Integritetsåret 2009

Transkript

1 Integritetsåret 2009 Nya lagar, lagförslag, beslut och tekniker som påverkade den personliga integriteten under året

2 Integritetsåret 2009 Nya lagar, lagförslag, beslut och tekniker som påverkade den personliga integriteten under året Datainspektionen Januari 2010 Text: Per Lövgren Form: Fredrik Karlsson Tryckt hos Lenanders Grafiska i Kalmar (38169), i januari 2010 på Arctic Volume FSC-certifierat papper. Miljömärkt trycksak

3 Innehåll Nu är fokus på den personliga integriteten! Ungdomar mer negativa till övervakning Kränkningar på nätet Blogg namnger mordmisstänkt barnläkare Förebyggande arbete ska minska kränkningarna Den okontrollerade spridningen av kreditupplysningar måste stoppas Datainspektionen slår till mot sexbrottssajter I USA måste delstaterna ha offentliga sexbrottsregister Personuppgiftslagen duger inte för Internet Hovrättsdom pekar på brist i lagstiftningen Lagar, lagförslag och myndighetsregister Ipred träder ikraft och jakten på fildelarna börjar FRA drar igång den omdebatterade signalspaningen Hinder på vägen för trafikdatalagringsdirektivet Telekompaketet godkänns av EU-parlamentet Nej till förslag om stort ungdomsregister Risk för informationsspill i förslag om katastrofregister Nej till utökad kartläggning inom socialtjänst och sjukvård Du finns med i hundratals register Vad står om dig i registren? Datainspektionen i blickfånget i ny kameraövervakningslag.. 24 Sverige ska bli bäst i världen på e-förvaltning Storskalig e-förvaltning får inte äventyra integriteten Myndigheter brister i kontrollen av hur anställda kommer åt personuppgifter Nytt EG-direktiv kan få långtgående konsekvenser Polisen och den personliga integriteten Polisen börjar publicera bilder på misstänkta Brott utan straff när civilpoliser kartläggs EU antar Stockholmsprogrammet Flödet av personuppgifter mellan EU-staterna ökar Datainspektionen vill anpassa lagförslag efter nätkränkningar Nu lagras dina fingeravtryck i passet Integritetsåret 2009 Datainspektionen

4 Systembolaget lämnar uppgifter till polisen om mordmisstänkts alkoholinköp Bristande kontroll i skolor och vård Fortsatta brister i hur skolor hanterar personuppgifter Otillräcklig kontroll av vem som läser patientjournaler Kartlagd när du reser Charterbolagen lagrar uppgifter om kundernas resor för länge Bestäm hur länge kollektivtrafiken får lagra reseuppgifter Kartlagd när du går på toaletten Övervakning i arbetslivet Ägare får inte kameraövervaka butikens anställda från sitt hem Nej till övervakningskameror för att kontrollera städares arbete Övervakning i realtid av enskilda anställda ska undvikas Nytt lagförslag stärker integritetsskyddet i arbetslivet Företagen och den personliga integriteten Ditt beteende styr Googles annonser Alla privatpersoner listas med egen sida på Eniro Ny teknik Tekniken inte mogen för elektronisk övervakning av stalkers GPS-övervakad bil ska ge lägre premie EU: RFID ska inte få inkräkta på den personliga integriteten.. 51 Med den här sammanställningen vill Datainspektionen ge en bild av hur det gångna året såg ut från integritetssynpunkt. Ambitionen är inte att ge en fullständig, heltäckande beskrivning utan att ta upp ett antal av de viktigaste lagförslagen som kom under året, beskriva några av Datainspektionens mest uppmärksammade beslut och ge exempel på några av de nya tekniker som kommit att påverka den personliga integriteten. Integritetsåret 2009 Datainspektionen 5

5 Nu är fokus på den personliga integriteten! När Datainspektionen förra året för första gången sammanställde en publikation över det gångna året sett från integritetssynpunkt ställde jag frågan om den personliga integriteten någonsin tidigare varit så i fokus som under I år ställer jag samma fråga, för vilket spännande år det har varit! Utrednings- och lagstiftningstakten i frågor som påverkar den personliga integriteten är fortsatt hög, både här i Sverige och i Bryssel. Samtidigt har frågorna fått en allt större uppmärksamhet i massmedia. På den politiska arenan har det också Men inom hänt mycket. I slutet av 2008 antog Folkpartiet ett integritetspolitiskt program med trettio ett område känner vi en allt större frustration förslagspunkter för förbättrat och det gäller de omfattande integritetsskydd, däribland att kränkningarna av enskilda Datainspektionen ska ersättas av på nätet. en Integritetsinspektion med ett bredare mandat. I maj 2009 antog Centerpartiet ett öppenhetsprogram där det bland annat föreslås att Datainspektionen ska omvandlas till Integritetsombudsmannen och att rätten till integritet ska grundlagsskyddas. Samma månad publicerade socialdemokraterna i Europaparlamentet en rapport med förslag att en integritetsombudsman snarast bör inrättas både i Sverige och i EU för att stärka skyddet för integriteten. Och i november 2009 föreslår en moderat framtidsgrupp att en ny borgerlig regering bör lova att minska volymen av personuppgifter i statliga register med 25 procent till Gruppen föreslår även åtgärder för att komma tillrätta med kränkningar på nätet. Under året har företrädare för de övriga partierna väckt flera motioner inom det här området. 6 Integritetsåret 2009 Datainspektionen

6 För tredje året i rad lät vi undersöka ungdomars inställning till integritet i allmänhet och integritet på Internet i synnerhet års undersökning visar att ungdomar har fått en mer negativ syn på övervakning. En trolig orsak till detta är debatten under 2008 kring bland annat Ipred-lagen och FRA-lagen. Nära hälften av ungdomarna anger att debatten har fått dem att fundera mer kring frågor om integritet. En central strategi för Datainspektionen är att synliggöra integritetsfrågorna i samhället. Det är därför glädjande att medvetenheten kring dessa frågor ökat hos såväl politiker och journalister som andra påverkare och allmänheten. Men inom ett område känner vi en allt större frustration och det gäller de omfattande kränkningarna av enskilda på nätet. Det här problemet har för oss blivit ännu tydligare Det finns inga enkla lösningar men problemet behöver angripas. Göran Gräslund generaldirektör Januari 2010 PS. Fortsätt att följa oss under 2010, till exempel genom att prenumerera på vårt nyhetsbrev eller vår tidskrift. Integritetsåret 2009 Datainspektionen 7

7 Januari Lagen om signalspaning i försvarsunderrättelseverksamhet träder ikraft den 1 januari Charterbolag som Fritidsresor, Ving och Apollo lagrar uppgifter om kundernas resor för länge konstaterar Datainspektionen efter att ha granskat företagen. Uppgifterna ska inte sparas längre än två år utan kundernas medgivande. Däremot hade inget av de undersökta bolagen svarta listor över kunder som klagat eller som på annat sätt upplevts som besvärliga. I samband med Dataskyddsdagen och för tredje året i rad låter Datainspektionen undersöka ungdomars inställning till integritet i allmänhet och integritet på Internet i synnerhet. Årets undersökning visar att mediedebatten om lagförslagen som ska stoppa fildelning och göra det möjligt att spana på Internettrafik har lett till att ungdomar fått en mer negativ syn på övervakning. Spridningen av Skatteverkets person- Ungdomar mer negativa till övervakning För tredje året i rad låter Datainspektionen undersöka ungdomars inställning till integritet i allmänhet och integritet på Internet i synnerhet års undersökning visar en klar tendens att ungdomar har fått en mer negativ syn på övervakning. Enligt Kairos Future, som genomfört undersökningen på uppdrag av Datainspektionen, är debatten under 2008 kring Ipred-lagen och FRA-lagen en trolig orsak till detta. Nära hälften av ungdomarna anger att debatten har fått dem att fundera mer kring frågor om integritet. Den minst accepterade formen av övervakning är enligt undersökningen övervakning på Internet. Andelen som tycker det är okej att spara uppgifter om Internetsurfning i olika syften har minskat sedan Tilltron till att övervakning av Internetsurfning kan förhindra grova brott har minskat konstant sedan Kameraövervakning är enligt undersökningen den mest accepterade formen av övervakning om man jämför kameraövervakning, telefonavlyssning och sparandet av uppgifter om Internetsurfning. Ungdomarna anser att kameraövervakning är helt acceptabelt på allmänna torg och i synnerhet i kollek- 8 Integritetsåret 2009 Datainspektionen

8 tivtrafiken. Däremot vill man inte ha övervakningskameror i klassrum och i uppehållsrum i skolan. Fyra av tio tycker dock att det skulle vara okej med övervakningskameror i skolkorridorerna. Närvaro av en fysisk person, som polis, väktare eller rastvakt, föredras dock före teknisk övervakning och anses ha bäst effekt för att förebygga brott. Kränkningar på nätet Blogg namnger mordmisstänkt barnläkare En läkare misstänks för mord alternativt dråp på ett barn, vilket vållar stor uppmärksamhet i massmedia. En blogg namnger läkaren och Datainspektionen tar emot ett klagomål som ifrågasätter om namnpubliceringen är laglig. Datainspektionen är tillsynsmyndighet för personuppgiftslagen och verkar för att personuppgifter inte behandlas på ett kränkande sätt. Lagen gäller dock inte om personuppgifterna publiceras för journalistiska ändamål även om man gör det på ett sätt som kan upplevas som kränkande för enskilda personer. Undantaget för journalistiskt ändamål gäller inte bara etablerade medier utan även privatpersoner som vill informera, utöva kritik och väcka debatt. Datainspektionen gjorde en helhetsbedömning av innehållet på bloggen och kom fram till att det omfattas av undantaget för journalistiska ändamål. På bloggen förs en debatt kring händelsen ur ett etiskt perspektiv och om läkarens och åklagarens roller. Det är läkarens handlande i sin yrkesroll som är i fokus. Det innebär att Datainspektionen inte kan ingripa mot publiceringen även om den skulle verka kränkande för den utpekade läkaren. Integritetsåret 2009 Datainspektionen 9

9 uppgifter måste stoppas. Så skriver Skatteverkets generaldirektör på DN Debatt. Artikeln menar att modern teknik och Internet gör att offentliga uppgifter från Skatteverkets register kan begäras ut och spridas på helt nya sätt. Generaldirektören anser att regeringen måste agera för att förhindra att information som begärs ut från Skatteverket sprids på ett integritetskränkande sätt. Februari Förebyggande arbete ska minska kränkningarna Före sommaren 2009 bjuder Datainspektionen in representanter från några av Sveriges största sociala sajter. Syftet är att gemensamt ta fram rekommendationer kring användarvillkor och hanteringen av klagomål som ska kunna användas av andra sajter för att på så sätt minska kränkningarna på Internet. Datainspektionen har gått igenom en mängd användarvillkor och rutiner för hur klagomål hanteras hos en rad ungdomssajter av varierande storlek och funnit att det finns klara möjligheter till förbättringar. Det kan röra sig om allt från användarvillkor som inte tydligt förklarar vad användarna får och inte får publicera, till information om hur användarna kan klaga och rutiner för hur klagomålen hanteras. Den 12 februari 2009 fattar regeringen beslut om att ge Datainspektionen i uppdrag att ur ett integritetsskyddsperspektiv följa hur FRA behandlar personuppgifter vid sin signalspaning. Ett stort antal personer hör av sig till Datainspektionen med klagomål och synpunkter på en webbplats som publicerar personuppgifter om dömda sexualförbrytare. På webbplatsen publiceras uppgifter om sexbrottslingars namn, personnummer, adress, dom och vilket brott som personen I november presenterar Datainspektionen resultatet från samarbetet: vägledningen Säkra din sajt Riktlinjer för medlemsvillkor för ungdomssajter. Dokumentet hjälper sajter att ta fram väl utformade användarvillkor och bra rutiner för hantering av klagomål. Vägledningen kan hämtas kostnadsfritt på myndighetens webbplats. 10 Integritetsåret 2009 Datainspektionen

