75 lagar, lagförslag, beslut och händelser som

Transkript

1 Integritetsåret lagar, lagförslag, beslut och händelser som påverkade den personliga integriteten under året

2

3 Integritetsåret lagar, lagförslag, beslut och händelser som påverkade den personliga integriteten under året Datainspektionen Januari 2011 Text: Per Lövgren Form: Fredrik Karlsson Tryckt hos Intellecta infolog, i januari 2011 på Arctic Volume HighWhite. Miljömärkt trycksak

4 Innehåll Integriteten måste alltid finnas i vågskålen Årets stora samtalsämnen Google Street View...10 Sverigedemokrater hängs ut på Internet...12 Granskningen av FRA:s signalspaning...13 Brott och straff Så straffas brott mot personuppgiftslagen...15 Straff och skadestånd under året...16 Aftonbladet börjar sälja polisförhör...18 Polis glömde barnporr i tvättstugan...18 Var går gränserna på Internet? Datainspektionen polisanmäler en tredje sexbrottssajt...20 Gränser för vad som får publiceras på blogg...21 Datainspektionen lanserar sajt mot nätkränkningar...22 Sajt ansvarig för vad besökarna skriver i sina omdömen...23 Företag på Facebook ansvarar för besökarnas kommentarer...24 Kommun kan inte söka skydd bakom utgivningsbevis...25 Sörmlands landsting bryter mot lagen...25 JO bör inte publicera anmälares namn på sin webbplats...26 Fel av landsting att publicera namn på JO-anmälare...27 Korrupta tjänstemän får tåla offentlighet...27 Lagar, lagförslag och myndighetsregister Ändrad grundlag sätter fokus på integriteten...28 Nej till lagförslag som suddar ut myndighetsgränser...29 Lämna ut handlingar elektroniskt kan få oförutsedda konsekvenser...30 Polisen får inte tillgång till PKU-biobanken...31 Nej till försvarets personaldatabas...32 Trafikdatalagringsdirektivet på väg att införas i svensk lag Integritetsåret 2010 Datainspektionen

5 Utblick Europa Så här kartläggs vi EU-medborgare...34 EU tar fram strategi för skyddet av personuppgifter...36 Kameraövervakning i fokus Bättre integritetsskydd med ny kameraövervakningslag...38 Tydligare regler för kameraövervakning i hyreshus...39 Omfattande granskning av kameraövervakning...40 JO säger ja till polisens publicering av bilder på misstänkta...41 ICA-handlare lägger ut butikens övervakningsfilmer på Youtube...43 Bussbolags kameraövervakning bröt mot lagen...43 Vården, patienten och lagen Så ska smygkikandet i journaler stoppas...44 Även tandläkare måste kontrollera vilka som läser patienternas journaler...45 Bra skydd av patientuppgifter hos privata vårdgivare...46 Lagen styr vilka patientuppgifter som kan eller inte kan spärras...47 Örebro brister i informationen till länets patienter...48 Bred granskning av ungas rätt att spärra journaluppgifter...49 Skarp kritik mot nationella kvalitetsregister...49 Granskning av den omreglerade apoteksmarknaden...51 Säkrare inloggning krävs för Mina Vårdkontakter...52 Jätteprojekt ska kartlägga svenskars gener...53 Företagen och personuppgifterna Brister i hur försäkringsbolag hanterar känsliga personuppgifter...54 Datainspektionen granskar jakten på fildelarna...55 Kunder får fylla i adressen själva...55 SMS-låneföretag skärper säkerheten efter kritik...56 Journalist får inte ut uppgifter om resenärer...57 Integritetsåret 2010 Datainspektionen 5

6 Den anställde och integriteten Mot vem får man blåsa i visselpipan?...58 Bankerna får kontrollera sina kunder mot OFAC-listan...60 Datainspektionen granskar GPS-övervakning av personal...60 Byggnads återkallar överklagande...61 Ja till fingeravtryck som stämpelklocka...62 Kreditupplysningar och inkasso stärks integritetsskyddet vid kreditupplysningar på nätet...63 Säkrare identifiering krävs i inkassobolags webbtjänster...64 Kritik mot otydliga inkassokrav x e-förvaltning Användningen av e-legitimation kartläggs...65 Utökat utbyte av information mellan myndigheter...66 Kritik mot ändringar av Arbetsförmedlingens registerlag...66 Övervakad in på bara skinnet Med den här sammanställningen vill Datainspektionen ge en bild av hur det gångna året såg ut från integritets synpunkt. Ambitionen är inte att ge en fullständig, heltäckande beskrivning utan att ta upp ett antal av de viktigaste lagförslagen som kom under året, beskriva några av Datainspektionens mest uppmärksammade beslut och ge exempel på några av de händelser som kommit att påverka den personliga integriteten. 6 Integritetsåret 2010 Datainspektionen

