FRÅN DATAINSPEKTIONEN #4/2003 VAD MENAR EG-DOMSTOLEN?

Transkript

1 FRÅN DATAINSPEKTIONEN #4/2003 Nyfikna riskerar åtal FORSKARE GÖR JÄTTESAMKÖRNING FORSKARE SKA SAMKÖRA KÄNSLIGA UPPGIFTER OM 6,5 MILJONER SVENSKAR. EN DELSTUDIE STRED MOT PUL OCH STOPPADES. SID. 6 VAD MENAR EG-DOMSTOLEN? NÄR ÄR UPPGIFTER ÖVERFÖRDA TILL TREDJE LAND? EFTER ÅR AV GRUBBEL HAR EG-DOMSTOLEN LÄMNAT ETT KRYPTISKT BESKED. SID. 8 OMBYTTA NAZIDOMAR TINGSRÄTTEN DÖMDE X TILL FÄNGELSE FÖR BROTT MOT PUL, MEN FRIKÄNDE Y. HOVRÄTTEN FRIADE X, MAGAZIN DIREKT #4/ MEN FÄLLDE Y FÖR BROTT MOT DATALAGEN. SID. 10

2 I samband med mordet på Anna Lindh gjorde mer än 300 poliser registerslagningar på 35-åringen och 24-åringen. Men poliser och andra offentliganställda får bara söka fram uppgifter som de behöver i tjänsten. Den som tittar enbart av nyfikenhet begår ett brott, dataintrång, och det är straffbart. Nyfikna riskerar åtal NÄR LARMET OM 35-ÅRINGEN gick, behövde många poliser söka i de sekretesskyddade registren. Loggarna visar att 266 poliser i hela landet gjorde sökningar, men det är tveksamt om alla dessa verkligen hade legitima skäl att göra registerslagningar. När 24-åringen blev aktuell var det 50 personer som gjorde sökningar. För att se om det har förekommit något olagligt har polisen nu startat en internutredning där man går igenom loggarna och kontrollerar alla sökningar. Undersökningen kommer att ta ett par månader, men redan har flera fall lämnats till åklagare som har startat några förundersökningar som kan leda till åtal. ÄVEN VÅRDPERSONALENS sökningar loggas. På S:t Görans psykakut har ett stort antal personer läst 24-åringens journal. En kontroll visade att några obehöriga hade varit inne och tittat. Händelsen är polisanmäld och utreds. Åklagare har inlett en förundersökning mot en anställd vid Karolinska sjukhuset som misstänks för att obehörigt ha läst Anna Lindhs journal. Det är inte ovanligt att nyfikenhet lockar till dataintrång. Oftast är det poliser och sjukvårdspersonal som fastnar i kontroller, men det behöver inte betyda att de är nyfiknare än andra, däremot fungerar och kontrolleras! loggarna bäst inom polisen och vården. NÅGRA EXEMPEL på dataintrång, hämtade ur det senaste årets pressklipp: En polisman dömdes av Göteborgs tingsrätt till villkorlig dom och dagsböter för dataintrång och urkundsförfalskning. Han hade gjort 96 sökningar i polisens register under en period när han var helt sjukskriven. Dessutom hade han gjort en falsk kopia av sin egen polislegitimation. Egentligen skulle brotten ge fängelse sa tingsrätten, men straffet mildrades eftersom polisen i och med domen förlorade sitt jobb. (Källa: TT) En kriminalinspektör vid Stockholmspolisen gjorde en liten industri av sina dataintrång. Han gjorde totalt registersökningar på tusentals personer och sålde informationen. Tillsammans med en kompanjon, som senare dömdes för bedrägerier, drev han ett säkerhetsföretag som utredde intern brottslighet på företag och kollade upp anställdas vandel. Han åtalades för dataintrång, tjänstefel och brott mot tystnadsplikten. Åklagaren krävde ett års fängelse, men påföljden stannade på 100 dagsböter eftersom polisen hade sagt upp sig från sin tjänst. Nu ägnar han sig på heltid åt sitt företag. (Källor: SvD och DN) 2 MAGAZIN DIREKT #4/2003

3 En anställd på Försäkringskassan sades upp från sin tjänst för att han hade gjort registerslagningar för privat bruk. Bl.a. hade han sökt fram uppgifter om personer som var inblandade i en process mot honom. Mannen dömdes också för dataintrång till 50 dagsböter. (Källa: Vestmanlands Läns Tidning) En polisman i Norrland försökte inleda ett förhållande med en kvinna och sökte information om henne i polisens register. Han dömdes till 60 dagsböter och skulle också betala kronor i skadestånd till den kränkta kvinnan. (Källa: Västerbottens-Kuriren) Föreningssparbanken köper sin datasupport från ett företag. En anställd vid företagets helpdesk som hade tillgång till bankens datasystem tog ut kontoutdrag på ett antal privatpersoner (behörigheten sträckte sig dock inte så långt att han kunde flytta pengar). Mannen avskedades när tilltaget upptäcktes. (Källa: Östersundsposten) En civilanställd kvinna hos polisen i Östergötland som tog fram uppgifter om fyra anhöriga i belastnings- och misstankeregistren dömdes till 50 dagsböter för dataintrång. En annan civilanställd i Sörmland dömdes till 30 dagsböter för två otillåtna registersökningar. (Källa: Östgöta-Correspondenten) En skattehandläggare som vid 25 tillfällen tog fram sekretessbelagda uppgifter ur Riksskatteverkets register om personer han inte hade i uppgift att granska, dömdes till 60 dagsböter för dataintrång. (Källa: Mitt Södermalm) En kriminalkommissarie blev uppsagd från sin lägenhet när fastigheten bytte ägare. Då gjorde han flera slagningar i polisens register på den nye ägaren och hans flickvän. Även en underlydande kriminalinspektör och kommissariens dotter som var civilanställd inom