10 Den okontrollerade spridningen av kreditupplysningar måste stoppas Datainspektionen får dagligen klagomål från personer som känner sig kränkta av att kreditupplysningar sprids på Internet. Varje år lämnas miljoner kreditupplysningar ut i strid mot kreditupplysningslagens intentioner. Till grannar, arbetskamrater, pojkvänner, försäkringsbolag, tilltänkta arbetsgivare och andra nyfikna. De omfrågade får ingenting veta. Skälet till att detta kan fortgå är att sajterna som lämnar ut uppgifterna har så kallade utgivningsbevis. Därmed jämställs de med dagstidningar och skyddas av grundlag som tar över kreditupplysningslagen. I juni 2009 yttrar sig Datainspektionen över Yttrandefrihetskommitténs delbetänkande Grundlagsskydd för digital bio och andra yttrandefrihetsrättsliga frågor och varnar då för att det finns betydande problem med så kallade utgivningsbevis som ger webbplatser grundlagskydd. Reaktioner som vi fått ta emot vittnar om att många människor reagerar starkt på databaser som på ett lättillgängligt sätt sprider deras personuppgifter. Det är stor skillnad att på Internet uttrycka sina tankar, åsikter och känslor jämfört med att tillhandahålla hela befolkningsregister. Det kan knappast ha varit lagstiftarens avsikt att vem som helst kan sätta personuppgiftslagen ur spel genom att betala kronor för ett utgivningsbevis, säger Göran Gräslund i ett pressmeddelande som skickas ut i samband med yttrandet. Integritetsåret 2008 Datainspektionen 11

11 dömts för. Datainspektionen polisanmäler sajten för brott mot personuppgiftslagen. Datainspektionen träffar representanter från Rikspolisstyrelsen och Åklagarmyndigheten för att diskutera ett antal ärenden som gäller kränkande publiceringar på Internet, däribland webbplatsen med sexförbrytare. I ett lagförslag undersöks möjligheten att använda elektronisk övervakning baserad på GPS-positionering och mobiltelefoni för att förhindra stalkers att förfölja sina offer. Datainspektionen anser dock att tekniken inte är tillräckligt utvecklad medan Advokatsamfundet kallar förslaget en oacceptabel form av medborgarbevakning. I slutet av 2007 beslöt Datainspektionen att det inte är tillåtet att kameraövervaka entrén till hyreshus. Fastighetsbolaget överklagade till länsrätten som i februari 2009 meddelar att den går på Datainspektionens linje och avslår överklagandet. Länsrätten avslår Datainspektionen har vid flera tillfällen skrivit till regeringen angående dessa problem. Vissa remissinstanser anser att det krävs ändringar i tryckfrihetsförordningen och yttrandefrihetsgrundlagen för att komma åt problemet. Det krävs två riksdagsbeslut med val emellan för att ändra en grundlag. Om grundlagen behöver ändras, så är det bråttom. Annars kommer problemen att kvarstå till Minst, säger Datainspektionens generaldirektör. Justitieministern har aviserat att ett lagförslag ska presenteras under våren Datainspektionen slår till mot sexbrottssajter Datainspektionen tar emot ett stort antal klagomål angående en webbplats som publicerar personuppgifter om dömda sexualförbrytare. På webbplatsen publiceras uppgifter om sexbrottslingars namn, personnummer, adress, dom och vilket straff som personen dömts till. Det finns en sökfunktion för att söka fram sexbrottslingar i ett visst område eller på ett visst namn och det finns en kartfunktion där man kan se var i Sverige det bor dömda sexbrottslingar. På webbplatsen finns även ett forum där besökare kan skriva inlägg om varje dömd brottsling. Webbplatsen innehåller både känsliga personuppgifter och uppgifter om lagöverträdelser vilket är straffbart enligt personuppgiftslagen, visar Datainspektionens utredning. Vi anser att publiceringen är ett grovt övertramp mot personuppgiftslagen. Därför polisanmäler vi nu sajten, säger Datainspektionens generaldirektör i ett pressmeddelande i samband med polisanmälan. En kort tid senare polisanmäler Datainspektionen ytterligare en webbsajt som publicerar personuppgifter om dömda sexualförbrytare. 12 Integritetsåret 2009 Datainspektionen

12 I USA måste delstaterna ha offentliga sexbrottsregister Webbplatserna som publicerar uppgifter om svenska sexbrottslingar väckte stor uppmärksamhet i svenska massmedia. Dagens Nyheter publicerade under 2009 artiklar om USA där läget är det omvända. Där är det lag att delstaterna har offentliga register över alla dömda sexförbrytare. I dessa offentliga register finns personer som dömts för våldtäkt, barnpornografi och liknande grova brott men många stater har en betydligt vidare definition av vad som är sexbrott. DN refererar till en rapport från Human Rights Watch där det framgår att 32 stater registrerar blottare, 29 stater tonåringar som haft frivilligt sex med en annan tonåring och 13 stater folk som urinerat offentligt. Det finns flera webbsajter som ger snabb tillgång till uppgifter om de som finns med i registren. En av dessa är familywatchdog.us där man kan söka på en adress och få reda på namn, bild och en lång rad andra personuppgifter på sexförbrytare som bor eller jobbar i närheten. Här har vi på sajten familywatchdog.us zoomat in ett område av Dallas. Färgen på rutorna indikerar bland annat om det är sexförbrytarens hem eller arbetsplats. Integritetsåret 2009 Datainspektionen 13

13 även överklagandet från ett bostadsbolag som använt loggfilerna i sitt elektroniska nyckelsystem för att spåra vem som smutsat ner i tvättstugan. Domarna har därefter överklagats till högre instans. Datainspektionen yttrar sig om förslaget om hur integritetsskyddet ska förstärkas vid signalspaning. Signalspaning och försvarsunderrättelseverksamhet är av sådan art att allmänheten inte kan få insyn i verksamheten. Det är därför särskilt viktigt att det finns regler som klart och tydligt avgränsar vad som får göras och att det finns en effektiv och förtroendeingivande tillsyn, säger Datainspektionens generaldirektör i ett pressmeddelande. Enligt tidningen Dagens Juridik uppmanar Åklagarmyndigheten sin personal att vara försiktig med att lägga ut information om sig själva och sin familj på exempelvis Facebook eftersom informationen kan användas för att kartlägga åklagarens arbete och privatliv i syfte att hota eller störa personens eller myndighetens arbete. Personuppgiftslagen duger inte för Internet Kränkningarna på Internet blir bara värre och personuppgiftslagen duger inte till att hindra dem. Det behövs kraftfullare verktyg. Det skriver Datainspektionens generaldirektör Göran Gräslund i en debattartikel i Dagens Nyheter i mars I allt väsentligt är personuppgiftslagen en 80-talsprodukt, framtagen långt innan Internet. I artikeln belyser Gräslund en rad svagheter i lagen när det gäller kränkningar av den personliga integriteten på Internet. Ett problem är att en webbplats som betalar kronor till Radio- och TV-verket för att få ett så kallat utgivningsbevis är grundlagsskyddad och behöver därmed inte följa reglerna i personuppgiftslagen, ett faktum som utnyttjas av bland annat katalogoch kreditupplysningsföretag. Det har gått så långt att vi till och med får frågor från Ett problem är den ibland kommunala och statliga vidsträckta tolkningen förvaltningar, om de av begreppet journalistiskt kan slippa följa reglerna ändamål. i personuppgiftslagen genom att skaffa ett utgivningsbevis, skriver generaldirektören i artikeln. Ett annat problem är den ibland vidsträckta tolkningen av begreppet journalistiskt ändamål. Personuppgiftslagen gäller nämligen inte om den som publicerar uppgifterna vill informera, utöva kritik och väcka debatt om samhällsfrågor av större betydelse för allmänheten enligt en dom i högsta domstolen. Som du kan läsa här bredvid granskade Datainspektionen i april 2009 en blogg som publicerade namnet på en 14 Integritetsåret 2009 Datainspektionen

14 mordmisstänkt läkare och bedömde då att publiceringen skedde för journalistiskt ändamål. Det är sällan som Datainspektionen kan ingripa då någon blivit kränkt på Internet. Det är nämligen inte alltid straffbart enligt personuppgiftslagen att skriva förolämpningar på webben. Det som är straffbart är att kränka någon genom att publicera känsliga uppgifter som religion, facklig tillhörighet, hälsa, etniskt ursprung eller politisk åskådning. I ett brottmål kan en åklagare yrka på skadestånd enligt personuppgiftslagen men det är mycket ovanligt. Det som återstår för den som är kränkt är att själv driva en process men den som förlorar ett sådant mål riskerar att få betala stora rättegångskostnader. Hovrättsdom pekar på brist i lagstiftningen Den här hovrättsdomen är ett ytterligare exempel på att samhället idag saknar ett effektivt system för att ingripa mot missbruk. Så skrev Datainspektionens generaldirektör i en debattartikel i Svenska Dagbladet i november Domen gäller en ung man som mejlade nakenbilder på sin före detta flickvän till ett par kompisar som spred bilderna vidare. Flickan gjorde en polisanmälan och tingsrätten dömde pojken för ofredande. Domen överklagades till hovrätten som friade pojken. Rätten hänvisade till en dom i Högsta domstolen som säger att det i svensk rätt inte finns något generellt förbud mot att utan samtycke sprida bilder på en enskild person, hur integritetskränkande det än är. Åklagaren hade kunnat hävda att bildspridningen var olaglig enligt personuppgiftslagen men gjorde inte det. Varför? Jo, det är så märkligt att kränkningar visserligen inte är tillåtna enligt personuppgiftslagen, men de är inte straffbara med mindre än att man publicerar så kallade känsliga uppgifter (religion, facklig tillhörighet, hälsa, etniskt ursprung, politisk åskådning)., skriver generaldirektören i debattinlägget. I det här fallet fanns inga sådana känsliga uppgifter och åklagaren hade alltså ingen möjlighet att få den åtalade fälld enligt personuppgiftslagen. Integritetsåret 2009 Datainspektionen 15

15 Ipred (Intellectual Property Rights Enforcement Directive) är ett EG-direktiv som ska skydda immateriella rättigheter. Direktivet infördes i svensk lag i februari 2009 när riksdagen röstade igenom ändringar i sju lagar: varumärkeslagen, upphovsrättslagen, patentlagen, mönsterskyddslagen, firmalagen, kretsmönsterlagen och växtförädlarrättslagen. Det som kallas för Ipred-lagen är alltså ingen egen separat lag. Hittills har Ipred mest kommit att handla om olaglig fildelning via Internet men som synes är det fråga om ett brett skydd för immateriella rättigheter. De nya reglerna började gälla den 1 april och vad som hittills har hänt är att ett antal innehavare av rättigheter till musik och film har vänt sig till domstol och begärt att några internetleverantörer ska lämna ut information om vilka abonnenter som har vissa angivna IP-nummer. Domstolen ska avgöra om rättig- Den 25 februari röstar riksdagen ja till den omdebatterade Ipred-lagen. Lagen träder i kraft i april. Då kan upphovsrättsorganisationer som misstänker att någon fildelat illegalt gå till domstol och begära att Internetoperatörerna lämnar ut information om vem som har använt en viss IP-adress. Dessutom tar det tid att processa och om man gör det exponeras kränkningarna på nytt. Datainspektionens generaldirektör menar att ett sätt att angripa problemet med kränkningar på Internet, utan att ändra i personuppgiftslagen och utan att inskränka offentlighetsprincip och yttrandefrihet, är att införa en generell bestämmelse som gör det möjligt att utdöma straff vid grova kränkningar av den personliga integriteten. Det måste kosta att kränka, annars fortsätter kränkningarna, och de blir bara värre, skriver han i en annan debattartikel i Svenska Dagbladet i november. Mars En statlig utredning presenterar ett förslag om hur e-förvaltning ska införas i bred skala. Förslaget innebär en fundamental strukturförändring av statsförvaltningen då gränserna mellan myndigheterna suddas ut, anser Datainspektionen och poängterar att om en så omfattande förändring ska genomföras så krävs det först en noggrann analys av vilka konsekvenserna blir för den personliga integriteten. Datainspektionen yttrar sig om förslaget om hur EG-direktivet Inspire (Infrastructure for spatial Information in Europe) ska införas i svensk lag. Lagar, lagförslag och myndighetsregister Ipred träder ikraft och jakten på fildelarna börjar 16 Integritetsåret 2009 Datainspektionen