7 Integritetsåret 2010 Datainspektionen 7

8 Integriteten måste alltid finnas i vågskålen Jag har en vision för Datainspektionen och det är att myndigheten ska bidra till att skapa Ett samhälle där den personliga integriteten värnas och är i balans med andra grundläggande värden. Det måste råda balans mellan ivern att införa nya tekniker och registrera allt mer om oss medborgare och den fredade sfär som vi alla har rätt till. I det arbetet spelar Datainspektionen en viktig roll. För tredje året i rad gör Datainspektionen en tillbakablick över det gångna året sett ur ett integritetsperspektiv. I år tar vi upp 75 lagar, lagförslag, beslut och händelser som påverkade den personliga integriteten under En viktig händelse skedde obemärkt den 24 november då riksdagen röstade ja till en ändring i svensk grundlag. Ändringen ska säkerställa att lagar, som inskränker integritetsskyddet endast Ett samhälle får genomföras om det intresse, som ska där den personliga tillgodoses, är så starkt och integritetsskyddsintresset så förhållandevis svagt att integriteten värnas och är i balans med inskränkningen framstår som proportionerlig. Det gäller alltså att se till att samla andra grundläggande värden. fördelarna med ett lagförslag i den ena vågskålen som sedan, för att förslaget ska kunna genomföras, måste väga tyngre än integritetsskyddsintresset i den andra vågskålen. Datainspektionen har under de senaste åren kritiserat en rad lagförslag för att man inte tillräckligt noga, eller inte alls, bedömt hur den föreslagna lagen kommer att påverka skyddet av den personliga integriteten. Vi har även kritiserat vårdgivare, kommuner, företag och andra för hur de hanterar personuppgifter. Att Datainspektionen manar till försiktighet och eftertanke när det gäller hanteringen av personuppgifter betyder inte att myndigheten är nej-sägare och står i 8 Integritetsåret 2010 Datainspektionen

9 vägen för teknik- och samhällsutvecklingen. Jag anser snarare att vi faktiskt driver på den. Under 2010 underkände vi sex stora inkassobolags webbtjänster med motiveringen att sättet som de skuldsatta loggar in på inte är tillräckligt säkert. Vi uppmanade även Stockholms läns landsting att höja säkerheten vid inloggningen till e-tjänsten Mina Vårdkontakter. I båda fallen förespråkar vi tekniker som exempelvis e-legitimation eller engångslösenord, som ger ett betydligt starkare skydd än ett vanligt lösenord. Det är dessutom tekniker som redan finns men som tyvärr för få använder. Förhoppningsvis kan vi med våra beslut bidra till att skynda på införandet. Vi avslutar årets skrift med en kuriositet, en berättelse om en ung man som på eget initiativ opererat in en RFID-krets i sin hand som därmed kan användas som nyckel för att öppna diverse lås. En rolig historia som samtidigt belyser problematiken som skyddet av den personliga integriteten alltid står inför. Det finns ofta klara fördelar med tekniker som GPS och RFID, med stora myndighetsregister och med databaser som företag använder för att nå oss konsumenter på nya sätt. Men, dessa fördelar måste alltid vägas mot de tänkbara nackdelarna för skyddet av den personliga integriteten. Kort sagt, det måste råda balans. Göran Gräslund generaldirektör januari 2011 Integritetsåret 2010 Datainspektionen 9

