett seminarium på temat Sitting is the new smoking. Vid myndigheten finns numera en arbetsmiljökommitté som sammanträder regelbundet. Myndigheten subventionerar motionsaktiviteter och den så kallade motionspengen utnyttjades under året av 35 anställda, något färre än föregående år. Utöver motionspengen har samtliga anställda möjlighet att på en timmes arbetstid per vecka utöva de av Skatteverket fastställda friskvårdsaktiviteterna. Under året uppgick utnyttjad tid för friskvård till 1350 timmar mot 959 timmar under Bedömning arbetsmiljö Under 2016 har arbetsmiljön förbättrats bland annat genom den satsning på hälsovård som genomfördes för personal över 50 år. I övrigt har de brister i arbetsmiljön som framkommit omedelbart åtgärdats. Arbetet i inspektionens arbetsmiljökommitté pågår Lokalförsörjning Lokalytan har under året utökats med 223 kvm och myndigheten hyr nu en lokal på totalt 1200 kvm. Utökningen möjliggjordes genom att en angränsande lokal blev ledig och kunde byggas ihop med Datainspektionens befintliga lokal. Härigenom fick myndigheten tillgång till tio nya arbetsrum och flera sammanträdesrum. Den nya lokalytan är för närvarande i princip fullt utnyttjad. Hyreskontraktet löper fram till och med maj Den nya dataskyddsreformen innebär en mängd nya uppgifter för Datainspektionen som därmed är i stort behov av ytterligare personal. Detta innebär i sin tur att Datainspektionen i framtiden kommer att behöva ytterligare utöka lokalytan Sjukfrånvaro Den totala sjukfrånvaron minskade under året jämfört med året innan. Myndigheten har haft enstaka fall av långtidssjukfrånvaro under året. Myndigheten har en skriftlig instruktion om hur arbetsmiljöarbetet ska bedrivas. Av denna framgår bland annat förfarandet vid långa sjukfall. Enligt den håller ansvarig chef fortlöpande kontakt med den sjukskrivne i syfte att denne ska känna arbetsgivarens stöd och för att underlätta återgång i arbete. Den sjukes chef ansvarar för att rehabiliteringsåtgärder initieras. Företagshälsovården anlitas i samtliga situationer där stöd behövs, oavsett om det är fråga om längre sjukdomsfall eller tillfälliga insatser. Datainspektionens årsredovisning

34 Sjukfrånvaro Statistik År 2016 År 2015 Total sjukfrånvaro 3,36 4,3 Långtidssjukfrånvaro 25,57 44,6 Kvinnor 3,58 4,9 Män 2,96 3,2 Marta Obminska Ledamot i Presstödsnämnden Arvode: kr Daniel Westman Styrelseledamot i Sveriges Författarfond (utsedd av regeringen) Arvode: kr Samtliga i åldersgruppen år Samtliga i åldersgruppen 50 år och äldre 4,26 5,2 2,17 3,3 Anders Schröder Riksdagsledamot Arvode: kr Ledande befattningshavare 10.6 Ersättningar och andra förmåner Ledamöter i insynsrådet Kristina Svahn Starrsjö, generaldirektör Övriga uppdrag: Ledamot i insynsrådet vid Inspektionen för vård och omsorg, Vetenskapsrådets Registerdataråd, Vice ordförande i Valmyndighetens nämnd. Inga förmåner. Lön: kr Otto von Arnold Ledamot i AB Jordberga Gård, ledamot i SBI Jordberga AB, ledamot i Skånska Biobränslebolaget AB, ledamot i Sannarp AB, ledamot i Arnold Towers Holding, ledamot i Arnold Towers 2 AB, ledamot i Arnold Towers 3 AB. Arvode: kr Simone Fisher-Hübner Ledamot i MSBs informationssäkerhetsråd, ledamot i STINT styrelsen. Arvode: kr Monica Green Riksdagsledamot. Arvode: kr Göran Lindell Vice ordförande i Länsförsäkringar AB. Arvode: kr Anne-Marie Qvarfort Ledamot i Boverkets insynsråd samt i insynsrådet för Myndigheten för yrkeshögskolan Arvode: kr Catharina Wretman Som tf. GD för PTS, varit ledamot av PTS styrelse Arvode: kr 34 Datainspektionens årsredovisning 2016

35 11 Resultaträkning (tkr) Not Verksamhetens intäkter Intäkter av anslag Intäkter av avgifter och andra ersättningar Intäkter av bidrag Finansiella intäkter Summa Verksamhetens kostnader Kostnader för personal Kostnader för lokaler Övriga driftkostnader Finansiella kostnader Avskrivningar och nedskrivningar Summa Verksamhetsutfall 0 0 Årets kapitalförändring 0 0 Datainspektionens årsredovisning