polisen sökte fram information i registren. För att motivera slagningarna skrev kriminalinspektören en falsk rapport om ett anonymt telefonsamtal där fastighetsägarna pekades ut för spritförsäljning. Alla tre åtalades för dataintrång, inspektören dessutom för grovt osant intygande. (Källa: Expressen) Två skattehandläggare i Östergötland låg i skilsmässa, mannen hade träffat en ny kvinna. Ex-hustrun, en väninna till henne och mannen själv gjorde totalt 120 slagningar i skattemyndighetens register. De hämtade information både om den nya kvinnan och om varandra. Handläggarna dömdes till böter. (Källor: Aftonbladet och Metro) DET ÄR INTE ALLTID som olovliga registerslagningar leder till påföljder. När integrationsminister Leif Blomberg vårdades och senare avled på Sahlgrenska sjukhuset i Göteborg, visade en utredning att 26 obehöriga hade tittat i hans datajournal. Som ett pilotfall åtalades en sjuksköterska. Hon fälldes i tingsrätten men friades i hovrätten, som godtog hennes förklaring att slagningen var ett led i hennes studier av hur man skriver journaler. De övriga 25 slapp därefter åtal. (DIrekt 2/02). ETT ANNORLUNDA FALL av påstått dataintrång: På Helsingborgs lasarett satt en anställd på sitt rum och arbetade tillsammans med sin chef när det kom ett e-brev till den anställde. Man hade tidigare upptäckt att personal på en annan avdelning hade hämtat porrbilder från nätet. E-brevet kom från den avdelningen och chefen misstänkte att det innehöll porrbilder. Den anställde beordrades att öppna brevet, men vägrade eftersom han menade att brevet var privat. Då öppnade chefen själv brevet, som innehöll 7 porrbilder. Kommunalarbetareförbundet anmälde händelsen till Datainspektionen. Man ansåg att chefen hade gjort sig skyldig till dataintrång och kränkt den anställdes personliga integritet. Datainspektionen gjorde tillsyn. I beslutet (dnr ) konstaterades att det är arbetsgivaren som bestämmer hur utrustningen på arbetsplatsen får användas. Det bör finnas tydliga regler för vad som gäller och arbetsgivaren har rätt att kontrollera att reglerna följs. De anställda måste informeras om reglerna och vilka kontroller som kan göras. Helsingborgs lasarett hade börjat utforma sådana regler. Ärendet avskrevs. 14 PuL-utbildningar i vår! Höstens försök med fördjupningsseminarier för personuppgiftsombuden slog väl ut. I vår anordnar vi ytterligare sju seminarier i Stockholm, Göteborg, Malmö och Umeå (seminarierna är omdöpta till Steg 2). Tre riktar sig till offentliga sektorn, två till privat verksamhet och två är kombinerade. I samma städer anordnar vi också fem grundseminarier för personuppgiftsombud (de kallas nu Steg 1). Slutligen: för dig som inte är ombud, men ändå behöver grundläggande kunskaper om PuL:s innehåll och tillämpningsområde håller vi två grundkurser i Stockholm. Totalt alltså 14 utbildningstillfällen! Vi har noterat att personuppgiftsombuden ofta har ett nära samarbete med verksjuristen, kommunjuristen eller motsvarande. Därför är även juristen välkommen på ombudens seminarier. Så här ser planerna för våren ut. Program och mer information på där du också kan anmäla dig. Seminarier för personuppgiftsombud 27 januari Stockholm (Steg 1) 17 februari Umeå (Steg 1) 18 februari Umeå (Steg 2, offentlig + privat) 9 mars Stockholm (Steg 1) 16 mars Stockholm (Steg 2, offentlig) 23 mars Stockholm (Steg 2, privat) 31 mars Stockholm (Steg 2, offentlig) 27 april Malmö (Steg 1) 28 april Malmö (Steg 2, offentlig + privat) 11 maj Göteborg (Steg 1) 12 maj Göteborg (Steg 2, offentlig) 13 maj Göteborg (Steg 2, privat) PuL-kurser, öppna för alla 29 januari Stockholm 10 februari Stockholm MAGAZIN DIREKT #4/2003 3

4 Historien om Datainspektionens första 30 år handlar till stor del om datalagen, som var den helt dominerade uppgiften i 28 år, fram till oktober 2001 när den slutligen ersattes av PuL. Genom åren har fyra utredningar försökt ta fram en modernare lag. Datainspektionen Datainspektionen inrättas som en central tillstånds- och tillsynsmyndighet med huvuduppgift att övervaka världens första nationella datalag som börjar gälla den 1 juli. Bakgrunden till lagen är att man har börjat oroa sig för hur de nya stordatorerna kan användas för att sammanställa information om enskilda personer. Den ursprungliga datalagen föreskriver att inga dataregister med personuppgifter får inrättas och föras utan tillstånd av Datainspektionen. Man hade beräknat att det fanns personregister i Sverige, men redan första året får Datainspektionen ansökningar om tillstånd Datainspektionen blir tillstånds- och tillsynsmyndighet enligt de nya kreditupplysnings- och inkassolagarna, som reglerar branscher där dataregister har börjat användas i stor omfattning Datalagstiftningskommittén (DALK) arbetar med en översyn av datalagen. Målet är att ersätta den med en generell personregisterlag. Men man kan inte enas och kommittén upplöses efter åtta år. Ett antal ändringar i datalagen genomförs dock Okänsliga