10 Januari I januari är Datainspektionen klar med sin granskning av en ratingsajt där besökarna kan betygsätta företag. Myndigheten konstaterar att den som driver en webbtjänst där besökarna kan lämna omdömen om andra har ett ansvar för att de personuppgifter som publiceras inte är kränkande. Beslutet är principiellt viktigt eftersom det tydliggör att den som ansvarar för den här typen av webbplats inte kan avsäga sig ansvaret för de personuppgifter som användarna återger i sina omdömen. Den 8 januari överlämnar regeringen en proposition till riksdagen med förslag till ny lagstiftning om personuppgiftsbehandling i polisens brottsbekämpande verksamhet. Propositionen innehåller förslag till en ny polisdatalag som ska ersätta den nuvarande lagen från Lagstiftningen föreslås träda i kraft den 1 mars I februari och mars 2009 polisanmälde Datainspektionen Årets stora samtalsämnen Google Street View Ett av årets stora samtalsämnen var Google eller rättare sagt Google Street View. Den 21 januari lanserade sökjätten sin gatubildstjänst Street View i Sverige. Inför lanseringen hade företagets flotta av specialutrustade bilar fotograferat gator och torg i 28 svenska städer. I maj gick företaget självt ut och meddelade att det i samband med den fotograferingen råkat avlyssna trafiken i trådlösa nätverk, inte bara i Sverige utan runt om i Europa. Senare har det visat sig att den trafik som Google snappat upp innehöll bland annat lösenord och annan känslig information. På taket på de bilar som Google använder sitter kameror som kontinuerligt tar bilder som sedan sätts samman till de 360-graders panoramafoton som gör det möjligt för webbsurfare att virtuellt gå runt på gator via Street View. På biltaket sitter dessutom en antenn som lyssnar på de trådlösa nätverk som bilen passerar. För varje trådlöst nätverk som upptäcks sparas routerns namn och unika så kallade mac-adress. Dessa uppgifter kopplas till de geografiska koordinater där bilen befann sig när uppgifterna samlades in och kan sedan användas som ett komplement till GPS-positionering för att hjälpa till att bestämma var den som använder Street View befinner sig. Men det visade sig alltså att bilarna dessutom samlade in själva trafiken som skickades i de trådlösa nätverken, en miss som väckte stor uppmärksamhet inte bara i Sverige. Google kontaktade Datainspektionen i maj med frågan om företaget fick ta bort de uppgifter som 10 Integritetsåret 2010 Datainspektionen

11 Varför inleddes inte tillsyn mot Google? Google tog självt kontakt med oss, berättade att data samlats in av misstag och att företaget ville ta bort dessa data. En av Datainspektionens viktigaste uppgifter är att få företag, myndigheter och andra som hanterar personuppgifter på ett felaktigt sätt att åstadkomma rättelse. Därför var det naturligt att be Google ta bort uppgifterna i stället för att utreda det som inträffat. I maj meddelade Google att företaget av misstag lagrat data som samlats in från trådlösa nätverk. samlats in i Sverige, en åtgärd som inspektionen tyckte var bra eftersom det skulle minska integritetsriskerna. Företaget valde dock att spara data på grund av pågående rättsprocesser i andra länder men ställde i november återigen frågan till Datainspektionen. På nytt svarade Datainspektionen ja och tillade att myndigheten vill ha en bekräftelse från tredje part att data verkligen tagits bort. Google har i skrivande stund inte återkommit med en bekräftelse att svenska data raderats. Även om Googles insamling av data från trådlösa nätverk skulle strida mot personuppgiftslagen så är det osannolikt att det skulle vara en straffbar förseelse. Att då inleda tillsyn mot ett företag som redan medgett sitt misstag och som vill reparera det skulle därför ha ett litet värde. På samma sätt hade vi behandlat vilket annat företag som helst. Göran Gräslund generaldirektör Integritetsåret 2010 Datainspektionen 11

12 två webbplatser som publicerade personuppgifter om dömda sexualförbrytare. I mitten av januari 2010 polisanmäler myndigheten en tredje, liknande webbplats. På sajten publiceras bland annat uppgifter om sexbrottslingars namn, adress, personnummer, brott och straff. Den 19 januari är Datainspektionen klar med en omfattande granskning som myndigheten utfört tillsammans med PTS av hur personuppgifter hanteras i mobila innehållstjänster. Ett viktigt resultat av arbetet är att tydliggöra hur ansvaret för hanteringen av uppgifterna fördelas mellan de olika typerna av aktörer på marknaden. Den 22 januari tillkännager Datainspektionen att en bred granskning ska göras av landsting och regioner för att kontrollera hur personuppgifter hanteras i hälso- och sjukvårdens kvalitetsregister. Totalt ska ett 25-tal register granskas. Datainspektionen har indikationer på att organisationen kring kvalitetsregistren är otydlig men även på att det finns bristande Sverigedemokrater hängs ut på Internet Jag är i chock. Jag kan inte ringa polisen fort nog. Jag står för att jag röstat på Sverigedemokraterna, men det här känns som ett hot mot mina rättigheter. Så säger en av de personer som finns med i ett register över Sverigedemokrater som läckt ut på Internet till tidningen Aftonbladet. Det var sent på måndagskvällen den 20 september 2010, alltså dagen efter valet, som ett register med personer som visat intresse för Sverigedemokraterna publicerades på en webbsajt. Registret är fullt sökbart på bland annat stad, adress, namn och telefonnummer. Informationen har troligen stulits vid ett dataintrång på Sverigedemokraternas webbplats. Det här kan vara en katastrof för dem som finns med i registret och som nu hängs ut på det här sättet. Ytterst är det ett hot mot demokratin, kommenterar Jonas Agnvall, jurist på Datainspektionen och samordningsansvarig för myndighetens Internet-relaterade ärenden. Enligt uppgift innehåller registret information om personer som visat intresse för eller tecknat medlemskap i Sverigedemokraterna. Jag skulle gissa att hälften av namnen på listan är folk som sökt information till skolarbeten eller journalister eller folk som bara velat veta mer om oss, säger 12 Integritetsåret 2010 Datainspektionen