36 12 Balansräkning (tkr) Not TILLGÅNGAR Immateriella anläggningstillgångar Rättigheter och andra immateriella anläggningstillgångar Summa 0 0 Materiella anläggningstillgångar Förbättringsutgifter på annans fastighet Maskiner, inventarier, installationer m.m Summa Kortfristiga fordringar Kundfordringar Fordringar hos andra myndigheter Övriga kortfristiga fordringar 0 99 Summa Periodavgränsningsposter Förutbetalda kostnader Summa Avräkning med statsverket Avräkning med statsverket Summa Kassa och bank Behållning räntekonto i Riksgäldskontoret Summa SUMMA TILLGÅNGAR Datainspektionens årsredovisning 2016

37 (tkr) Not KAPITAL OCH SKULDER Myndighetskapital 14 Statskapital Summa Avsättningar Avsättningar för pensioner och liknande förpliktelser Övriga avsättningar Summa Skulder m.m. Lån i Riksgäldskontoret Kortfristiga skulder till andra myndigheter Leverantörsskulder Övriga kortfristiga skulder Summa Periodavgränsningsposter Upplupna kostnader Summa SUMMA KAPITAL OCH SKULDER Datainspektionens årsredovisning

38 13 Anslagsredovisning Redovisning mot anslag Anslag (tkr) Not Ingående Årets Indrag- Totalt Utgifter Utgående överförings- tilldelning disponibelt ning överförings- belopp enligt belopp belopp regleringsbrev Uo 1 6:3 Ramanslag ap.1 Datainspektionen (ram) Summa Datainspektionens årsredovisning 2016

39 14 Tilläggsupplysningar och noter Alla belopp redovisas i tusentals kronor (tkr) om inget annat anges. Till följd av avrundningar kan summeringsdifferenser förekomma. fastighet är samma som för övriga anläggningstillgångar. Avskrivning sker enligt linjär avskrivningsmetod från den månad tillgången tas i bruk. Tilläggsupplysningar Redovisningsprinciper Tillämpade redovisningsprinciper Datainspektionens bokföring följer god redovisningssed och förordningen (2000:606) om myndigheters bokföring (FBF) samt Ekonomistyrningsverket (ESV):s föreskrifter och allmänna råd till denna. Årsredovisningen är upprättad i enlighet med förordningen (2000:605) om årsredovisning och budgetunderlag samt ESV:s föreskrifter och allmänna råd till denna. I enlighet med ESV:s föreskrifter till 10 FBF tillämpar myndigheten brytdagen den 5 januari. Efter brytdagen har fakturor överstigande 20 tkr bokförts som periodavgränsningsposter. Beloppsgränsen är oförändrad sedan föregående år. Kostnadsmässig anslagsavräkning Semesterdagar som intjänats före år 2009 avräknas fr. o. m. år 2009 anslaget först vid uttaget enligt undantagsbestämmelsen. Utgående balans år 2015, 146 tkr, har år 2016 minskat med 15 tkr. Upplysningar om avvikelser Avvikelser från ekonomiadministrativa regler Enligt regleringsbrevet får Datainspektionen ta ut avgifter för varor och tjänster med stöd av 4 första stycket avgiftsförordningen (1992:191) med belopp motsvarande 10 procent av de totala kostnaderna för myndighetens verksamhet utan hinder av den begränsning som följer av 4 andra stycket. Värderingsprinciper Anläggningstillgångar Som anläggningstillgångar redovisas förvärvade licenser och rättigheter, samt maskiner och inventarier som har ett anskaffningsvärde om minst 20 tkr och en beräknad ekonomisk livslängd som uppgår till lägst tre år. Beloppsgränsen för förbättringsutgifter på annans Tillämpade avskrivningstider 3 5 år Licenser och rättigheter 3 5 år Maskiner och tekniska anläggningar Övriga kontorsmaskiner Inredningsinventarier 3 år Datorer och kringutrustning Avskrivningstiden för förbättringsutgifter på annans fastighet uppgår till högst den återstående giltighetstiden på hyreskontraktet, dock lägst tre år. Omsättningstillgångar Fordringar har tagits upp till det belopp som de efter individuell prövning beräknas bli betalda. Skulder Skulderna har tagits upp till nominellt belopp. Anställdas sjukfrånvaro I tabellen redovisas anställdas totala sjukfrånvaro i förhållande till den sammanlagda ordinarie arbetstiden. Vidare redovisas andel av totala sjukfrånvaron under en sammanhängande tid av 60 dagar eller mer. I tabellen redovisas också sjukfrånvaro fördelat på kön och ålder i förhållande till respektive grupps sammanlagda ordinarie arbetstid. Sjukfrånvaron redovisas i procent. Statistik År 2016 År 2015 Total sjukfrånvaro 3,36 4,3 Långtidssjukfrånvaro 25,57 44,6 Kvinnor 3,58 4,9 Män 2,96 3,2 Samtliga i åldersgruppen år Samtliga i åldersgruppen 50 år och äldre 4,26 5,2 2,17 3,3 Sjukfrånvaro för anställda under 29 år lämnas inte eftersom antalet anställda i gruppen är under tio personer. Datainspektionens årsredovisning