16 Ipred är ingen egen separat lag utan är ett direktiv som påverkar flera svenska lagar, bland annat växtförädlarrättslagen. hetshavarna har kunnat visa att adresserna har använts vid olaglig upp- eller nedladdning, det vill säga vid immaterialrättsliga intrång. Datainspektionens roll är mycket begränsad när det gäller Ipred. I personuppgiftslagen finns det ett förbud för andra än myndigheter att behandla uppgifter om brott och brottsmisstanke. Datainspektionen kan göra undantag från regeln och det har myndigheten tidigare gjort i några fall. Men nu har man i de sju nämnda lagarna fört in bestämmelser om att det inte krävs särskilt undantag från personuppgiftslagen för att få behandla uppgifter om immaterialrättsligt intrång, alltså uppgifter om brottsmisstanke, när behandlingen är nödvändig för att ett rättsligt anspråk ska kunna fastställas, göras gällande eller försvaras. I de sju lagarna har man också fört in en hänvisning till personuppgiftslagen när det gäller hur personuppgifter får behandlas. Datainspektionen genomförde i slutet av 2009 inspektioner hos Antipiratbyrån och Ifpi för att undersöka hur de hanterar personuppgifter om personer som de misstänker för fildelning. Integritetsåret 2009 Datainspektionen 17

17 Inspektionen oroas över förslagen som innebär att myndigheter kan bli skyldiga att göra uppgifter som rör människors hälsa tillgängliga via Internet för både allmänheten och andra myndigheter. Förslagen kan få långtgående konsekvenser för den personliga integriteten, varnar Datainspektionen i sitt yttrande. I februari polisanmälde Datainspektionen en webbplats som publicerade personuppgifter om dömda sexualförbrytare. Nu granskar myndigheten en liknande webbplats och polisanmäler även denna. Säkerhets- och integritetsskyddsnämnden föreslår i ett yttrande att uppgifterna i brottsregistret ska finnas kvar för evigt. Nämnden anser att om personuppgifter gallras bort så är det svårt eller omöjligt att i efterhand kontrollera vilka uppgifter som fanns registrerade. Därför föreslår nämnden att uppgifterna finns kvar i kontrollsyfte men att de brottsbekämpande myndigheterna inte kan komma åt dem. FRA drar igång den omdebatterade signalspaningen Den första december 2009 meddelar FRA att myndigheten nu successivt börjar inhämta kabelburen trafik för signalspaning. Från och med det datumet är teleoperatörerna i Sverige skyldiga att överföra signaler i tråd som passerar Sveriges gräns till en så kallad samverkanspunkt. När FRA fått tillstånd till spaning släpps signalerna från samverkanspunkten fram till myndigheten för vidare behandling. Den 12 februari 2009 fattade regeringen beslut om att ge Datainspektionen ett särskilt uppdrag under 2009 och Inspektionen ska ur ett integritetsskyddsperspektiv följa hur FRA behandlar personuppgifter vid sin signalspaning enligt lagen om signalspaning i förvarsunderrättelseverksamhet som trädde ikraft den 1 januari Inom ramen för sitt uppdrag ska Datainspektionen: analysera vilka särskilda integritetsproblem som kan uppstå i samband med behandlingen av personuppgifter i FRA:s signalspaningsverksamhet utreda om de rutiner och riktlinjer som FRA tillämpar är tillräckliga för att hantera sådana problem bistå FRA om det behövs tas fram ytterligare rutiner och riktlinjer som kan vara nödvändiga för att tillgodose integritetsskyddsbehovet i signalspaningsverksamheten. Senast den 6 december 2010 ska Datainspektionen redovisa sitt uppdrag till regeringen. 18 Integritetsåret 2009 Datainspektionen

18 Hinder på vägen för trafikdatalagringsdirektivet Trafikdatalagringsdirektivet vållade mycket debatt och stor uppmärksamhet i massmedia under Enligt direktivet ska EU:s medlemsländer införa en lagstiftning som innebär att teleoperatörer är skyldiga att spara information om vem som ringt vem, när en person kopplat upp sig på Internet och när någon sms:at eller skickat e-post. Uppgifterna ska lagras mellan sex månader och två år. I mars 2008 lämnade Datainspektionen sina synpunkter på det dåvarande förslaget för hur direktivet ska införas i svensk lag. Då var avsikten att direktivet skulle vara infört i svensk lag före 15 mars I juni 2009 kunde man i Svenska Dagbladet läsa att den omdiskuterade lagen om trafikdatalagring dröjer och att det inte kommer någon lagrådsremiss före sommaren. I slutet av augusti kunde man i Dagens Nyheter läsa att en proposition om trafikdatalagring kommer under hösten. Enligt tidningen som refererar till justitieministern beror förseningen på att avvägningen mellan integritet och brottsbekämpning är svår och måste få ta tid. Nu verkar det som om att det kommer att dröja till efter riksdagsvalet i september 2010 innan en proposition är klar. Telekompaketet godkänns av EU-parlamentet I slutet av november 2009 undertecknade Sverige EU:s telekompaket med regler som ska stärka konsumenternas rättigheter mot telefon- och Internetoperatörerna. Huvuddelen av paketet handlar om nya regler för konkurrens, konsumentskydd och myndighetstillsyn på marknaden för telefoni och Internet. Men Integritetsåret 2009 Datainspektionen 19

19 Varje hand som delats ut i samtliga pokerpartier som spelats på Svenska Spels pokertjänst finns sparade. Pokerpartierna sparas för rutinkontroller och stickprov för att se till att ingen bryter mot reglerna. Datainspektionen påpekar att Svenska Spel måste ta fram rutiner för hur länge partierna ska sparas och hur de sedan ska gallras och att det tydligt måste framgå att pokerspelandet övervakas. Vi står maktlösa inför kränkningar på internet, säger Datainspektionens generaldirektör på DN Debatt. Personuppgiftslagen duger inte för att hindra de allt värre kränkningarna på internet. Myndighetens generaldirektör föreslår att ett sätt att angripa problemet med kränkningar på Internet är att införa en generell bestämmelse som gör det möjligt att utdöma straff vid kränkande publiceringar. Google tillkännager att företaget kommer att börja med beteendestyrd annonsering eller intressebaserad annonsering som företaget kallar det. Med hjälp av cookies kan Ska man kunna förbjuda människor att använda Internet som straff för illegal fildelning? Och hur ska det i så fall gå till? knäckfrågan har varit hur man ska hantera dem som laddar ner upphovsrättsskyddat material från Internet. Ska ett medlemsland kunna stänga av nätanvändare som straff för illegal fildelning? Och hur ska det i så fall gå till? Beslutet om telekompaketet har dragit ut på tiden därför att Frankrike och Storbritannien är på väg att införa lagar som gör det möjligt att stänga av Internetanvändare som bryter mot upphovsrätten. EU-parlamentet ville ha med garantier om rättssäkerhet i paketet, och det fick man. Ingen ska kunna stängas av från Internet utan föregående rättslig prövning där den anklagade ska ha rätt att försvara sig. Dock diskuteras fortfarande vad de garantierna är värda. Till exempel finns inga krav på att en domstol ska göra den rättsliga prövningen. Nu ska regeringen lägga en proposition om telekompaketet. Senast våren 2011 ska beslutet vara infört i EU-ländernas nationella lagstiftning. 20 Integritetsåret 2009 Datainspektionen

20 Nej till förslag om stort ungdomsregister En statlig utredning föreslår att ungdomsorganisationer som får statligt bidrag ska spara en mängd uppgifter om sina medlemmar i fem år. Detta för att man ska kunna komma åt bidragsfusk. Datainspektionen anser att utredningen borde ha övervägt kontrollmetoder som inte kräver nya stora register. I sitt yttrande över förslaget konstaterar Datainspektionen att utredningen inte har analyserat vilka integritetseffekter en så omfattande registrering kan ha. Att den här typen av centrala register kan uppfattas som känsliga visar klagomål och frågor som Datainspektionen tidigare har fått när det gäller Folkbildningsrådets och Riksidrottsförbundets registrering av sina medlemmar. Det är fråga om stora register över människors intressen och vad de gör på sin fritid. I vissa fall kommer känsliga uppgifter om hälsa eller politiska åsikter att registreras, säger Datainspektionens generaldirektör Göran Gräslund i ett pressmeddelande. Datainspektionen är även kritisk till att utredningen inte har utvärderat andra alternativ för att komma åt bidragsfusk, som inte skulle kräva stora centrala register. Risk för informationsspill i förslag om katastrofregister En statlig utredning föreslår att det ska byggas upp ett nytt register som ska innehålla uppgifter om personer som har drabbats av allvarliga katastrofer utomlands. En rad myndigheter och bland annat resebyråer och flygbolag ska lämna uppgifter till det centrala registret. Förslaget har tagits fram för att komma till rätta med de brister som framkom vid flodvågskatastrofen när Integritetsåret 2009 Datainspektionen 21

21 Google kartlägga vilka webbplatser du har besökt och använda den informationen för att välja vilka annonser som kommer att visas för just dig. Lagen mot penningtvätt träder i kraft 15 mars. Lagen grundar sig på EU:s tredje penningtvättsdirektiv som gäller i alla EU-länder och ska förhindra att bland andra banker används för penningtvätt och terrorismfinansiering. I korthet innebär lagen att banken måste göra en bedömning av risken för att användas för penningtvätt. Konsekvensen blir att bankerna kommer att registrera fler uppgifter om sina kunder och deras transaktioner. April Den kontroll som Karolinska universitetssjukhuset gör för att se om någon användare olovligen kommit åt uppgifter i patientjournaler är otillräcklig och måste förbättras, konstaterar Datainspektionen och begär in en åtgärdsplan för förbättringar. det gäller informationshanteringen och för att klargöra ansvarsfördelningen mellan berörda myndigheter. Datainspektionen anser att även om utredningen tar hänsyn till intresset av skydd för den personliga integriteten så bör vissa förändringar göras för att stärka skyddet ytterligare. Det gäller bland annat bestämmelsen som reglerar för vilka ändamål som personuppgifter får hanteras i registret. Utredningens förslag ger berörda myndigheter en mycket stor frihet att behandla personuppgifter. För att förhindra risken att uppgifter som finns i registret ska spilla över i annan verksamhet som bedrivs vid de olika myndigheterna bör ändamålen med registret förtydligas, säger Datainspektionens generaldirektör Göran Gräslund. Datainspektionen ser även behov av att reglerna förtydligas för när uppgifter ska tas bort från registret. Nej till utökad kartläggning inom socialtjänst och sjukvård En statlig utredning föreslår ett antal åtgärder som är tänkta att effektivisera och kvalitetssäkra socialtjänsten och dess samverkan med hälso- och sjukvården. I sitt yttrande om förslagen är Datainspektionen kritiskt till att förslagen medför väsentligt ökade möjligheter och skyldigheter för socialtjänsten att lämna personuppgifter till Socialstyrelsen och för socialtjänsten, hälso- och sjukvården och Socialstyrelsen att utbyta personuppgifter. I ett pressmeddelande ifrågasätter Datainspektionens generaldirektör om behovet av att förbättra socialtjänsten och dess samverkan med hälso- och sjukvården verkligen kan rättfärdiga en så omfattande spridning och kartläggning av uppgifter på individnivå om en stor andel av landets befolkning. Datainspektionen kallar förslaget för ett paradigmskifte där man lämnar den försiktighet och det integri- 22 Integritetsåret 2009 Datainspektionen