register som kund-, löne- och medlemsregister undantas från datalagens tillståndskrav. En licens för personregister införs. Licensavgifterna ska finansiera Datainspektionens verksamhet Data- och offentlighetskommittén (DOK) utreder integritetsskyddet i informationssamhället. Resultatet blir bland annat att en ny regel i Regeringsformen om den enskildes rätt till personlig integritet vid dataregistrering. DOK lämnar också förslag till reglering av personnummer i dataregister Ytterligare en utredning, Datalagsutredningen, gör en bred översyn av datalagen. Utredningens förslag genomförs inte, då regeringen vill invänta arbetet med ett EG-direktiv om dataskydd talet Användningen av datorer i hemmen ökar. Vad som uppfattas som hot mot den personliga integriteten förskjuts från myndigheternas centrala register till enskildas behandling av personuppgifter, särskilt på Internet. Debatten handlar om motsättningen mellan skydd för enskildas person- liga integritet och andra enskildas rätt att fritt få yttra sig på Internet Särskilda regler för personnummer förs in i datalagen. En senare utredning föreslår att personnummeranvändningen ska regleras i en särskild lag, men så blir det inte. Reglerna i datalagen har överförts till PuL EU:s dataskyddsdirektiv (95/46 EG) antas. Medlemsländerna får tre år på sig att införa det i den nationella lagstiftningen. Ännu en utredning, Datalagskommittén, arbetar fram ett förslag till personuppgiftslagen, PuL, som ska ersätta datalagen PuL träder i kraft. Licenserna det har blivit stycken slopas och finansieringen med licensavgifter ersätts med statsanslag. Men den gamla datalagen gäller i ytterligare tre år för register och tillstånd som redan finns. I praktiken innebär det att datalagen fortfarande är helt dominerande En dom i Högsta Domstolen tolkar begreppet journalistiska ändamål i PuL så att det kan sägas omfatta de flesta debattinlägg som förekommer på Internet. (PuL gäller inte när personuppgifter behandlas för journalistiska ändamål) I oktober börjar PuL börjar gälla fullt ut och ersätter efter 28 år den gamla datalagen. Alla gamla tillstånd upphör att gälla. Den som behandlar personuppgifter får ett större ansvar för att behandlingen är laglig. Samtycke och information till de registrerade får en central roll. Datainspektionens arbete koncentreras på tillsyn, information och utbildning. Genom att övriga EU- och EES-länder också har lagstiftning som är baserad på direktivet, ökar Datainspektionens internationella arbete i olika samarbetsgrupper markant Utredning om Datainspektionens verksamhet och finansiering. Resultatet blir inga stora förändringar EG-domstolen granskar en svensk webbsajt som är utlagd av en privatperson och slår fast att den omfattas av dataskyddsdirektivet. Men man anser inte att de personuppgifter som har publicerats på sajten därmed har lämnats ut till länder som saknar godkänt dataskydd. 4 MAGAZIN DIREKT #4/2003

5 I BÖRJAN AV DECEMBER firades 30-årsjubileet med ett integritetsseminarium. De inbjudna talarna, norska Datatilsynets direktör Georg Apenes och författaren Anders R Olsson, tog båda upp den ökade kontrollen och övervakningen och den förskjutning i balansen mellan säkerhet och integritetsskydd som har kommit efter den 11 september APENES PEKADE PÅ att nio av tio initiativ till ökad säkerhet i Norge nu kommer utifrån; från handelspartners och allierade, främst är det USA och EU som definierar mål och medel. Det begränsar möjligheterna att närma sig säkerhetsfrågorna utifrån norska traditioner och norsk kultur. Nu försöker man ofta fånga hajar med räktrål, men får bara upp oskyldig småfisk. OLSSON MENAR att det är ett grundläggande fel är att söka tekniska lösningar på något som egentligen är mänskliga eller samhälleliga problem; sådana försök till lösningar fungerar inte. Det finns en växande medborgarrättsrörelse i USA, men aktivisterna gör självmål när de koncentrerar sin kritik på integritetsskyddet vid kontroll och registrering. Därmed sanktionerar de indirekt de tekniska lösningarna. I stället borde de lägga fokus på att tekniken helt enkelt inte fungerar. OLSSON AVSLUTADE med att ställa frågan: Vad bör Datainspektionen göra i framtiden? Han anser att Datainspektionen idag förväntas rycka ut när det redan är för sent. Den ska inspektera verksamhet som bedrivs med redan etablerade tekniska system och beivra brott som redan har begåtts, och det med stöd i ett EU-direktiv som var passé långt innan det skrevs. Dagens separata integritetsskyddslagar är orimliga eftersom integriteten är sammanflätad med samhället och människan. En av Datainspektionens framtida uppgifter bör vara systematisk kunskapsuppbyggnad, en slags tankesmedja som både följer forskning som är relevant för integritetsproblematiken och den tekniska utvecklingen som sådan. Detta behöver studeras, analyseras, och informeras om. En framtidsinriktad verksamhet, alltså. Integritetsfrågorna drivs inte politiskt någonstans i