40 Noter (tkr) Resultaträkning Not 1 Intäkter av anslag Intäkter av anslag Summa Summa Intäkter av anslag ( tkr) skiljer sig från summa Utgifter ( tkr) i anslagsredovisningen. Skillnaden (15 tkr) beror på minskning av semesterlöneskuld som intjänats före år Denna post har belastat anslaget men inte bokförts som kostnad i resultaträkningen. Not 2 Intäkter av avgifter och andra ersättningar Intäkter enligt 4 avgiftsförordningen, kursverksamhet Summa Intäkterna avser främst avgifter för anordnade utbildningar. Kursverksamheten har ökat Enligt RB får Datainspektionen ta ut avgifter motsvarande 10 procent av de totala kostnaderna Intäkten 2016 motsvarar 7,3 procent av de totala kostnaderna. Not 3 Intäkter av bidrag Avser uppdrag att ta fram stöd för näringslivets anpassning till EU:s nya dataskyddsförordning enligt regeringsbeslut N2016/07306/FÖF den 24 november Summa Bidraget har utnyttjats i sin helhet under andra halvåret Datainspektionens årsredovisning 2016

41 Not 4 Finansiella intäkter Ränteintäkter på lån i Riksgäldskontoret 0 1 Summa 0 1 Räntesatsen för ränte- och avistakonton hos Riksgälden har sedan varit negativ. Not 5 Kostnader för personal Lönekostnader (exkl arbetsgivaravgifter, pensionspremier och andra avgifter enligt lag och avtal) varav lönekostnader ej anställd personal Sociala avgifter Övriga kostnader för personal Summa Not 6 Övriga driftkostnader Resor och representation Inköp inventarier Datakonsulter och datatjänster Konsultkostnader Övriga främmande tjänster Övriga kostnader Summa Not 7 Finansiella kostnader Räntekostnader avseende räntekontot i 9 10 Riksgäldskontoret Övriga finansiella kostnader 0 6 Summa 9 16 Räntesatsen för ränte- och avistakonton hos Riksgälden har sedan varit negativ. Datainspektionens årsredovisning

42 Balansräkning Not 8 Rättigheter och andra immateriella anläggningstillgångar Ingående anskaffningsvärde Årets utrangeringar, anskaffningsvärde Summa anskaffningsvärde Ingående ackumulerade avskrivningar Årets avskrivningar 0-4 Årets utrangeringar,avskrivningar Summa ackumulerade avskrivningar Utgående bokfört värde 0 0 Not 9 Förbättringsutgifter på annans fastighet Ingående anskaffningsvärde Årets anskaffningar Summa anskaffningsvärde Ingående ackumulerade avskrivningar -2 0 Årets avskrivningar Summa ackumulerade avskrivningar Utgående bokfört värde Not 10 Maskiner, inventarier, installationer m.m. Ingående anskaffningsvärde Årets anskaffningar 37 0 Korrigering tidigare år 18 0 Årets utrangeringar, anskaffningsvärde Summa anskaffningsvärde Ingående ackumulerade avskrivningar Årets avskrivningar Korrigering tidigare år Årets utrangeringar, ackumulerade avskrivningar Summa ackumulerade avskrivningar Utgående bokfört värde Datainspektionens årsredovisning 2016