13 SD:s pressekreterare Erik Almqvist till Dagens Nyheter i samband med registerläckan. I register som bygger på att man fyller i formulär via Internet finns alltid risken att en person av illvilja skriver in uppgifter om någon helt annan, säger Jonas Agnvall. Datainspektionens bedömning är att publiceringen strider mot personuppgiftslagen. Redan dagen efter att registret dök upp på Internet polisanmälde myndigheten publiceringen. Samma dag tillkännagav Säkerhetspolisen, Säpo, att den tagit över utredningen om misstänkt dataintrång på Sverigedemokraternas webbplats från polisen eftersom det är Säpo som arbetar med att skydda Sveriges demokratiska system och medborgarnas frioch rättigheter. Granskningen av FRA:s signalspaning Den 12 februari 2009 gav regeringen Datainspektionen i uppdrag att kontrollera hur Försvarets radioanstalt (FRA) hanterar personuppgifter i samband med signalspaning i försvarsunderrättelseverksamhet. Inom ramen för uppdraget har Datainspektionen bland annat analyserat vilka integritetsproblem som kan uppstå i samband med FRA:s signalspaningsverk- Integritetsåret 2010 Datainspektionen 13

14 kunskap om de nya juridiska förutsättningar som gäller sedan patientdatalagen trädde i kraft Den europeiska dataskyddsdagen inträffar den 28 januari. Tanken är att Europas dataskyddsmyndigheter ska förlägga olika aktiviteter till dagen som en internationell manifestation för integritetsskyddet. Datainspektionen lanserar Kränkt.se, en webbsajt som riktas till unga och som ger dem tips och råd om hur man kan gå tillväga om man blivit kränkt på nätet. Februari Efter att ha granskat Trelleborgs kommun konstaterar Datainspektionen att en kommun måste följa reglerna i personuppgiftslagen även om den har skaffat ett utgivningsbevis för sin webbplats. En sajt med utgivningsbevis är grundlagsskyddad vilket gör att reglerna i personuppgiftslagen sätts ur spel. Men avsikten med grundlagsskyddet är att skydda den Litar du på att FRA skyddar din integritet? Omröstning på Aftonbladets webbplats i december Totalt röstade personer. Nej (94,6%) Ja (5,4%) Källa: Aftonbladet samhet och utrett om de rutiner och riktlinjer som FRA använder är tillräckliga för att hantera sådana problem. Den 6 december 2010 överlämnar Datainspektionen rapporten från denna granskning till regeringen. Myndighetens intryck är på det hela taget positivt. Datainspektionen skriver i sin rapport att FRA har lagt ned mycket tid och resurser på att skapa rutiner och utbilda personalen för att minimera risken att personuppgifter hanteras på ett felaktigt sätt. FRA har efter påpekande från oss gjort flera förbättringar av sina rutiner för hur personuppgifter hanteras i underrättelseverksamheten, säger Nicklas Hjertonsson som har lett Datainspektionens granskning. På uppmaning av Datainspektionen har FRA infört loggkontroll för att kontrollera de anställdas åtkomst till ett av systemen som används för signalspaning. FRA har även infört rutiner som säkerställer att innehållet i meddelanden som samlats in via signalspaningen inte kan sparas förrän man kontrollerat att det inte innehåller förstöringspliktig information. Datainspektionens FRA-team har bestått av tre jurister och två IT-säkerhetsspecialister som arbetat på plats i FRA:s lokaler. 14 Integritetsåret 2010 Datainspektionen