världen. Sverige var först med en datalag, nu är det dags att vara först igen! Porrinkasso stoppad Under året har Datainspektionen fått hundratals klagomål från personer som har fått inkassokrav från inkassoföretaget Persolvo. Kraven har rört dyra besök på porrsidor på Internet. Nu anser inte Datainspektionen längre att inkassoverksamheten kan bedrivas på ett sakkunnigt och omdömesgillt sätt. Från den 2 december 2003 har Persolvo inte längre tillstånd att bedriva inkassoverksamhet. I början av året skickade Persolvo ut tusentals inkassokrav med samma grund för fordran: besök på betalsidor med porrbilder på Internet. Trots flera hundra klagomål från enskilda som förnekade att de hade besökt sådana sajter, undersökte inte Persolvo grunden för fordringarna. I maj kritiserade Datainspektionen detta och krävde att bolaget i fortsättningen noga skulle pröva om en fordran var lagligen grundad innan man vidtog inkassoåtgärder. Persolvo fortsatte dock att sända ut inkassokrav. I dessa stod att läsa att man på Datainspektionens uppmaning hade drivit ett pilotfall i Malmö Tingsrätt och att personen i det fallet hade dömts att betala. Men Datainspektionen ansåg att domen inte var representativ, eftersom den dömde hade medgivit att han hade besökt porrsidor på Internet och att han hade varit införstådd med att det kostade pengar. På Datainspektionens uppmaning togs hänvisningen till domen bort, men den ersattes av en annan text: Fordran är fastställd genom slutbevis/utslag " Datainspektionen ansåg att även den texten var vilseledande. I ett beslut (dnr ) skriver Datainspektionen att det finns en stor osäkerhet kring grunden för de fordringar som Persolvo har i uppdrag att driva in. Trots det stora antalet klagomål, uppmärksamhet i massmedia och avsaknad av vägledande avgöranden har Persolvo fortsatt att skicka ut mängder av inkassokrav. Dessutom saknas s.k. gäldenärsjournaler, ersättning för skriftlig betalningspåminnelse krävs utan grund m.m. Därmed har man brutit mot god inkassosed. Datainspektionen har inte skäl att anta att verksamheten i fortsättningen skall bli bedriven på ett sakkunnigt och omdömesgillt sätt. Från och med den 2 december 2003 har Persolvo inte längre tillstånd att bedriva inkassoverksamhet. Persolvos största uppdragsgivaren i dag är Harrys Expo Ltd, som är registrerad i England. Även det bolaget driver in fordringar som gäller uppkoppling mot porrsidor på Internet. Datainspektionen har fått ca 200 klagomål angående inkassokrav från Harrys Expo Ltd. och har ett pågående tillsynsärende mot bolaget. MAGAZIN DIREKT #4/2003 5

6 Forskare samkör uppgifter om 6,5 miljoner svenskar Känsliga uppgifter om 6,5 miljoner svenskar kommer att samköras i ett forskningsprojekt för ta reda på om boendemiljön påverkar hälsan. Datainspektionen har beslutat hur personuppgifterna får behandlas. En delstudie stoppas eftersom den strider mot PuL. KAROLINSKA INSTITUTET står bakom två forskningsprojekt med samlingsnamnet Bostadsområde och hälsa. Mängder av uppgifter från centrala register hos Statistiska Centralbyrån (SCB), Socialstyrelsen (SoS) och Riksförsäkringsverket (RFV) ska samköras för att undersöka sambandet mellan vissa sjukdomar och var man bor. En databas ska byggas upp som omfattar i stort sett hela Sveriges vuxna befolkning med uppgifter om kön, ålder, civilstånd, utbildning, inkomst, data från folk- och bostadsräkningen, datum för invandring, födelseland, diagnoser (öppen / slutenvård), labdata, sjukskrivning och dödsorsak. DE UPPGIFTERNA ska kombineras med vilket SAMS-område personerna bor i (SAMS, Small Area Market Statistics, är en indelning av bostadsområden efter socioekonomisk sammansättning, ett par tusen invånare per område) och slutligen de geografiska koordinaterna för bostaden med en noggrannhet på 10 meter eller mindre. 6 MAGAZIN DIREKT #4/2003

7 Behandling av alla dessa data ska göra det möjligt att särskilja bostadsområdets effekter på hälsan från de effekter som beror på individuella faktorer. Det fanns inga planer på att informera de registrerade om projektet eller hämta in deras samtycke. PROJEKTEN HAR GRANSKATS av Karolinska institutets forskningsetikkommitté Syd, som har godkänt dem ur etisk synvinkel, men inte tagit ställning till behandlingen av personuppgifter. Nu har Datainspektionen har granskat den hantering av personuppgifter som var planerade inom ramen för projekten. I den delen har Datainspektionens styrelse fattat beslut (dnr ). BESLUTET INNEBÄR bland annat att: En föreslagen fördjupad studie av södra Storstockholm strider mot PuL och är inte laglig. I studien skulle man behandla känsliga uppgifter från öppenvården om individer utan att personerna skulle tillfrågas, få information eller ha rätt att bli strukna ur databasen. Uppgifterna skulle inte kodas eller krypteras. Uppgifter om geografiska koordinater får behandlas under förutsättning att de registrerade informeras. Koordinaterna är så preciserade att det går att knyta