43 Not 11 Fordringar hos andra myndigheter Kundfordringar 13 0 Fordran ingående mervärdesskatt Summa Not 12 Förutbetalda kostnader Förutbetalda hyreskostnader Övriga förutbetalda kostnader Summa Not 13 Avräkning med statsverket Anslag i räntebärande flöde Ingående balans Redovisat mot anslag Anslagsmedel som tillförts räntekonto Återbetalning av anslagsmedel Skulder avseende anslag i räntebärande flöde Fordran avseende semesterlöneskuld som inte har redovisats mot anslag Ingående balans Redovisat mot anslag under året enligt undantagsregeln Fordran avseende semesterlöneskuld som inte har redovisats mot anslag Summa Avräkning med statsverket Myndigheten har erhållit en utökad anslagkredit enligt ÄRB17, dnr Ju2016/07154/Å Not 14 Myndighetskapital Myndighetskapitalet består enbart av statskapital vars värde är oförändrat mellan åren och därför redovisas inte någon specifikationstabell. Datainspektionens årsredovisning

44 Not 15 Statskapital Statskapital utan avkastningskrav Utgående balans Statskapitalet avser konst överförd från Statens konstråd Not 16 Avsättningar för pensioner och liknande förpliktelser Ingående avsättning Årets pensionskostnad Årets pensionsutbetalningar Utgående avsättning Not 17 Övriga avsättningar Avsättning för lokalt omställningsarbete Ingående avsättning Årets förändring Utgående avsättning Not 18 Lån i Riksgäldskontoret Avser lån för investeringar i anläggningstillgångar. Ingående balans 4 58 Under året nyupptagna lån Årets amorteringar Utgående balans Beviljad låneram enligt regleringsbrev Not 19 Kortfristiga skulder till andra myndigheter Utgående mervärdesskatt Arbetsgivaravgifter Leverantörsskulder andra myndigheter Summa Datainspektionens årsredovisning 2016

45 Not 20 Övriga kortfristiga skulder Personalens källskatt Övriga kortfristiga skulder 0 16 Summa Not 21 Upplupna kostnader Upplupna semesterlöner inklusive sociala avgifter Övriga upplupna kostnader Summa Not 22 Uo 1 6:3 ap.1 Datainspektionen (ram) Enligt ändring av regleringsbrevet dnr Ju2016/07154/Å disponerar Datainspektionen en anslagskredit på tkr. Under 2016 har myndigheten utnyttjat tkr av krediten. Anslaget är räntebärande. Datainspektionens årsredovisning

46 15 Sammanställning över väsentliga uppgifter (tkr) Låneram Riksgäldskontoret Beviljad Utnyttjad Kontokrediter Riksgäldskontoret Beviljad Maximalt utnyttjad Räntekonto Riksgäldskontoret Ränteintäkter Räntekostnader Avgiftsintäkter Avgiftsintäkter som disponeras Beräknat belopp enligt regleringsbrev * Avgiftsintäkter Anslagskredit Beviljad Utnyttjad Anslag Ramanslag Anslagssparande Bemyndiganden (ej tillämpligt) Personal Antalet årsarbetskrafter (st) Medelantalet anställda (st) ** Datainspektionens årsredovisning 2016

47 (tkr) Driftkostnad per årsarbetskraft Kapitalförändring Årets Balanserad * Enligt regleringsbrevet får Datainspektionen ta ut avgifter motsvarande 10 procent av de totala kostnaderna för myndighetens verksamhet utan hinder av den begränsning som följer av 4 andra stycket avgiftsförordningen (1992:191). Under 2016 har avgifterna motsvarat 7,3 procent av kostnaderna. ** I beräkningen av medeltalet anställda 2014 och 2015 är inte eventuellt tjänstledig personal frånräknat. 16 Generaldirektörens intygande Jag intygar att årsredovisningen ger en rättvisande bild av verksamhetens resultat samt av kostnader, intäkter och myndighetens ekonomiska ställning. Stockholm den 21 februari 2017 Kristina Svahn Starrsjö Generaldirektör Datainspektionens årsredovisning

48 Detta är Datainspektionen Datainspektionen är en myndighet som arbetar för att behandlingen av personuppgifter i samhället inte ska medföra otillbörliga intrång i enskilda människors personliga integritet. Ansvarsområdet omfattar framförallt personuppgiftslagen, inkassolagen, kreditupplysningslagen och kameraövervakningslagen. Datainspektionen gör inspektioner och hanterar klagomål från enskilda medborgare samt tar fram vägledningar och ger synpunkter på utredningar och lagförslag. Datainspektionen har också en omfattande informationsverksamhet, vi utbildar, svarar på frågor och ger stöd till personuppgiftsombud. Kontakta Datainspektionen E-post: datainspektionen@datainspektionen.se Webb: Tfn Postadress: Datainspektionen, Box 8114, Stockholm. 48 Datainspektionens årsredovisning 2016