22 tetsskyddsperspektiv som hittills präglat lagstiftningen inom socialtjänsten och sjukvården. Du finns med i hundratals register Hela ditt liv samlas uppgifter om dig. Du föds, döps, går på dagis, besöker vårdcentral och tandläkare, går i skolor, tar körkort, tar studielån, börjar jobba, betalar skatt, gifter dig, handlar på kredit, tar försäkringar, får barn, går med i facket och föreningar, prenumererar på tidningar, pensioneras. En vanlig svensk finns idag med i åtminstone ett hundratal register och databaser. I april 2009 publicerade Datainspektionen en omfattande uppdatering av faktabroschyren Personregistrering i Sverige som listar de största personregistren och persondatabaserna i landet. Förteckningen, som innehåller både myndighetsregister och register inom den privata sektorn, kan hämtas i pdf-format eller beställas som kostnadsfri trycksak via myndighetens webbplats, Vad står om dig i registren? Du har rätt att få veta om en myndighet, ett företag eller en organisation har register eller databaser med uppgifter om dig och vad som i så fall finns registrerat. Datainspektionens faktabroschyr Personregistrering i Sverige beskriver hur du kan gå tillväga för att begära registerutdrag från en myndighet eller ett företag. Är uppgifterna felaktiga har du rätt att begära att de ska rättas eller raderas. Broschyren beskriver dessutom hur du gör för att slippa oönskad direktreklam och telefonförsäljning. Integritetsåret 2009 Datainspektionen 23

23 En blogg publicerar namnet på en svensk barnläkare som misstänks för dråp. Datainspektionen granskar publiceringen och kommer fram till att den skett för journalistiska ändamål och därmed inte bryter mot personuppgiftslagen. Datainspektionen uppdaterar förteckningen över de största personregistren i Sverige. En vanlig svensk finns idag med i åtminstone ett hundratal register och databaser. Representanter för några av Sveriges största sociala sajter bjuds in av Datainspektionen. Syftet är att gemensamt ta fram rekommendationer om användarvillkor och hanteringen av klagomål som ska kunna användas även av andra sajter för att på så sätt minska kränkningarna på Internet. Datainspektionen tar fram ett kostnadsfritt informationsblad som på ett enkelt sätt förklarar hur företag och organisationer som samlar in personuppgifter måste informera dem som registreras. Google tillkännager att tjänsten Street View Datainspektionen i blickfånget i ny kameraövervakningslag Idag regleras kameraövervakningen i två lagar. Om det är en allmän plats som övervakas, gäller lagen om allmän kameraövervakning och där har de 21 länsstyrelserna tillsynsansvaret. Om det gäller platser som allmänheten inte har tillträde till, som exempelvis skolor eller hyresfastigheter, gäller personuppgiftslagen och då är det Datainspektionen som står för tillsynen. Båda lagarna är från Många som använder eller vill använda kameraövervakning tycker att det är krångligt att kameraövervakning regleras i två lagar. Därför föreslår den statliga kameraövervakningsutredningen i november 2009 att det i stället införs en ny lag som reglerar all kameraövervakning. Utredningen har funnit att länsstyrelserna inte tillämpar nuvarande lag på ett enhetligt sätt, det behövs alltså bättre samordning och mer information. Man föreslår därför att Datainspektionen ska få ett centralt ansvar för tillsynen när det gäller tillämpningen av den nya lagen. Det är tänkt att Datainspektionen ska utvärdera rättstillämpningen och se till att den blir enhetlig, följa upp tillsynen, ge råd och stöd till länsstyrelserna, ge ut allmänna råd och informera om lagstiftning, praxis och den tekniska utvecklingen. Länsstyrelserna ska även i fortsättningen utfärda tillstånd och ta emot anmälningar om övervakning. Lagen ska inte gälla för privat kameraövervakning, till exempel webbkameror i privatbostäder, men den som använder bilder eller ljud så att den övervakades personliga integritet kränks ska kunna dömas till skadestånd. Det ska räcka med en anmälan för att 24 Integritetsåret 2009 Datainspektionen

24 få kameraövervaka banker, bankomater och butikslokaler, till skillnad från idag då det krävs tillstånd. Däremot kommer inte banker och butiker att få skicka bilder på misstänkta brottslingar till varandra vilket man hade önskat sig. Den nya lagen föreslås träda i kraft den 1 januari Sverige ska bli bäst i världen på e-förvaltning I början av 2008 presenterade regeringen sin handlingsplan för en modern e-förvaltning. Målet för handlingsplanen är att Sverige 2010 ska ha återtagit en ledande position inom e-förvaltningsområdet, stod det i pressmeddelandet från finansdepartementet. Datainspektionen prioriterar tillsynen av e-förvaltning sedan flera år. Redan i myndighetens årsredovisning från 2006 står: Databaser hanterar stora mängder av personuppgifter som kan sammanställas med allt mer sofistikerade metoder. En växande risk är att den bild som systemet skapar av en person kan bli felaktig eller missvisande av en slump eller genom en felaktig knapptryckning. Sådana fel kan få kännbara följder för den drabbade och riskerna finns i alla stora system, till exempel inom den framväxande e-förvaltningen. E-förvaltning fortsätter att vara ett prioriterat område för Datainspektionen under Storskalig e-förvaltning får inte äventyra integriteten En statlig utredning presenterar förslag på nya former av samverkan och samordning mellan myndigheter. Att genomföra utredningens intentioner i bred skala skulle innebära en fundamental strukturförändring Integritetsåret 2009 Datainspektionen 25

25 är på väg till Sverige. Speciellt utrustade bilar ska köra runt i Stockholm, Göteborg och Malmö för att fotografera på gatunivå. Bilderna kommer sedan att finnas tillgängliga i Google Maps. Tjänsten finns sedan tidigare i bland annat USA, Frankrike, Italien och England. Fackförbundet Saco yttrar sig om en promemoria från arbetsmarknadsdepartementet. I promemorian föreslås en skyldighet för arbetslöshetskassor att lämna ut ersättnings- och medlemsuppgifter på begäran från SCB. Saco anser att sådana uppgifter är att betrakta som mycket känsliga och avstyrker därför förslaget. av statsförvaltningen, skriver Datainspektionen i sitt yttrande om betänkandet. I personuppgiftslagen finns bestämmelser som begränsar möjligheterna att utbyta personrelaterad information mellan och inom myndigheter. De aktuella förslagen om ett utökat samarbete mellan myndigheter innebär att gränsen mellan myndigheterna tunnas ut. Det innebär i sin tur en risk för att integritetsskyddet försvagas. I sitt yttrande anser Datainspektionen att förslagen i betänkandet är mycket allmänt hållna och att det inte ger tillräckligt underlag för att bedöma vilka konsekvenser en framtida samverkan mellan myndigheter kan få för den personliga integriteten. Det krävs en grundläggande analys av dessa konsekvenser och hur förslagen går ihop med bestämmelserna i personuppgiftslagen, särskild registerförfattning, tryckfrihetsförordningen, sekretesslagen, arkivlagstiftningen och förvaltningslagen. Att den offentliga förvaltningen ska vara effektiv och ge bra service till oss medborgare är naturligtvis viktigt men det är avgörande att man då tar hänsyn till och värnar den personliga integriteten, säger inspektionens generaldirektör. Maj Centerpartiet antar ett öppenhetsprogram som bland annat föreslår att en Integritetsbalk ska införas där integritetsskyddande lagstiftning samlas, att Datainspektionen ska omvandlas till Integritetsombudsmannen och att rätten till integritet ska grundlagsskyddas. Myndigheter brister i kontrollen av hur anställda kommer åt personuppgifter Datainspektionen inspekterade under 2009 fem stora svenska myndigheter och granskade hur myndigheterna behandlar personuppgifter i sina verksamheter. Till stor del bedömde Datainspektionen att myndigheterna lever upp till de krav som ställs. Inspektionerna visar dock att det finns brister i hanteringen av skyddade personuppgifter och i kontrollen av 26 Integritetsåret 2009 Datainspektionen

26 hur anställda kommer åt personuppgifter. Så kallad logguppföljning saknades helt hos en av de granskade myndigheterna och var inte tillräckligt omfattade hos övriga myndigheter. För att upptäcka och beivra obehörig åtkomst av personuppgifter i myndigheters verksamhetssystem är det mycket viktigt att det görs en systematisk och återkommande uppföljning av loggarna, säger Anna Hörnlund som lett inspektionsprojektet. Myndigheterna som inspekterades var CSN, Försäkringskassan, Kronofogdemyndigheten, Migrationsverket och Statens Pensionsverk. Datainspektionen har följt upp inspektionsprojektet genom att sammanställa ett dokument med de viktigaste slutsatserna från projektet och har skickat det till cheferna på ett stort antal myndigheter. Brevet rekommenderar bland annat att man i så stor utsträckning som möjligt bör begränsa vilka personer som har tillgång till skyddade personuppgifter och Integritetsåret 2009 Datainspektionen 27

27 Övervakning i realtid av anställda ska begränsas så långt som möjligt. Det konstaterar Datainspektionen efter att ha granskat hur ett statligt verk mäter sina anställdas individuella prestationer. Datainspektionen yttrar sig över ett lagförslag för hur brottsbekämpande myndigheter ska kunna inhämta uppgifter om elektronisk kommunikation på ett mer rättssäkert sätt. Inspektionen anser att förslagen stärker integritetsskyddet men vill dock se vissa förändringar. I en rapport framtagen av socialdemokraterna i Europaparlamentet föreslås att en integritetsombudsman snarast bör inrättas både i Sverige och i EU för att stärka skyddet för integriteten. Bakgrunden till rapporten är att parlamentarikerna har blivit allvarligt oroade av den samlade effekten för integritet och rättssäkerhet av den mängd lagstiftning som nu i snabb takt införs. att all personal som hanterar personuppgifter bör få grundlig information om skyddade personuppgifter och sekretessfrågor. Nytt EG-direktiv kan få långtgående konsekvenser I mitten av mars 2009 yttrar sig Datainspektionen över remissen med förslag hur EG-direktivet Inspire (Infrastructure for spatial Information in Europe) ska införas i svensk lag. Inspektionen uttrycker oro över förslagen som innebär att myndigheter kan bli skyldiga att göra bland annat uppgifter som rör människors hälsa tillgängliga via Internet för både allmänheten och andra myndigheter. Förslagen kan få långtgående konsekvenser för den personliga integriteten och kräver därför noggranna analyser och överväganden, varnar Datainspektionen i sitt yttrande. Några sådana konsekvensanalyser finns inte med i remissen. Inte heller i övrigt uppfyller underlaget de krav som man rimligen bör kunna ställa i ett lagstiftningsärende som kan få betydande inverkningar på den personliga integriteten, konstaterar Datainspektionen som därför inte kan tillstyrka förslagen. En lagstiftning ska baseras på genomtänkta behovsanalyser, intresseavvägningar och konsekvensbeskrivningar, något som saknas i de här förslagen vilket gör det omöjligt för oss att närmare bedöma vilka konsekvenserna blir för den personliga integriteten, säger Datainspektionens generaldirektör i ett pressmeddelande. Inspire-direktivet syftar till att skapa en europagemensam infrastruktur och gemensamma bestämmelser som rör utbyte, delning, tillgång och utnyttjande av offentliga så kallade rumsliga data, det vill säga data som är kopplade till geografiskt läge. Det kan till exempel vara information som rör förhållandet mellan miljö och människors hälsa, det vill säga 28 Integritetsåret 2009 Datainspektionen