andra känsliga uppgifter i databasen till en viss geografisk punkt och därmed blir det möjligt att bakvägen identifiera t.ex. vem som har en viss sjukdomsdiagnos. Forskarna får dock enbart kodade data och kodnyckeln sparas hos SCB. Datainspektionen anser att uppgifterna ska få behandlas eftersom studierna är så viktiga och att samhällsintresset väger över de registrerades intresse av integritetsskydd. Uppgifterna från SCB och SoS får lämnas ut med stöd av lagen (2001:99) om dem offentliga statistiken. Då krävs ingen information till de registrerade. Uppgifterna från RFV kan lämnas ut enligt samma lag om de hämtas från myndighetens statistikregister och inte från ärendehanteringssystemet. Även här får forskarna enbart kodade data och kodnyckeln sparas hos SCB. Datainspektionen anser att uppgifterna ska få behandlas eftersom samhällsintresset väger över de registrerades intresse av integritetsskydd. Vissa detaljerade säkerhetsföreskrifter som anges i beslutet om bland annat behörighet och kryptering måste följas. Beslutet att inte tillåta den fördjupade studien har överklagats till Länsrätten i Stockholm. VID UNIVERSITETSSJUKHUSET i Lund har ett liknande projekt påbörjats, men det rör enbart Skåne och handlar om hur människor påverkas av förändringar i miljön, t.ex. trafikbuller eller luftföroreningar från industrier. Även här använder man geografiska koordinater som sambearbetas med data om var folk bor och arbetar samt fakta från slutenvårdsregister, cancerregister och dödsorsaksregister. Uppgifterna ska kombineras med miljödata från länsstyrelsen. Projektet är godkänt av en forskningsetisk kommitté som också har tagit ställning till behandlingen av personuppgifter och kommit fram till att samhällsintresset överväger. Man har krävt att forskarna ska informera om projektet i skånska dagstidningar och enskilda ska kunna säga nej till medverkan i projektet, s.k. strykningsrätt. Datainspektionen har korresponderat med projektledningen (dnr ). Nya regler för etisk prövning De båda projekten ovan har granskats enligt gällande lag. Den 1 januari 2004 kommer nya, enklare regler. Idag finns det fyra möjligheter när känsliga personuppgifter ska behandlas i en forskningsstudie: 1. Om studien inte är prövad och godkänd av en forskningsetisk kommitté och känsliga personuppgifter ska registreras utan samtycke, måste det anmälas till Datainspektionen för förhandskontroll. 2. Om en forskningsetisk kommitté har godkänt studien men inte tagit ställning till behandlingen av känsliga personuppgifter och de registrerade inte har lämnat sitt samtycke, måste en anmälan för förhandskontroll lämnas till Datainspektionen innan studien påbörjas. Så var det i projektet Bostad och hälsa. 3. Om en forskningsetisk kommitté har godkänt en studie där inga uppgifter om genetiska anlag ska behandlas och kommittén har tagit ställning till behandlingen av känsliga personuppgifter, är studien utan vidare godkänd enligt PuL. Den behöver inte anmälas till Datainspektionen. Så var det i det skånska projektet. 4. Om uppgifter om genetiska anlag ska behandlas, måste studien alltid anmälas till Datainspektionen för förhandskontroll, dvs. även om en forskningsetisk kommitté har godkänt behandlingen av personuppgifter. Den 1 januari 2004 träder lagen (2003:460) om etikprövning av forskning som avser människor i kraft. Den nya lagen säger bl.a. att en nämnd för forskningsetik alltid ska pröva forskning som innebär att känsliga personuppgifter behandlas utan samtycke. Nämnden ska alltid ta ställning till personuppgiftsbehandlingen. Studier där genetiska uppgifter behandlas måste anmälas till Datainspektionen för förhandskontroll. Det innebär att punkterna 1 och 2 ovan försvinner, medan 3 och 4 fortfarande gäller. Den nya lagen medför en ändring i 19 PuL, där ett nytt stycke har tillkommit som säger att känsliga uppgifter får behandlas för forskningsändamål om behandlingen har godkänts enligt den nya lagen om etikprövning. Ersättningsbeloppen i förordningen (1991:1340) om ersättning för kostnader i mål om betalningsföreläggande eller handräckning hos kronofogdemyndighet har ändrats i SFS 2003:577 som trädde i kraft den 1 oktober Ersättning till sökanden för eget arbete med anledning av målet samt arvode till ombud eller biträde: Högst 340 kronor i mål om betalningsföreläggande och 375 kronor i mål om handräckning (om det inte finns särskilda skäl för högre ersättning). Ersättning till svaranden för eget arbete med anledning av målet samt arvode till ombud eller biträde: Högst 375 kronor (om det inte finns särskilda skäl för högre ersättning). Datainspektionen har ny webbplats! Med en förbättrad struktur, ännu mer information och en ny form hoppas vi underlätta för våra besökare. Webbplatsen är också ett första steg i Datainspektionens omvandling till 24-timmarsmyndighet. Adressen är som tidigare Välkommen! MAGAZIN DIREKT #4/2003 7