15 Brott och straff Så straffas brott mot personuppgiftslagen Det är viktigt att brott mot personuppgiftslagen, PuL, prövas i domstol för att minska antalet kränkningar på Internet och för att göra det tydligare var gränserna går för vad som är tillåtet respektive otillåtet. PuL har nu varit i kraft i mer än tio år. De första åren efter lagens tillkomst ledde flera fall av överträdelser av bestämmelserna i PuL till fällande domar. Numera lagförs sällan brott mot PuL. Samtidigt kan vi på Datainspektionen se att antalet otillbörliga intrång i den personliga integriteten genom otillåten behandling av personuppgifter ökar explosionsartat, inte minst på Internet. Så inleder Datainspektionens generaldirektör förordet i en vägledning som myndigheten tagit fram för polis och åklagare. Vägledningen ska underlätta för åklagare att hantera ärenden som har koppling till personuppgiftslagen. Den som bryter mot vissa av personuppgiftslagens bestämmelser kan dömas till böter eller fängelse. För att brottet ska vara straffbart krävs uppsåt eller grov oaktsamhet. Det är bland annat straffbart att: Lämna osanna uppgifter till Datainspektionen vid en tillsyn (inspektion) Behandla så kallade känsliga personuppgifter eller uppgifter om lagöverträdelser i strid med personuppgiftslagens bestämmelser I vissa fall är den som hanterar personuppgifter skyldig att informera de personer vars uppgifter registreras och att lämna ett registerutdrag om en registrerad person begär det. Om man då ljuger och lämnar felaktiga uppgifter är det straffbart. Integritetsåret 2010 Datainspektionen 15

16 enskildes yttrandefrihet gentemot det offentliga, inte tvärtom, säger Datainspektionens generaldirektör. EU-domstolen fäller Sverige för att inte ha genomfört trafikdatalagringsdirektivet i svensk lagstiftning. I mars 2008 lämnade Datainspektionen sina synpunkter på det dåvarande förslaget för hur direktivet ska införas i svensk lag. Då var avsikten att direktivet skulle vara infört i Sverige före den 15 mars Den 4 februari meddelar Datainspektionen att myndigheten ska granska inkassoföretagens så kallade gäldenärswebbar för att ta reda på vilka personuppgifter som hanteras i tjänsterna och hur uppgifterna skyddas. Via en sådan webbtjänst kan gäldenären, den skuldsatte, se sin skuld och eventuella inbetalningar och ansöka om avbetalning av skulden eller begära anstånd. Efter att ha inspekterat de tre största tandläkarmottagningarna i Stockholm meddelar Datainspektionen den 25 Den som gör sig skyldig till brott enligt personuppgiftslagen kan dömas till böter eller fängelse i högst två år. Hanteringen av personuppgifter kan vara straffbar enligt andra lagar än personuppgiftslagen, till exempel då personuppgifter förekommer i samband med dataintrång, olaga hot, förtal eller ofredande. Straff och skadestånd under året En 20-åring från Göteborg dömdes i februari för grovt förtal efter att ha hängt ut flera tjejer på sin blogg med namn och bild. Mannen som stod åtalad hävdade i rättegången att det inte var hans blogg. Tingsrätten dömde honom dock till 140 timmars samhällstjänst och skyddstillsyn. En kvinna vars personuppgifter felaktigt blivit sekretessmarkerade hos Försäkringskassan begär kronor i skadestånd. Justitiekanslern, JK, fastställer skadeståndet till kronor. Vid bedömningen tar JK hänsyn till dels att sekretessmarkeringen funnits i åtminstone elva år hos Försäkringskassan, dels att den inte avsett några uppgifter av mer integritetskränkande karaktär. Justitiekanslern beslutar att Rikspolisstyrelsen ska betala drygt kronor i skadestånd till en person eftersom det tagit polisen mer än ett år att ta bort en felaktig registrering av honom i belastningsregistret. Att skadeståndet är relativt högt beror bland annat på att det tagit exceptionellt lång tid från det att uppgifterna rätteligen borde tagits bort ur belastningsregistret till dess att så skedde. 16 Integritetsåret 2010 Datainspektionen