28 information som kan vara mycket integritetskänslig och som är omgärdad av särskilt restriktiva regler i personuppgiftslagen. Polisen och den personliga integriteten Polisen börjar publicera bilder på misstänkta I slutet av augusti tillkännagav polisen i Skåne att den ska börja publicera bilder från övervakningskameror på sin hemsida för att få allmänhetens hjälp att identifiera personer som misstänks för brott. Vi har noga övervägt de juridiska aspekterna av publicering av bilder på icke identifierade misstänkta personer på hemsidan, och kommit fram till att vi under vissa förhållanden kan använda oss av den Kort efter att Datainspektionen skickat sitt yttrande till Rikspolisstyrelsen publicerar polisen i Blekinge bilder på en person som misstänks för fickstöld vilket inte kan anses som särskilt allvarlig brottslighet. Personens ansikte har avsiktligt suddats av Datainspektionen. Integritetsåret 2009 Datainspektionen 29

29 Juni Polisen i EU kommer snart att kunna göra automatiska sökningar i varandras DNA-, fingeravtrycks- och fordonsregister. Datainspektionen varnar för att det ökade flödet av personuppgifter mellan staterna ökar risken för integritetsintrång och att mer resurser krävs om myndigheten ska kunna utöva sin kontroll på ett tillfredsställande sätt. Yttrandefrihetskommittén underskattar problemen med webbplatser som är grundlagsskyddade med hjälp av så kallat utgivningsbevis, anser Datainspektionen. Det finns ett antal sådana webbplatser som ägnar sig åt systematiska integritetskränkningar, varnar myndigheten. PTS och Datainspektionen inleder ett gemensamt projekt där myndigheterna ska granska om hanteringen av abonnent- och lokaliseringsuppgifter i mobila innehållstjänster följer gällande lagar och regler. Nej Vet ej Ja Är det rätt av polisen att publicera bild på misstänkta brottslingar? Ja 84,3 % Nej 13,3 % Vet ej 2,4 % Totalt antal röstande: Källa: Aftonbladet.se Allmänheten tycks vara för polisens bildpublicering. Enligt Aftonbladets nätfråga är 84,3 procent för publiceringen medan endast 13,3 procent är emot den. metoden som ett led i vårt arbete med att klara upp brott, säger Mårten Unbeck, chefsjurist vid Polismyndigheten i Skåne i polisens pressmeddelande. En kort tid efter pressmeddelandet publicerades de första bilderna på en person misstänkt för bilstöld. Därefter har bilder från utredningar av bland annat misshandel, bedrägeri, försök till bedrägeri och grovt rån publicerats. Skånepolisens bildpublicering väckte stor uppmärksamhet i massmedia. I Aftonbladet dömde Advokatsamfundets generalsekreterare Anne Ramberg ut metoden och kallade det att gå tillbaka till den medeltida skampålen. Rikspolisstyrelsen kontaktade Datainspektionen för att få inspektionens syn på publiceringen. Detta eftersom flera polismyndigheter planerar att börja publicera bilder på Internet. Datainspektionen anser att polisen endast i undantagsfall får använda den här typen av bildpublicering på Internet. Det kan exempelvis röra sig om särskilt allvarlig brottslighet eller att personen bedöms 30 Integritetsåret 2009 Datainspektionen

30 vara farlig för allmänheten. Publicering kan ske först efter att det gjorts en bedömning av bland annat hur allvarligt brottet är, riskerna för felpublicering eller oönskad spridning av bilderna och sannolikheten för att brottet klaras upp med hjälp av publiceringen. Publicering av bilder på misstänkta personer kan innebära stora konsekvenser och risker för den personliga integriteten, säger Datainspektionens generaldirektör Göran Gräslund. Datainspektionen anser att förutsättningarna för att polisen ska få publicera bilder på misstänkta personer bör regleras i lag. Därför skickade inspektionen även sitt yttrande till Justitiedepartementet. Även Justitieombudsmannen utreder polisens bildpublicering men kommer inte att yttra sig förrän någon eller några månader in i Kort efter att Datainspektionen skickat sitt yttrande till Rikspolisstyrelsen publicerar polisen i Kronobergs län bilder på en person som misstänks för fickstöld vilket inte kan anses vara särskilt allvarlig brottslighet. Brott utan straff när civilpoliser kartläggs Antifascistisk aktion kartlägger på en blogg civilpoliser och publicerar bland annat polisernas personnummer, mobilnummer och hemadresser. Där finns också uppgifter om fritidsintressen och samboförhållanden. Länskriminalen i Stockholm vände sig till Datainspektionen för att få veta vad som kan göras åt webbplatsen. Enligt Datainspektionen är det uppenbart att publiceringen är till för att framkalla obehag hos de enskilda polismännen och att det troligaste syftet med publiceringen av personuppgifterna är att visa de aktuella polismännen att de är övervakade och kartlagda. Men trots att publiceringen strider mot personuppgiftslagen är den inte straffsanktionerad och Integritetsåret 2009 Datainspektionen 31

31 Karolinska sjukhuset visar upp en åtgärdsplan för hur kontrollerna om någon användare olovligen kommit åt uppgifter i patientjournaler ska skärpas. Detta efter att Datainspektionen riktat kritik mot hur sjukhuset hittills utfört denna kontroll. Från och med 28 juni 2009 innehåller nya pass personens fingeravtryck lagrade i en elektronisk krets i passet. Barn under sex år behöver inte lämna fingeravtryck. I slutet av förra året flaggade Datainspektionen för att det är alltför oklart om fingeravtrycken hos yngre barn är tillförlitliga. Inspektionens bedömning var att åldersgränsen bör ligga vid 14 år eller möjligen strax under. Juli I ett omfattande projekt granskar Datainspektionen hur stora svenska myndigheter behandlar personuppgifter i sina verksamheter. Inspektionen fann att myndigheterna brister i kontrollen av hur anställda kommer åt eftersom de ansvariga bakom sajten inte kunde identifieras kunde Datainspektionen inte ingripa mot de personer som publicerat uppgifterna. Däremot kan de enskilda polismännen själva vända sig till domstol och yrka på skadestånd för kränkning av den personliga integriteten. EU antar Stockholmsprogrammet Vart femte år formulerar EU ett strategiskt arbetsprogram för området för rättsliga och inrikes frågor. I strategin anges ramarna för EU-arbetet när det gäller polis-, gräns- och tullsamarbete, räddningstjänst, rättsliga frågor, asyl, migration och viseringspolitik. På ett toppmöte i december 2009 under det svenska ordförandeskapet antogs det så kallade Stockholmsprogrammet för perioden Enligt Justitiedepartementet är ambitionen med Stockholmsprogrammet att skapa ett tryggare och öppnare Europa där enskildas rättigheter värnas och där samarbetet inriktas på åtgärder som ger ett mervärde för den enskilde. Departementet skriver vidare att det i programmet läggs stor vikt vid hur EU bör arbeta för att garantera respekt för grundläggande friheter och integritet och samtidigt garantera säkerheten i Europa. I en artikel på DN Debatt skriver justitieminister Beatrice Ask och migrationsminister Tobias Billström att framgångsrik brottsbekämpning bygger på fakta och kunskaper och att utbytet av information mellan ländernas brottsbekämpande myndigheter ska förbättras i och med Stockholmsprogrammet. Vi vill utarbeta en långsiktig syn på informationsutbyte mellan medlemsstaterna. Den bör klargöra i vilka fall information ska få utbytas, vad den får användas till och hur länge den ska få sparas, skriver ministrarna och tillägger Rätten till respekt för privatlivet måste garanteras oberoende av nations- 32 Integritetsåret 2009 Datainspektionen

32 Flödet av personuppgifter mellan EU-staterna ökar Inom EU införs nu det så kallade Prümrådsbeslutet som innebär att polisen i andra länder inom EU ska kunna göra automatiska sökningar i de svenska DNA-, fingeravtrycks- och fordonsregistren och vice versa. När Datainspektionen yttrar sig om förslag till hur Prümrådsbeslutet ska införas i svensk lag är den kritisk till utredningens bedömning att ökningen av myndighetens tillsynsuppgifter kommer att bli marginell. Möjligheten för polisen att automatiskt söka i varandras register innebär att flödet av personuppgifter mellan staterna ökar kraftigt vilket i sin tur ökar risken för otillbörliga integritetsintrång, säger Datainspektionens generaldirektör i ett pressmeddelande. Datainspektionens landets fingeravtrycks- och DNA-register och vilka regler som ska gälla för gallring av registren. Flera länder i EU har bestämmelser som medger en betydligt mer omfattande registrering än vad som tillåts i Sverige och tillämpar dessutom mycket långa gallringstider, även när det gäller uppgifter om frikända. Det innebär att svensk polis vid slagningar i andra medlemsstaters register kan få träffar på DNA- eller fingeravtrycksprofiler som inte får förekomma i svenska register. Prümrådsbeslutet består av två delar: en del som måste införas av samtliga länder i EU och en del som är frivillig för respektive land att införa. I Sverige har en utredare fått i uppdrag att överväga de delar av rådsbeslutet som är frivilliga att genomföra, som exempelvis möjligheten att ta emot utländsk polis i Sverige vid gemensamma insatser. Prümrådsbeslutet bedömning är att arbetsuppgifterna kan bli omfattande till regeringen senast den 31 Uppdraget ska redovisas innebär att polisen i EU-länderna och att det därför krävs att ska kunna göra december inspektionen får tillräckliga resurser. Datainspektionen yttrade sig förra året om Prümrådsbeslutet och var då bland annat kritisk till att det är automatiska sökningar i varandras DNA-, fingeravtrycks- och fordonsregister. En proposition med de lag- och förordningsändringar som krävs för att Sverige ska kunna införa de obligatoriska bestämmelserna i rådsbeslutet ska presenteras och beslutas respektive land som bestämmer vilka under våren kategorier av personer som ska lagras i Integritetsåret 2009 Datainspektionen 33