8 Vad menar dom stolen egentligen? En kvinna bötfälldes för sin webbpresentation av några anställda i ett pastorat i Småland. Fallet hamnade i EG-domstolen som nu har lämnat ett utlåtande. På ett par punkter bringas klarhet, men ett svar är kryptiskt: När är egentligen uppgifter överförda till tredje land? Och vem lämnar ut dem? FÖR DRYGT FEM ÅR SEDAN, i november 1998, gjorde en kvinna en webbpresentation av några kollegor i en församling i Småland. Presentationerna, som var hållna i jagform men utan personernas samtycke, länkades till Svenska Kyrkans webbplats. Kvinnan fick kritik för tilltaget och för att rentvå sig anmälde hon sig själv till polisen. Eksjö tingsrätt dömde henne till böter för tre brott mot PuL. Hon hade: (se DIrekt 2/02). Efter två års grubbel har nu domstolen lämnat ett s.k. förhandsavgörande med följande synpunkter. 1. Direktivet är tillämpligt på behandlingen (vilket är helt i linje med tingsrättsdomen och svensk praxis). Alltså gäller PuL. Försvaret hade hävdat att undantaget i PuL för uteslutande privat bruk skulle gälla, men så var det alltså inte. Här behöver inte Sverige ändra sin praxis, men däremot flera andra EU 1. Behandlat personuppgifter utan att anmäla detta till länder, bl.a. Danmark och UK och även Norge som tidigare har Datainspektionen undantagit s.k. privata webbplatser från sina dataskyddslagar. 2. Utan samtycke behandlat känsliga uppgifter om hälsa 2. Känsliga uppgifter har behandlats i strid mot direktivet. Även (en sedermera riksbekant vrickad fot med påföljande sjuk- detta stämmer överens med tingsrättsdomen och svensk praxis. skrivning) 3. EG-domstolen anser att publiceringen inte innebär att 3. Genom publiceringen utan samtycke lämnat ut uppgifterna till tredje land (land utanför EU/EES området) DOMEN ÖVERKLAGADES till Göta Hovrätt som i sin tur skickade ett antal frågor till EG-domstolen i Luxemburg för att få prövat om PuL är förenlig med EU:s dataskyddsdirektiv uppgifter har överförts till tredje land. Detta går emot tingsrättsdomen och svensk praxis, som hittills har varit att publicering på Internet innebär publicering i hela världen, alltså även i tredje land. Dock betonar EG-domstolen att svaret bara gäller för det aktuella fallet, och det vållar tolkningsproblem. Den dömda kvinnan hade nämligen länkat Fem års grubbel November 1998 Sajten öppen ett par veckor, därefter polisanmälan Februari 2001 Göta hovrätt beslutar att fråga EG-domstolen September 2002 Generaladvokatens förslag i EG-domstolen Juni 2000 Dom i Eksjö tingsrätt Domen överklagas April 2002 Muntlig förhandling i EG-domstolen 8 MAGAZIN DIREKT #4/2003

9 Misstänkt lönefusk kontrollerades i smyg KORTFATTAT Landstinget i Norrbotten misstänkte fusk med löner och arbetstider vid Sunderby sjukhus. Arbetsledarna skulle ha beviljat ersättning för falsk övertid. Personalläget var ansträngt och man ville locka sjuksköterskor och undersköterskor att arbeta mer. Landstinget anlitade en revisionsbyrå för att reda ut situationen. Byrån kontrollerade tidredovisningen genom att jämföra uppgifter från: lönesystemet (arbetsscheman och flextidrapporter) sjukhusets låssystem man kan se vem som har öppnat en dörr och vid vilken tidpunkt sina webbsidor till Svenska Kyrkans server för vidare befordran ut i världen. Domstolens utslag gäller alltså och detta påpekas noga information som länkas till en server i ett EU/EES-land. Det framgår inte om serverns ägare kan anses ha lämnat ut uppgifterna till tredje land, inte heller vad som gäller om servern finns i tredje land. Det hade nämligen inte hovrätten frågat om. SÅ NU RYNKAS pannorna på dataskyddsmyndigheterna runt om i EU. Hur ska beskedet tolkas? I Sverige väntar vi närmast på den pågående översynen av PuL, som har inväntat det här yttrandet och som senast den 15 mars ska redovisa sitt förslag till ändringar i PuL. Förhoppningsvis med klara besked om vad som gäller för utlämnande till tredje land. PÅ GRUNDVAL av de här beskeden ska nu Göta Hovrätt överpröva den överklagade tingsrättsdomen. Utslaget ska komma under våren. Förutom de tre punkterna ovan ska man ta ställning till om tingsrättens dom strider mot yttrandefriheten. Den frågan ställdes också till EG-domstolen, som valde att bolla tillbaka den till den svenska rättsskipningen. November 2003 EG-domstolens beslut om förhandsbesked Våren 2004? Dom i Göta hovrätt loggarna i det vårdadministrativa systemet Vårdfacket anmälde kontrollerna till Datainspektionen, som öppnade tillsyn. I ett yttrande hävdade landstinget att kontrollerna var förenliga med ändamålen för de tre systemen. Lönesystemet ska säkerställa att rätt lön utbetalas, låssystemet ska minska risken för förlust av landstingets egendom och de anställda hade informerats att loggarna kunde användas för utredning. I sitt beslut (dnr ) skrev Datainspektionen att det enligt PuL aldrig är tillåtet för en arbetsgivare att behandla uppgifter om arbetstagare i smyg. De anställda måste informeras om vilka uppgifter om dem som samlas in och vad de ska användas till. När en arbetsgivare