17 En man i Malmö får kronor i skadestånd för att han felaktigt blivit registrerad i polisens DNA-register. Mannen hade begärt kronor i skadestånd. Enligt Justitiekanslern hade polisen inte laglig grund då DNA-testet utfördes. Provresultatet fick dessutom inte föras in i polisens DNA-register. Att provet varit registrerat i två år och dessutom har rört känsliga uppgifter, bidrar till att JK beslutar om skadestånd som betalas ut med stöd i bland annat personuppgiftslagen. Sex ynglingar i åldrarna år döms till samhällstjänst eller ungdomstjänst för att i filmer på Internet ha kränkt och förtalat över 30 flickor. De dömda ska dessutom betala kronor i skadestånd per film till varje drabbad flicka eller totalt drygt 1,2 miljoner kronor. I samband med en exekutiv auktion av en fastighet missar Kronofogden bland annat att maska ägarinnans namn i annonsen. Kvinnan begär kronor i skadestånd för psykiskt lidande. Justitiekanslern beslutar att staten ska betala ett skadestånd på kronor. En intern begär kronor i skadestånd för att kriminalvården har registrerat felaktiga uppgifter om honom. I registret står att mannen rapporterats för misskötsamhet vid tio tillfällen och förhörts vid tio tillfällen under de senaste fem åren. Uppgifterna är felaktiga eftersom de avser händelser längre bakåt i tiden. Justitiekanslern anser att registreringen utgör en sådan kränkning av mannens personliga integritet att ersättning ska utgå enligt personuppgiftslagen och bestämmer skadeståndet till kronor. Integritetsåret 2010 Datainspektionen 17

18 februari att tandläkare brister i kontrollen av vilka som läser patienternas journaler. Granskningen visar att det saknas rutiner för ändring och borttagning av behörigheter och för kontroll av att patientjournaler bara öppnas av dem som behöver ta del av informationen i sitt arbete. En 20-åring från Göteborg döms i februari för grovt förtal efter att ha hängt ut flera tjejer på sin blogg med namn och bild. Mannen som stod åtalad hävdade i rättegången att det inte var hans blogg. Tingsrätten dömde honom dock till 140 timmars samhällstjänst och skyddstillsyn. Den 26 februari drar Datainspektionen igång ett projekt för att undersöka hur företag och kommuner använder GPS-positionering för att övervaka eller kontrollera arbetstagare. Bland dem som ska granskas finns bevakningsföretag, installatörer, tidningsbud och företag inom renhållning, avfallshantering och snöröjning. Projektet har blivit försenat och beräknas vara klart under första kvartalet En högstadieelev döms till kronor i böter för förtal efter att ha lagt upp en tecknad film på Youtube som hånar en lärare. I filmen tvingar läraren bland annat muslimska elever att äta fläskkött. Trots att varken skolans eller lärarens fullständiga namn anges i filmen anser tingsrätten att filmen är tillräckligt utpekande och kränkande för en fällande dom. Aftonbladet börjar sälja polisförhör För tre kronor kan man på Aftonbladets webbplats köpa hela det 46-sidiga polisförhöret med den misstänkte mördaren i ett mycket uppmärksammat rättsfall. Till Dagens Media säger tidningens chefredaktör att Aftonbladet i framtiden kan komma att sälja mer material av samma karaktär. Det finns givetvis en etisk problematik när det gäller material från förundersökningar. Det gäller frågan om källskydd, obehagliga bilder och så vidare. Men i detta fall, med ett förhör, ser jag inga problem. Polis glömde barnporr i tvättstugan Under vintern 2009/2010 uppmärksammades en sällsam historia i massmedia. En polisman vid Rikskriminalpolisen hade lagrat barnpornografiskt material på ett privat usb-minne. När han tvättade sina kläder 18 Integritetsåret 2010 Datainspektionen

19 En polisman hade lagrat utredningsmaterial på ett privat usb-minne som han råkade glömma i tvättstugan där en granne hittade det. glömde han kvar usb-minnet i tvättstugan där en granne hittade det och lämnade in det till polisen. Händelsen gjorde att Datainspektionen inledde tillsyn mot Rikskriminalpolisen. Polismannen ifråga arbetar med att utreda barnpornografibrott och i det arbetet flyttas data mellan olika IT-miljöer, bland annat med usb-minnen. I det aktuella fallet har polisen använt ett privat usb-minne för att föra över bilder från sin privata digitalkamera som hade kopplats in i en tjänstedator. Av till synes praktiska skäl har befattningshavaren valt att överföra även det inkomna underrättelsematerialet till det privata usb-minnet, skriver Datainspektionen i sin granskning. Datainspektionen konstaterar att det känsliga utredningsmaterialet har hanterats på ett sätt som inte är i linje med reglerna i personuppgiftslagen, Integritetsåret 2010 Datainspektionen 19