33 personuppgifter. Så kallad logguppföljning saknades helt hos en av de granskade myndigheterna och var inte tillräcklig hos övriga myndigheter. Den 1 juli 2009 upphör Apoteket AB:s monopol att sälja läkemedel. Nu kan andra företag öppna så kallade öppenvårdsapotek som måste ha säkra system för att hantera kund- och receptuppgifter. Datainspektionen tar därför fram ett informationsblad som bland annat beskriver hur personuppgifterna ska skyddas i IT-systemen. Datainspektionen meddelar att den skärper kontrollen av privata vårdgivare. Myndigheten ska särskilt granska hur dessa begränsar tillgången till känsliga personuppgifter genom behörighetsstyrning och i vilken utsträckning loggkontroller används för att upptäcka och beivra obehörig åtkomst av patientuppgifter. Augusti I en skrivelse uppmanar Datainspektionen regeringen att ta fram en författningsreglering gränser, särskilt i fråga om skyddet av personuppgifter. Ett heltäckande och effektivt system för skydd av personuppgifter i EU behövs. Förespråkare för programmet anser att det kommer att leda till ett tryggare Europa medan till exempel människorättsorganisationen StateWatch kommenterat att Stockholmsprogrammet innebär en tydlig målsättning att skapa ett övervakningssamhälle och en databasstat. Den europeiske datatillsynsmannen har kommenterat Stockholmsprogrammet och tycker att det är bra att skyddet av de grundläggande rättigheterna, särskilt skyddet av personuppgifter, framhävs i som en av de viktigaste frågorna under de kommande fem åren inom området. Datatillsynsmannen anser dock bland annat att man först bör utvärdera de åtgärder som redan antagits för att se hur effektiva de är. Om dessa inte gett avsett resultat bör de i första hand ändras eller upphävas innan man föreslår nya lagstiftningsåtgärder. Tillsynsmannen anser att ny lagstiftning endast bör antas om den har ett tydligt och konkret mervärde för de brottsbekämpande myndigheterna och för de europeiska medborgarna. Datainspektionen vill anpassa lagförslag efter nätkränkningar I slutet av maj 2009 yttrar sig Datainspektionen om polismetodutredningens delbetänkande En mer rättssäker inhämtning av elektronisk kommunikation i brottsbekämpningen. Betänkandet är en översyn av reglerna för hur polis, åklagare och tull får inhämta uppgifter om elektronisk kommunikation i sin förundersöknings- och underrättelseverksamhet. Lagförslaget reglerar inhämtning av: trafikuppgifter adressen till de telefoner eller datorer som kommunicerade med varandra, när 34 Integritetsåret 2009 Datainspektionen

34 det skedde, var de befann sig och vilken typ av kommunikation som användes lokaliseringsuppgifter var en mobiltelefon befinner sig när den är påslagen men inte används abonnemangsuppgifter vem som innehar ett visst telefon- eller IP-nummer Inspektionen anser att förslagen i utredningen stärker integritetsskyddet men vill dock se ett par förändringar. Idag får uppgifter om vem som innehar ett visst telefon- eller IP-nummer endast samlas in då fängelse finns i straffskalan och då den brottsutredande myndigheten bedömer att det enskilda brottet som utreds kan leda till strängare straff än böter. Utredningens förslag innebär dock att polis och åklagare ska kunna begära sådana uppgifter från operatörerna helt utan inskränkning, det vill säga även när det misstänkta brottet enbart kan leda till bötesstraff. Datainspektionen anser att operatörerna endast ska lämna ut sådana uppgifter vid utredning av brott som kan ge fängelse samt vid utredning av ärekränkningsbrott. Då blir det möjligt att utreda exempelvis kränkningar på Internet på ett effektivare sätt, säger Datainspektionens generaldirektör. Nu lagras dina fingeravtryck i passet Om du har skaffat nytt pass efter september 2005 så innehåller det biometrisk information. En digital version av passfotot och din namnteckning är lagrade i en liten datorkrets som är inbakad i passet. Det är EU:s ministerråd som har beslutat om denna säkerhetsstandard. Svensk Handel vill publicera bilder på misstänkta snattare I början av november 2009 skriver tidningen Dagens Handel att branschorganisationen Svensk Handel undersöker möjligheten att publicera bilder från butikers övervakningskameror för att få allmänhetens hjälp att identifiera snattare och rånare. En av möjligheterna som diskuteras är att bilderna ska läggas ut på Dagens Handels hemsida. Det måste vara grövre brott det handlar om, inte någon som snattar en chokladkaka eller en förvirrad tant Elsa som råkar plocka på sig en falukorv, säger Dagens Handels chefredaktör Thomas Karlsson till tidningen Journalisten. Integritetsåret 2009 Datainspektionen 35

35 som bestämmer vilka uppgifter som kollektivtrafikbolagen får lagra och hur länge. Det är orimligt att detaljerade uppgifter om hur vi reser i kollektivtrafiken ska lagras utan tidsbegränsning, säger Datainspektionens generaldirektör i ett pressmeddelande. En statlig utredning föreslår att ungdomsorganisationer som får statligt bidrag ska spara en stor mängd uppgifter om sina medlemmar i fem år, detta för att komma åt bidragsfusk. Datainspektionen konstaterar att utredningen inte gjort någon analys av vilka effekterna av en så omfattande registrering blir för de enskildas personliga integritet. Polisen i Skåne tillkännager att den ska publicera bilder från övervakningskameror på sin webbplats för att få hjälp från allmänheten att identifiera personer som misstänkts för brott, något som väcker stor uppmärksamhet i massmedia. Den första bildpubliceringen gäller en person misstänkt för bilstöld. Nu lagras en digital version av ditt passfoto och fingeravtryck i en liten datorkrets i passet. Från den 28 juni 2009 måste den som skaffar nytt pass dessutom lämna fingeravtryck som lagras i passets datorkrets. Tanken är att de nya passen inte ska gå att förfalska och därmed ska terrorister och andra bovar kunna stoppas. Fingeravtrycken ska enbart sparas i passet. När passet har lämnats ut raderas avtrycken ur passmyndighetens system och de får inte heller sparas i någon databas som används vid passkontroller. Barn under sex år behöver inte lämna fingeravtryck. I slutet av förra året flaggade Datainspektionen för att det är alltför oklart om fingeravtrycken hos yngre barn är tillförlitliga. Inspektionens bedömning är att åldersgränsen bör ligga vid 14 år eller möjligen strax under. Systembolaget lämnar uppgifter till polisen om mordmisstänkts alkoholinköp I samband med en mycket uppmärksammad mordrättegång gjorde uppgifter i massmedia gällande att polisen fått uppgifter från Systembolaget om vilka 36 Integritetsåret 2009 Datainspektionen

36 alkoholinköp som den mordmisstänkte betalat med sitt kreditkort under de senaste tio åren. Att Systembolaget skulle kunna göra en sådan kartläggning vållade enorm uppståndelse i massmedia. Vad hände med vår integritet, undrade Aftonbladet och skrev: Storebror ser dig hela tiden. Den som inte vill ha sitt privatliv kartlagt har ett alternativ: Betala kontant. Datainspektionen granskade Systembolagets behandling av personuppgifter och konstaterar att företaget saknar möjlighet att på egen hand kartlägga sina kunders alkoholinköp med hjälp av den information som registreras när kunden väljer att betala med kort. För att Systembolaget ska kunna knyta en köptransaktion till en individ krävs tillgång till information som måste hämtas utifrån. Vid enstaka tillfällen har företaget fått uppgifter från polis och åklagare om en viss transaktion i form av inköpsställe, butik och belopp vilket gjort det möjligt att koppla en köptransaktion till en person. Bristande kontroll i skolor och vård Fortsatta brister i hur skolor hanterar personuppgifter Under 2008 genomförde Datainspektionen en stor undersökning av hur skolor hanterar personuppgifter om elever och föräldrar i sina IT-system. Myndigheten fann att samtliga inspekterade skolor hanterade elevernas personuppgifter på sätt som bryter mot personuppgiftslagen. Datainspektionen har följt upp kartläggningen genom att inspektera ytterligare fyra skolor. Integritetsåret 2009 Datainspektionen 37

37 En utredning föreslår ett nytt register som ska innehålla uppgifter om personer som har drabbats av allvarliga katastrofer utomlands. Enligt förslaget ska en rad myndigheter och även resebyråer och flygbolag lämna uppgifter till det centrala registret. Datainspektionen anser att förslaget ger berörda myndigheter en mycket stor frihet att behandla personuppgifter. För att förhindra risken att uppgifter som finns i registret ska spilla över i annan verksamhet som bedrivs vid de olika myndigheterna bör ändamålen med registret förtydligas. Sekretessbelagda handlingar har läckt från polisen och hamnat i kriminella händer. Bland handlingarna finns den så kallade Alcatrazlistan med hemliga uppgifter om landets mest kriminella personer. September I Malmö kan man betala toalettbesök via sms. Datainspektionen tar emot klagomål där oro utrycks för att betalning Årets undersökning visar på fortsatta brister hos skolorna. Skolorna har dålig eller ingen kunskap om hur länge personuppgifter om eleverna sparas. Ett återkommande problem är att skolorna saknar rutiner för när gamla personuppgifter ska tas bort, i stället lagras alla personuppgifter tills vidare. De skolor som anlitar ett externt företag för driften av sina IT-system har ännu sämre uppfattning om hur elevernas och föräldrarnas personuppgifter hanteras. Skolorna måste ta fram rutiner och riktlinjer för bevarande och gallring så att inte uppgifter som inte längre behövs sparas för all framtid eller, ännu värre, ligger och skvalpar i något system som ingen har riktig koll på, säger Patrik Sundström som lett årets skolinspektioner. I samband med fjolårets inspektioner tog Datainspektionen fram en checklista som sammanfattar några av de viktigaste punkterna som skolor måste tänka på när de behandlar personuppgifter. Checklistan finns kostnadsfritt på www. data inspektionen.se. Otillräcklig kontroll av vem som läser patientjournaler I april 2009 beslutar Datainspektionen att Karolinska universitetssjukhusets kontroll om någon användare olovligen kommit åt uppgifter i patientjournaler är otillräcklig och måste förbättras. I sjukhusets journalsystem finns 1,5 miljoner patientjournaler. Under ett dygn sker cirka journalöppningar och på en månad närmare sex miljoner journalöppningar. Totalt har användare åtkomst till journalsystemet. Vem som öppnar vilken patientjournal registreras i en logg. För att avskräcka anställda från att olovligen läsa patientuppgifter måste sjukhuset enligt patientdatalagen göra logguppföljningar. Uppföljningen syftar 38 Integritetsåret 2009 Datainspektionen

38 Logguppföljningar är viktiga för att upptäcka om någon anställd har läst en patientjournal utan att behöva det i sitt arbete. också till att upptäcka om någon anställd har läst en patientjournal utan att behöva det i sitt arbete. Den kontroll som sjukhuset gör består av att undersöka tio slumpmässigt utvalda användare som öppnat någon eller några av tio slumpmässigt utvalda patientjournaler under den senaste månaden. En kontroll görs men den är helt otillräcklig. Uppgifter om patienters hälsa är ytterst känsliga, vilket också ställer stora krav på åtkomstkontrollen, säger Datainspektionens generaldirektör i ett pressmeddelande. Efter Datainspektionens kritik tog Karolinska sjukhuset fram en plan på åtgärder för hur logguppföljningen ska förbättras. I ett första steg ökas antalet kontroller från tio journalöppningar per månad till 100. Därefter skärps kontrollen ytterligare och tio journalöppningar gjorda av två slumpässigt utvalda användare på var och en av sjukhusets cirka 70 kliniker granskas. Det innebär att cirka journalöppningar per månad granskas. Under 2010 räknar sjukhuset med Integritetsåret 2009 Datainspektionen 39

39 via mobiltelefon skulle kunna göra det möjligt att spåra enskilda personer. Datainspektionen ger dock tjänsten grönt ljus eftersom Malmö stad inte får tillgång till uppgifter som gör spårning möjlig. En statlig utredning föreslår en ny lag, lagen om integritetsskydd i arbetslivet, som innehåller bestämmelser om hur arbetsgivare ska kunna övervaka och kontrollera arbetstagare och arbetssökande. Datainspektionen välkomnar lagförslaget men flaggar dock för att det kan medföra väsentligt ökade behov av insatser från myndigheten i form av tillsyn, utbildning och granskning av kollektivavtal. Datainspektionen säger nej till ett lagförslag som innebär utökad kartläggning inom socialtjänst och sjukvård. Myndigheten anser att förslaget innebär ett paradigmskifte eftersom man lämnar den försiktighet och det integritetsskyddsperspektiv som hittills präglat lagstiftningen inom socialtjänsten och sjukvården. att granskningen förbättras ytterligare genom att fler urvalskriterier då ska kunna användas för stickprovskontrollerna. Datainspektionen beslutar senare under året att skärpa kontrollen av privata vårdgivare. Granskningen inriktas på hur vårdgivarna begränsar tillgången till känsliga personuppgifter genom behörighetsstyrning och i vilken utsträckning loggkontroller används för att upptäcka och beivra obehörig åtkomst av patientuppgifter. Kartlagd när du reser Charterbolagen lagrar uppgifter om kundernas resor för länge Charterbolag som Fritidsresor, Ving och Apollo lagrar uppgifter om kundernas resor för länge. Det konstaterar Datainspektionen efter att ha granskat företagen. Datainspektionen har undersökt ett antal resebolag för att kartlägga och kontrollera hur de registrerar uppgifter om sina kunder och då särskilt vad gäller klagomål och reklamationer. Överlag sparar resebolagen uppgifter om sina kunder och deras resor för länge. Flera av bolagen lagrar uppgifter om kundernas resor i en bestämd tid, exempelvis tre år, men om kunden under dessa tre år gör en ny resa med bolaget så sparas uppgifterna om samtliga resor som kunden gjort i ytterligare tre år från det bokningsdatumet. Den innebär att lagringstiden hela tiden förlängs vilket 40 Integritetsåret 2009 Datainspektionen