samlar in uppgifter om sina anställda, måste ändamålet vara tydligt bestämt redan vid insamlingen. Det räcker inte att säga att uppgifterna kan komma att användas vid kontroller, det måste också framgå vilka kontroller och syftet med dem. I det aktuella fallet kan lönesystemet få användas för att kontrollera att rätt lön betalas ut, däremot är kontroll inte förenligt med ändamålen för de båda andra systemen. Insamlingen av uppgifter från två av systemen stred alltså mot PuL. När det gäller själva behandlingen av personuppgifterna, fick däremot landstinget ingen anmärkning. Vid en intresseavvägning enligt PuL väger landstingets intresse av att kontrollera sina utbetalningar tyngre än de registrerades intresse av integritetsskydd, menade Datainspektionen. Ett utomstående bolag behandlade personuppgifter för landstingets räkning. Bolaget blev därmed personuppgiftsbiträde och då skulle det finnas ett skriftligt avtal som reglerar behandlingen. Ett sådant avtal saknades. I sitt yttrande skrev landstinget att man nu ska klarlägga ändamålen med registreringen av uppgifter om de anställda och ta fram en rutin för att informera om detta. Dessutom ska man upprätta ett skriftligt avtal nästa gång man anlitar ett personuppgiftsbiträde. Datainspektionen nöjde sig med dessa löften och avslutade ärendet. MAGAZIN DIREKT #4/2003 9

10 Två högerextremister hade fört ett register över meningsmotståndare. Tingsrätten dömde den ene till tre månaders fängelse för grovt brott mot PuL, medan den andre frikändes. Nu har hovrätten ändrat domarna så att den ene friades medan den andre dömdes till dagsböter för brott mot datalagen(!) Ombytta nazidomar NÄR SÄPO gjorde husrannsakan hos den kände nazist som 1999 dömdes för mordet på fackföreningsmannen Björn Söderberg fann man i en dator ett register med uppgifter om personer: foto, namn, personnummer, adress, telefonnummer och även etniskt ursprung, politisk tillhörighet och sexuell läggning. Speciella beteckningar användes, exempelvis j för jude, sva för svartskalle och röding för vänstersympatisör. Polisen fann också korrespondens per e-post som ledde till de åtalade, den ene bosatt i Skåne, den andre i Göteborg. Bearbetade kopior på registret togs i beslag hos dem år SKÅNINGEN HADE FÅTT registret 1998 och året därpå sände han en cd med registret till göteborgaren som arbetade med kompletteringar tills registren beslagtogs år Helsingborgs tingsrätt menade att göteborgarens behandling reglerades av PuL dömde honom till tre månaders fängelse för grovt brott mot PuL. Skåningen, däremot, hade börjat bearbeta materialet innan PuL trädde i kraft och därför skulle hans brott bedömas enligt datalagen. Brottet mot datalagen var att han hade registrerat känsliga uppgifter utan licens och tillstånd. PuL, som nu har tagit över efter datalagen, innehåller inte några regler om licens och tillstånd. Därför kunde mannen inte dömas för ett sådant brott, så han frikändes helt. ENLIGT NYA VITTNESMÅL till hovrätten hade göteborgaren börjat samla in uppgifter till registret innan PuL trädde i kraft. Hovrätten godtog vittnesmålet och frikände göteborgaren eftersom det inte kunde visas att han hade fört in uppgifterna i ett personregister enligt datalagen. Däremot fälldes skåningen för att han hade lämnat ut uppgifter ur ett personregister som regleras av datalagen, trots att han borde ha insett att uppgifterna skulle behandlas i strid med lagen. Liknande bestämmelser finns i PuL, så det skulle inte leda till straffrihet eller lindrigare straff om PuL skulle tillämpas. Domen blev 150 dagsböter à 30 kronor. DE REGISTRERADE kan begära skadestånd. Tingsrätten, och nu även hovrätten, prövade ett pilotfall, en registrerad som hade begärt kronor i skadestånd. Tingsrätten hade dömt göteborgaren att betala kronor. Hovrätten frikände göteborgaren och dömde i stället skåningen att betala samma belopp. Ytterligare 300 av de registrerade har krävt skadestånd. Deras yrkande kommer att tas upp senare i särskilda civilmål. 10 MAGAZIN DIREKT #4/2003

11 INTERNATIONELLT Fritt fram för personuppgifter till Argentina Enligt EU:s dataskyddsdirektiv får personuppgifter föras över mellan länder inom EU/EES-området, dvs. de 15 EU-länderna plus Island, Liechtenstein och Norge. Dessutom får uppgifter föras över till andra länder (tredje land) om kommissionen har konstaterat att landet har en adekvat skyddsnivå för personuppgifter. I somras beslutade EU-kommissionen att Argentinas lag om skydd för personuppgifter ger en adekvat skyddsnivå. Det innebär att förbudet i PuL mot överföring av personuppgifter till tredje land inte gäller för Argentina. Kommissionens beslut finner du enklast via Datainspektionens webbplats Länkar, EU Data Protection, Adequacy of the protection Beslutet har förts in i svensk lag genom en ändring i bilagan till personuppgiftsförordningen, SFS 2003:592. Ändringen trädde i kraft den 1 november. Argentina är det femte landet utanför EU och EES som har