20 Mars Datainspektionen har granskat ett bussbolag som satt upp dolda övervakningskameror vid ett av sina bussgarage. Myndigheten är kritisk till övervakningen, bland annat eftersom personalen inte har informerats och på grund av att kamerorna som använts är utformade på ett sätt som har gjort dem svåra att upptäcka. Bussbolaget dömdes senare till böter på kronor för att ha brutit mot personuppgiftslagen. En utredning har på uppdrag av justitiedepartementet tagit fram ett förslag till en ny kameraövervakningslag som ska samla alla bestämmelser om kameraövervakning som idag finns i två olika lagar, lagen om allmän kameraövervakning och personuppgiftslagen. Dessutom föreslås att Datainspektionen får det centrala ansvaret för kontrollen av att den nya lagen följs. Datainspektionen ställer sig bakom förslaget. Landstinget i Dalarna har på sin webbplats publicerat uppgifter om bland annat eftersom underrättelsematerial som inte är krypterat har förts utanför arbetsplatsen och att underrättelsematerial lagrats på ett privat usb-minne och då blandats med privata data. Rikskriminalpolisen har tagit fram riktlinjer för hantering av data på externa lagringsmedia. Datainspektionen anser att om de nya riktlinjerna hade funnits och följts vid den aktuella tidpunkten så hade incidenten aldrig inträffat. Var går gränserna på Internet? Datainspektionen polisanmäler en tredje sexbrottssajt I februari och mars 2009 polisanmälde Datainspektionen två webbplatser som publicerade personuppgifter om dömda sexualförbrytare. I januari 2010 polisanmäler myndigheten en tredje, liknande webbplats. På sajten publiceras bland annat uppgifter om sexbrottslingars namn, adress, personnummer, brott och straff. Det är en oroande utveckling att det dyker upp fler sajter av det här slaget som så uppenbart bryter mot personuppgiftslagen. Uthängningar på sådana här sajter påverkar inte bara de utpekade utan drabbar även familj och anhöriga, säger Datainspektionens generaldirektör Göran Gräslund. Precis som i de tidigare utredningarna visar denna granskning att sajten ifråga innehåller uppgifter om lagöverträdelser vilket är straffbart enligt personuppgiftslagen. Den som avsiktligt behandlar personuppgifter i strid med personuppgiftslagen kan dömas till böter eller fängelse. 20 Integritetsåret 2010 Datainspektionen

21 Gränser för vad som får publiceras på blogg Datainspektionen har tagit emot flera klagomål mot en blogg där en person publicerat personuppgifter om ett barn. Efter att ha granskat bloggen konstaterar Datainspektionen att ett par av inläggen inte är tillåtna att publicera enligt personuppgiftslagen. Av de inlägg som gåtts igenom är det tre inlägg som bryter mot personuppgiftslagen: en dom i ett vårdnadsmål, ett utdrag ur en barnavårdsutredning samt ett polisförhör. I vår bedömning av dessa inlägg lägger vi stor vikt vid att det handlar om personuppgifter av mycket privat karaktär om ett barn som figurerar i en vårdnadstvist, säger Datainspektionens generaldirektör Göran Gräslund. I personuppgiftslagen finns det ett undantag som säger att om publiceringen skett för ett journalistiskt Fakta Gränsdragning viktig del av Datainspektionens Internet-strategi En del av Datainspektionens Internet-strategi är att granska ärenden som klargör när personuppgiftslagen gäller eller inte. Det kan till exempel handla om att utreda var gränsen går mellan yttrandefrihet och skyddet av den personliga integriteten. Den här gränsdragningen mellan personuppgiftslagen och andra lagar var en viktig orsak till att myndigheten granskade den här bloggen. ändamål så är den tillåten även om den kan vara kränkande för den enskilde. Förra året konstaterade Datainspektionen att det inte var ett lagbrott att på en blogg publicera namnet på en dråpmisstänkt barnläkare eftersom publiceringen skett för journalistiska ändamål. Integritetsåret 2010 Datainspektionen 21