40 i sin tur gör att resebolagen kan följa kundernas resemönster på ett detaljerat sätt. Datainspektionen anser att kunduppgifter, inklusive uppgifter om resor, normalt får sparas i resebolags kunddatabas under två år efter avslutad resa. Ett av syftena med inspektionerna var att undersöka om resebolagen har svarta listor över kunder som klagat eller som på annat sätt upplevts som besvärliga. Datainspektionen kan konstatera att så inte är fallet hos något av de undersökta bolagen. Bestäm hur länge kollektivtrafiken får lagra reseuppgifter Nya biljettsystem som bygger på så kallade smartkort gör det möjligt för kollektivtrafikföretag att kartlägga enskilda personers resor. Datainspektionen anser att resehistorik som kan kopplas till en person ska sparas så kort tid som möjligt och att uppgifterna därefter ska avidentifieras så att de inte kan knytas till en specifik person. Ett kollektivtrafikföretag har dock invänt att reseinformation är allmän handling vilket innebär att uppgifterna enligt arkivlagen ska sparas för all framtid om det inte finns särskilda gallringsföreskrifter som reglerar när uppgifterna ska tas bort. I augusti 2009 föreslår Datainspektionen därför i en skrivelse till regeringen att det ska tas fram en författningsreglering som bestämmer vilka uppgifter som kollektivtrafikbolagen får lagra och hur länge. En sådan reglering finns redan idag för personuppgifter som lagras i samband med trängselskatten i Stockholm. Människors rätt till personlig integritet i sitt vardagliga resande är en viktig fråga. Det är orimligt att detaljerade uppgifter om hur vi reser i kollektivtrafiken ska lagras utan tidsbegränsning, säger Datainspektionens generaldirektör. Integritetsåret 2009 Datainspektionen 41

41 Datainspektionen startar en granskning av flera utlåningsföretag som erbjuder så kallade sms-lån. Myndigheten undersöker bland annat hur kunder identifieras, hur gamla kunduppgifter gallras och hur utlåningsföretagen hämtar in och hanterar kreditupplysningsinformation. Oroade personer hör av sig till Datainspektionen och undrar hur en insamlingsfond kan känna till uppgifter om deras hälso- och sjukvårdshistoria. För att få klarhet i den frågan inleder Datainspektionen tillsyn mot insamlingsfonden och ett par nationella kvalitetsregister som pekas ut som källor till hälsouppgifterna. Förra året underkände Datainspektionen kamera övervakningen av elever i ett antal skolor. Myndigheten konstaterade i besluten att skolorna inte kunnat visa att det fanns problem av den art eller omfattning att det motiverade den ofta omfattande övervakningen. Fem av skolorna överklagade besluten till länsrätten i Stockholm som nu meddelar att den Kartlagd när du går på toaletten Kan min mobiltelefon användas för att kartlägga när och var jag går på toaletten? Ja, den frågan fick Datainspektionen på sitt bord under På Folkets park i Malmö har man försett vissa toaletter med ett kodlås. För att betala för toalettbesöket skickar man ett betal-sms till ett visst nummer och får tillbaka en kod för att öppna dörren. Datainspektionen tog emot flera klagomål om detta sätt att betala. I klagomålen var man oroad för att Malmö stad skulle kunna få ut uppgifter om de telefonnummer som har använts vid betalning och att det därmed skulle gå att spåra enskilda individer exempelvis efter en skadegörelse. Inspektionen ger dock grönt ljus för toaletterna eftersom Malmö stad inte har tillgång till telefonnummer eller andra uppgifter om toabesökarna som gör det möjligt att spåra enskilda personer. Övervakning i arbetslivet Ägare får inte kameraövervaka butikens anställda från sitt hem Datainspektionen tar emot ett klagomål mot en matbutik i Stockholmstrakten. Enligt klagomålet har butiken en rad övervakningskameror både i butikslokalen och i utrymmen där endast personalen vistas. Ingen information om övervakningen har getts till personalen och butikens chef har i realtid tillgång till bildmaterialet från sin bostad, uppges det i klagomålet. Efter att ha inspekterat butiken konstaterar Datainspektionen att kameraövervakningen i utrymmena bakom butikslokalen inte är tillåten enligt personuppgiftslagen. Ägaren uppger att kameraövervakningen används av säkerhetsskäl men Datainspek- 42 Integritetsåret 2009 Datainspektionen

42 Ica-butiken var full av tv-kameror. Hemma kunde chefen följa sina anställda på skärmen. Han ringde och skällde om vi gjorde minsta fel, säger Jens Falk, 19, skriver Aftonbladet på sin webbplats. tionen anser att möjligheten för butiksägaren att i realtid ta del av bildmaterialet från sitt hem gör att det finns en påtaglig risk för att kameraövervakningen används för att kontrollera de anställdas arbete. Datainspektionen anser också att informationen om kameraövervakningen och vilka områden som övervakas varit otillräcklig. Nej till övervakningskameror för att kontrollera städares arbete En skola i Stockholm har satt upp övervakningskameror för att motverka stölder, inbrott i elevskåp, skadegörelse och mobbning. När man var missnöjd Integritetsåret 2009 Datainspektionen 43

43 avslår överklagandena. Två skolor överklagar till kammarrätten som ännu inte meddelat prövningstillstånd. Oktober Datainspektionen granskade 2007 en fastighetsägare i Göteborg som installerat övervakningskameror i ett antal hyresfastigheter och beslutade då att kameraövervakning inte är tillåten i entréer och trapphus eftersom det strider mot rätten till privatliv. Hyresvärden överklagade beslutet till länsrätten som i februari i år meddelade att den avslog överklagandet och därmed gick på Datainspektionens linje. Fastighetsägaren överklagade domen till kammarrätten som avslår överklagandet i oktober I en skrivelse till regeringen varnar Datainspektionen för att något omgående måste göras åt den okontrollerade spridningen av kreditupplysningar på Internet. Om det krävs en grundlagsändring är det bråttom, med städningen i skolan användes bilder från kamerorna för att kontrollera lokalvårdarnas arbete. Datainspektionen konstaterar att det är integritetskränkande behandling av personuppgifter som strider mot personuppgiftslagen. Kameraövervakning är ett intrång i den personliga integriteten. Man ska alltid överväga om problemen kan lösas med metoder som är mindre integritetskänsliga, säger Datainspektionens generaldirektör i ett pressmeddelande. Att kontrollera enskildas arbetsinsatser är normalt inte ett ändamål som motiverar en så ingripande åtgärd som kameraövervakning. Övervakning i realtid av enskilda anställda ska undvikas Datainspektionen tar emot ett klagomål från en fackförbundsklubb på Bolagsverket. Klagomålet rör individuell prestationsmätning av anställda vid verkets callcenter. Fackklubbens uppfattning är att mätningarna och statistiken inte ska vara på individnivå. Bolagsverket uppger att statistiken används för att planera, organisera och följa upp arbetet i callcenter, för att identifiera behovet av kompetensutveckling och som ett verktyg vid individuell lönesättning. Datainspektionen bedömer att verket får behandla personuppgifter som innebär individuell prestationsmätning för dessa ändamål. Övervakning i realtid bör dock så långt som möjligt begränsas och ska normalt inte heller användas för att vidta åtgärder mot en enskild, säger 44 Integritetsåret 2009 Datainspektionen

44 Datainspektionens generaldirektör i ett pressmeddelande. En arbetsgivares möjligheter till prestationsmätning av anställda regleras inte bara av personuppgiftslagen utan även i arbetsrättsliga regelverk och eventuellt genom kollektivavtal. Det finns dessutom arbetsmiljöaspekter som kan behöva tas hänsyn till. Därför bör den här typen av frågor i första hand lösas mellan arbetsgivaren och de fackliga organisationerna. Nytt lagförslag stärker integritetsskyddet i arbetslivet En utredning har på uppdrag av regeringen sett över hur skyddet för arbetstagares integritet i arbetslivet kan förtydligas och stärkas. Utredningen föreslår en ny lag, lagen om integritetsskydd i arbetslivet, som innehåller bestämmelser om arbetsgivares övervaknings- och kontrollåtgärder av arbetstagare, arbetssökande, praktikanter och inhyrd arbetskraft. Datainspektionen välkomnar lagförslaget och anser i sitt yttrande att den sammanhållna reglering som utredningen föreslår innebär en mer lättillgänglig och tydlig reglering än den som finns idag. Lagförslaget innebär en reell förbättring och förstärkning av skyddet av den personliga integriteten i arbetslivet, säger Datainspektionens generaldirektör. Utredningen föreslår att Datainspektionen, på begäran av kollektivavtalsparter, ska yttra sig över utkast till kollektivavtal när det gäller de delar som rör arbetsgivares behandling av personuppgifter om arbetstagare. Datainspektionen flaggar dock för att utredningens förslag innebär väsentligt ökade behov av insatser från myndigheten i form av bland annat tillsyn, utbildning och granskning av kollektivavtal. Integritetsåret 2009 Datainspektionen 45

45 annars kommer problemen att kvarstå till efter Företagen och den personliga integriteten November På Internetdagarna i Stockholm presenterar Datainspektionen en vägledning för hur ungdomssajter bör utforma sina användarvillkor och hantera klagomål från besökare. Riktlinjerna har tagits fram med hjälp av flera svenska ungdomssajter men baseras även på Datainspektionens erfarenheter av klagomål från personer som blivit kränkta på Internet. En skola som satt upp övervakningskameror för att motverka stölder, inbrott i elevskåp, skadegörelse och mobbning använder bilder från kamerorna för att kontrollera hur lokalvårdarna sköter sitt arbete. Att göra det strider mot personuppgiftslagen, konstaterar Datainspektionen. Polisens Internetpublicering av bilder på okända gärningsmän är endast tillåten i undantagsfall, konstaterar Datainspektionen i ett Ditt beteende styr Googles annonser I mars 2009 tillkännager Google att företaget ska börja med beteendestyrd annonsering eller intressebaserad annonsering som företaget väljer att kalla det. På de flesta större webbsajter finns annonser som visas via en annonsförmedlare, som exempelvis Doubleclick som Google under 2007 köpte för 3,1 miljarder dollar. Med hjälp av cookies kan annonsförmedlaren kartlägga vilka webbplatser som du besökt och använda den informationen för att välja vilka annonser som kommer att visas för just dig. Har du till exempel besökt en webbplats som handlar om katter och sedan besöker en nyhetssajt, kan information från cookien användas för att visa en annons om kattmat på nyhetssajten. På så sätt blir du alltså exponerad för annonser som återspeglar vilka webbplatser du har besökt tidigare. Efter en tids surfande på webbplatser som visar annonser som förmedlas av Google kommer dina intressen (eller ditt beteende) att vara kartlagda på ett sätt som tidigare inte varit möjligt. Google kommer att veta att du (eller rättare sagt webbläsaren på den dator du använder) är intresserad av katter, basket och inrikespolitik. Cookien som används för att spåra dina surfvanor talar dock inte om för Google vem du är utan innehåller ett slumpmässigt valt id-nummer. Kartläggningen av dina intressen kommer även att bygga på vilka Youtube-klipp du tittar på. Om du till exempel ofta tittar på videoklipp om bilar på Youtube, kommer du att kategoriseras som en bilentusiast och 46 Integritetsåret 2009 Datainspektionen