fått sin skyddsnivå godkänd. De övriga är Kanada, Schweiz, Ungern och USA, dock med inskränkningen att skyddsnivån i USA bara är godkänd för den som är ansluten till Safe Harbor-överenskommelsen (se DIrekt 4/00). Nästa land i kön för godkännande är inte en nation i egentlig mening; det är den lilla ögruppen Guernsey i engelska kanalen, som på samma sätt som Jersey och Isle of Man har ett speciellt förhållande till UK. De är Dependencies of the Crown, vilket innebär att de inte ingår i UK som t.ex. Skottland och Wales. De är helt självständiga förutom när det gäller utrikespolitik och försvar; det sköter UK. I somras granskades och godkändes Guernseys skyddsnivå av 29-gruppen, den arbetsgrupp inom EU som ska se till att dataskyddsdirektivet tillämpas på samma sätt i alla länder. Gruppens yttrande finns på EU Data Protection, Art.29 Opinion 5/2003. Hur vill du ha i fortsättningen? På Magazinen kan laddas hem i PDF-format från vår webbplats. Prenumerera på vårt nyhetsbrev så får du ett e-brev när något nytt publiceras på vår webbplats, t.ex. ett nytt nummer av magazin DIrekt. Anmäl dig som prenumerant på Med post Vi kan också sända dig en tryckt utgåva av magazin DIrekt. Fyll i uppgifterna på kupongen här nedanför och skicka eller faxa den till oss. Du kan också e-posta uppgifterna eller anmäla dig på vår webbplats. Det är gratis! magazin DIrekt produceras av Datainspektionen, Box 8114, Stockholm Tel: (växel), (beställningar) Fax: E-post: datainspektionen@datainspektionen.se Webbplats: Layout: Datainspektionen Foto och illustration: Martin Barraud/Stone omslag och s. 2, Otto Dickmeiss s. 5 och 10, Otmar Thormann/Mira s. 6 Ansvarig utgivare: Ulf Widebäck Redaktör: Leif Stenström. ISSN JA! JAG VILL HA MAGAZIN DIREKT MED POST Brevporto SKRIV TYDLIGT! (Du behöver inte svara om du tidigare har skickat in kupongen eller om du hämtar DIrekt via Internet) Företag/myndighet/organisation:... Personnamn... Postadress... Jag medger att uppgifterna dataregistreras för administration av prenumerationen DATAINSPEKTIONEN BOX STOCKHOLM MAGAZIN DIREKT #4/

12 B PORTO BETALT Beslutets pedagogik Datainspektionen Box Stockholm STELBENT av Datainspektionen! Datainspektionen vill stoppa världen! Ett par rubriker som följde på beslutet att inte låta Uppsala läns landsting ge medborgarna tillgång till sina sjukjournaler via webben. Det vore nämligen olagligt. Vårdregisterlagen säger att bara den som behöver det för sitt arbete får ha direktåtkomst till journaler. VID EN FÖRSTA ANBLICK verkar protesterna berättigade. Alla (nästan) har ju enligt offentlighetsprincipen rätt att få ut sin journal på papper. Visst vore det fina fisken att bekvämt kunna sitta hemma och läsa och begrunda. Men den som tänker efter finner invändningar. Först sekretessen. Alla allmänna handlingar ska sekretessprövas innan de lämnas ut. Vissa journaler lämnas inte ut. Skälen för sekretess kan ändras över tiden. Har man i Uppsala hittat på ett sätt för maskinell sekretessprövning, eller sitter det en liten gubbe och trycker på en knapp? ENKEL TILLGÅNG TILL PROVSVAR var ett argument för webbjournaler. Men jag har då aldrig hört talas om någon som hämtar ut sin journal enligt offentlighetsprincipen för att läsa sina provsvar. Det är ju ofta allvarliga saker och man bävar för resultatet. Liv eller död. HIV eller cancer. Det är ingenting man ska ta emot hemma, ensam. Självklart ska en läkare meddela provsvaren. Diskutera och förklara. Vems är ansvaret om någon tar livet av sig efter ett provsvar via nätet? (Kanske missuppfattat betyder positivt bra eller dåligt?) Ja, jag hör protesterna. Självklart ska inte känsliga svar lämnas över nätet! Men hur lugnad blir den som får beskedet: Era svar får inte lämnas över nätet. Vänligen boka tid hos dr Carlsson? SÄKERHETEN. Nyss härjade en mask som kidnappade meddelanden på webben och sände dem vidare till slumpmässiga adresser. Kan man verkligen garantera att en journal inte kan kidnappas i någon server och sedan spridas? Eller att hackare inte kan ta sig in och ändra? ETT SCENARIO: Kvinna misshandlas av sin sambo. Hon lättar sitt hjärta hos doktorn som skriver in hennes berättelse i journalen. När hon kommer hem tvingar sambon av henne lösenordet, läser journalen, blir rasande och slår ihjäl henne. Vems är ansvaret? DET FINNS FLER ARGUMENT, men nu är det så att när en myndighet fattar ett beslut, så argumenterar den inte i första hand. Den kontrollerar först ärendet mot gällande regler. Kan man, som här, direkt se att det är olagligt, behöver man inte gå vidare och argumentera. Det behövs ju inte och många andra ärenden väntar. DÅ KOMMER KRITIKEN från oreflekterade journalister och andra. Här har vi ett pedagogiskt problem. Ska vi kanske börja bipacka en bunt extra argument till våra beslut: Detta är olagligt och om du inte tycker att det är tillräckligt, vill vi påpeka att Leif Stenström DATAINSPEKTIONENS INFORMATIONSCHEF NÄSTA NUMMER KOMMER I MARS. GOD JUL OCH GOTT NYTT ÅR!