46 blir då exponerad för fler bilrelaterade annonser på Youtube och de sajter som visar annonser från Google. I Sverige har Google inte börjat med denna typ av annonsering och intresset från annonsörerna ska enligt uppgift vara svalt. Datainspektionen följer utvecklingen av den här typen av annonsering, både i Sverige och internationellt. Alla privatpersoner listas med egen sida på Eniro Genom en storsatsning på personer på eniro.se har personuppgifterna blivit tydligare och enklare att hitta. Samtidigt får varje person en egen sida med möjlighet att själv lägga till ytterligare kontaktuppgifter, webblänkar och foto. Så skriver katalogföretaget Eniro i ett pressmeddelande i slutet av augusti På Eniro.se listas numera alla svenskar med en egen sida. Här är personuppgifter om företagets vd, komplett med bild, e-postadress och bostadsadress. Integritetsåret 2009 Datainspektionen 47

47 yttrande till Rikspolisstyrelsen. Det kan exempelvis röra sig om särskilt allvarlig brottslighet eller att personen bedöms vara farlig för allmänheten. Den statliga kameraövervakningsutredningen föreslår en ny lag som ska reglera i princip all kameraövervakning. Utredningen föreslår dessutom att Datainspektionen ska få det centrala ansvaret för tillsynen när det gäller tillämpningen av den nya lagen. En moderat framtidsgrupp vill att en ny borgerlig regering bör lova att minska volymen av personuppgifter i statliga register med 25 procent till Det är hög tid att rensa i rabatten. Man kan åstadkomma mycket genom skärpt insamlingsdisciplin och bättre gallringsrutiner, säger Henrik von Sydow (m). Framtidsgruppen vill även göra det lättare att få skadestånd för den som blir trakasserad på nätet. För alla personer listas som standard registrerade telefonnummer, gatu- och postadress (med karta) och födelse- och namnsdag. Den som själv vill kan dessutom lägga till exempelvis foto, e-postadress, blogg- och hemsideslänk, samt LinkedIn- och Facebook-kontaktuppgifter. Vi hoppas att alla går in och söker på sig själv och lägger till mer relevanta uppgifter, säger företagets affärsutvecklingsansvarig i pressmeddelandet. Ny teknik Tekniken inte mogen för elektronisk övervakning av stalkers I den statliga utredningen Stalkning ett allvarligt brott undersöks bland annat möjligheten att använda elektronisk övervakning för att förhindra stalkers att förfölja sina offer. En sådan teknisk lösning kan till December FRA uppger att myndigheten från och med Ett stort antal personer i Sverige utsätts varje år för systematiserad förföljelse, stalkning. 48 Integritetsåret 2009 Datainspektionen

48 exempel använda GPS-positionering och mobiltelefoni för att larma om en person med kontaktförbud kommer i närheten av personen som ska skyddas. I sitt yttrande om betänkandet anser Datainspektionen, precis som Stalkningsutredningen, att den teknik för elektronisk övervakning av kontaktförbud som finns i dag fortfarande är outvecklad och att det därför kan ifrågasättas om övervakningen verkligen kan skydda hotade personer tillräckligt väl. Datainspektionen anser att elektronisk övervakning av stalkers inte bör införas utan en fortsatt försöksverksamhet och att dessa försök inte ska påbörjas innan de tekniska förutsättningarna är tillräckligt goda. Myndigheten anser även att eventuell lagstiftning bör vara tidsbegränsad och noggrant utvärderas innan den införs i en mer permanent form. Ett stort antal personer i Sverige utsätts varje år för hot och förföljelse. Elektronisk övervakning kan vara ett sätt att förhindra stalkning men tekniken måste vara mogen och beprövad innan den införs, säger Datainspektionens generaldirektör i ett pressmeddelande som skickas ut i samband med myndighetens yttrande. GPS-övervakad bil ska ge lägre premie I framtiden kan du sänka försäkringspremien genom att montera en liten databox i bilen som kollar att du inte kör för fort eller bär dig illa åt i trafiken. Under 2009 inledde försäkringsbolaget SalusAnsvar tester av den här tekniken för att utvärdera själva utrustningen som behövs och under 2010 ska en skarp pilotstudie genomföras. Den premie du betalar för bilförsäkringen baseras vanligtvis på faktorer som bilens märke, modell och tillverkningsår, din ålder och adress och hur många år du som försäkringstagare varit skadefri. Men genom Integritetsåret 2009 Datainspektionen 49

49 den 1 december successivt kommer att börja inhämta kabelburen trafik för signalspaning. Polisen i Blekinge publicerar på sin webbplats en bild på en oidentifierad person som misstänks för bland annat plånboksstöld. Foto: Magnus Pajnert/vägverket Datainspektionen granskar Systembolagets behandling av personuppgifter och konstaterar att företaget saknar möjlighet att på egen hand kartlägga kundernas alkoholinköp med hjälp av den information som registreras när man väljer att betala med kort. Systembolaget har dock vid enstaka tillfällen fått uppgifter från polis och åklagare som gjort det möjligt att koppla en köptransaktion till en person. Regeringen presenterar en proposition till reformerad grundlag. I lagförslaget finns en ny bestämmelse om skydd mot betydande intrång som innebär övervakning eller kartläggning av enskildas personliga förhållanden. Lagändringarna föreslås träda i kraft 1 januari En liten databox i bilen kan bli framtidens sätt att kontrollera att du inte kör för fort eller bär dig illa åt i trafiken. att montera en databox i bilen kan försäkringspremien i framtiden beräknas även på faktorer som var, när och hur fordonet har körts. I boxen sitter dels en GPS som loggar bilens position, dels en mobiltelefon som rapporterar uppgifter vidare till försäkringsbolaget. Med hjälp av GPS:en går det bland annat att beräkna om föraren har en lugn körstil, inte ligger över högsta tillåtna hastighet, kör i en tätort (där risken för att krocka är större) eller kör långa (och därmed mer riskfyllda) körpass. Databoxen gör det tekniskt möjligt att noggrant kartlägga en bils rörelser vilket kan vara ett integritetsproblem. SalusAnsvar uppger att ett viktigt syfte med den kommande pilotstudien är att utreda mjuka frågor som vilka parametrar som ska mätas och rapporteras till försäkringsbolaget och hur kunderna ska informeras på bästa sätt så att de är medvetna om vilken information som samlas in och vad den används till. Det kommer att vara frivilligt att låta montera en databox i sin bil. En väsentligt sänkt försäkringspremie kan vara att kraftfullt incitament för försäkringstagare 50 Integritetsåret 2009 Datainspektionen

50 att göra det. En kund hos SalusAnsvar som idag låter montera ett alkolås i sin bil får premiekostnaden halverad. EU: RFID ska inte få inkräkta på den personliga integriteten RFID eller radiofrekvensidentifiering är en teknik som gör det möjligt att på avstånd läsa information som lagras i minneskretsar. En RFID-krets kan vara mindre än ett riskorn och tekniken används i allt från elektroniska biljetter i kollektivtrafiken till beröringsfria nycklar i bostadshus. Globalt såldes under förra året 2,2 miljarder RFID-etiketter för användning i exempelvis betalstationer eller identifiering av transportförpackningar. Världsmarknaden för RFID-etiketter uppskattas ha uppgått till 4 miljarder euro under 2008 och bedöms växa till omkring 20 miljarder euro fram till Smarta chips är en lovande teknik för framtiden och kan förenkla livet på alla möjliga sätt. Vi talar om vardagliga föremål som plötsligt blir intelligenta genom att anslutas till ett nät och utbyta uppgifter. Det finns uppenbara ekonomiska vinster av att använda små, smarta chips för kommunikation mellan föremål. Men konsumenterna får aldrig överrumplas av den nya tekniken, säger Viviane Reding som är EU-kommissionär med ansvar för informationssamhället och medierna. EU-kommissionen har under 2009 tagit fram rekommendationer till branschen för hur RFID-tekniken ska användas. Syftet är att konsumenterna i Europa ska kunna vara säkra på att införandet av ny teknik som rör personuppgifter inte inkräktar på deras personliga integritet. Rekommendationerna i korthet: Konsumenter bör få veta om de produkter de köper i affärer använder smarta RFID-kretsar. När Integritetsåret 2009 Datainspektionen 51

51 Inspektioner av stora statliga myndigheter visar att det finns brister i hanteringen av skyddade personuppgifter och brister i kontrollen av hur anställda kommer åt personuppgifter. I december skickar Datainspektionen ett brev med information om de viktigaste slutsatserna från inspektionerna till cheferna på ett hundratal myndigheter. Regeringen tillsätter en utredning som ska lämna förslag till hur antidopningsverksamheten ska utformas i framtiden. Ett effektivt arbete mot dopning inom idrotten inbegriper ett flertal moment som kan innebära risk för att den enskildes personliga integritet kränks, står det i direktiven för utredningen. Utredningen ska redovisas senast 29 oktober de köper produkter med RFID-kretsar bör dessa avaktiveras automatiskt, omedelbart och gratis vid försäljningsstället, såvida konsumenten inte uttryckligen väljer att RFID-kretsen ska fortsätta att vara aktiv. Företag och myndigheter som använder RFID-kretsar bör ge konsumenterna tydlig och enkel information så att dessa vet när deras personuppgifter används, vilken typ av uppgifter som insamlas och för vilket syfte. Företagen och myndigheterna bör också se till att den utrustning som avläser information från smarta chips är tydligt märkt. En gemensam europeisk symbol bör användas som anger att en produkt innehåller en RFID-krets. Företag och myndigheter bör innan de använder RFID-kretsar bedöma hur dessa påverkar den personliga integriteten och skyddet av personuppgifter. Dessa bedömningar bör ses över av nationella dataskyddsmyndigheter som Datainspektionen. Nyhetsbrev Fortsätt att följa vad som händer på integritetsområdet. Beställ en prenumeration på vårt nyhetsbrev på www. datainspektionen.se 52 Integritetsåret 2009 Datainspektionen

52 Vill du veta mer om integritetsfrågor? På Datainspektionens webbplats kan du läsa mer om integritetsfrågor och ladda ner eller beställa informationsmaterial. Där kan du också beställa en prenumeration på Datainspektionens tidskrift Magazin DIrekt och vårt nyhetsbrev. Integritetsåret 2009 Datainspektionen 53

53 Datainspektionen Datainspektionen är en myndighet som arbetar för att behandlingen av personuppgifter i samhället inte ska medföra otillbörliga intrång i enskilda människors personliga integritet. Ansvarsområdet omfattar framförallt personuppgiftslagen, inkassolagen och kreditupplysningslagen. Datainspektionen gör inspektioner och hanterar klagomål från enskilda medborgare samt tar fram vägledningar och ger synpunkter på utredningar och lagförslag. Datainspektionen har också en omfattande informationsverksamhet, vi utbildar, svarar på frågor och ger stöd till personuppgiftsombud. Kontakta Datainspektionen E-post: [email protected] Webb: Tfn Postadress: Datainspektionen, Box 8114, Stockholm.