22 en person som JO-anmält landstinget. En sådan publicering strider mot personuppgiftslagen, konstaterar Datainspektionen den 10 mars. Om landstinget vill ge allmänheten insyn i sin verksamhet kan det göras utan att personuppgifter av det här slaget publiceras. Att en person som anmäler landstinget till JO får namn och personnummer publicerat på landstingets webbplats kan avskräcka andra enskilda från att göra en anmälan, säger Datainspektionens generaldirektör. Men undantaget för journalistiskt ändamål gäller inte om uppgifterna som publiceras är av rent privat karaktär, som i det här fallet, säger Göran Gräslund. Datainspektionen skickar ut klisteretiketter som informerar om sajten Kränkt.se till ettusen skolor och bibliotek. Förhoppningen är att klisteretiketterna sätts i närheten av datorer som unga använder. Andra skolor eller organisationer som vill ha klisteretiketter kan beställa sådana kostnadsfritt på Kränkt.se. Inom Stockholms läns sjukvårdsområde har vårdgivaren bestämt att patienter inte ska kunna Datainspektionen lanserar sajt mot nätkränkningar I början av 2010 lanserar Datainspektionen sajten Kränkt.se som riktas till unga och ger tips och råd om hur man kan gå tillväga om man blivit kränkt på nätet. Vi får många frågor från oroade ungdomar som blivit kränkta på nätet. Vanligtvis handlar det om att någon skrivit något riktigt elakt eller lagt upp en bild som känns kränkande. Ofta går det att lösa problemet och hur man gör det beskriver vi på Kränkt.se, säger Datainspektionens generaldirektör. Många större sajter har rutiner för att hantera klagomål från användarna och på Kränkt.se listas hur man kan rapportera klagomål på ett antal större sajter. I många fall bottnar kränkningar i missförstånd och på sajten ges även tips på vad man själv kan tänka på för att inte kränka någon annan. 22 Integritetsåret 2010 Datainspektionen

23 Under våren skickade Datainspektionen ut klisteretiketter som tipsar om sajten till ettusen skolor och bibliotek. Myndigheten har även tryckt upp affischer i A3-format som informerar om Kränkt.se och som kan beställas kostnadsfritt. Det finns ett stort intresse för sajten och myndigheten har under året fått trycka tre nya upplagor av affischen. Sajt ansvarig för vad besökarna skriver i sina omdömen Datainspektionen har tagit emot flera klagomål från personer som har blivit omnämnda i negativa ordalag på en ratingsajt. Sajten består av en databas med företagare som användarna kan skriva omdömen om. Tjänsten är inte modererad vilket innebär att användarna kan skriva omdömen utan att webbplatsens personal på förhand granskar eller godkänner dessa. Webbplatsens företrädare anser att de inte har någon faktisk kontroll över de omdömen som användarna skriver på sajten. Datainspektionen konstaterar dock i sin granskning att företaget som tillhandahåller tjänsten har ett personuppgiftsansvar eftersom företaget bestämt utformningen av tjänsten och har möjlighet att ta bort, redigera och blockera uppgifter. Både användaren som skriver ett kränkande omdöme och webbsajten som publicerar det, har ett ansvar för personuppgifterna i omdömet, konstaterar Datainspektionen. Det här är ett principiellt viktigt beslut eftersom det tydliggör att den som ansvarar för den här typen av webbplats inte kan avsäga sig ansvaret för de personuppgifter som användarna skriver i sina omdömen, säger Datainspektionens generaldirektör. Integritetsåret 2010 Datainspektionen 23

24 spärra vissa uppgifter i sina journaler. Men det är patientdatalagen som styr vilka uppgifter som kan eller inte kan spärras av patienten, inte enskilda vårdgivare, konstaterar Datainspektionen efter sin granskning bestämde Datainspektionen att det endast är personer i nyckelpositioner eller ledande ställning som får anmälas i så kallade whistleblowingsystem. Tre bolag inom samma koncern överklagade detta till förvaltningsrätten som i mitten av mars meddelar att Datainspektionens bedömning är rätt. April Representanter för Fastighetsägarna, Sabo och Hyresgästföreningen har tagit fram regler för kameraövervakning i hyreshus och samlat dessa i en branschöverenskommelse som bland annat tydliggör den bedömning som måste göras då värdar överväger att kameraövervaka hyreshus. I början av april meddelar Datainspektionen att Företag på Facebook ansvarar för besökarnas kommentarer Kommuner, myndigheter, företag och andra organisationer som använder sig av bloggar och Facebooksidor har ett ansvar för personuppgifter som besökare publicerar på sidan, till exempel i form av kommentarer, och det måste finnas rutiner för att ta bort personuppgifter som är kränkande. Det visar en utredning som Datainspektionen gjorde under Den organisation som har satt upp en Facebooksida är också den som bestämmer vad den är till för och som kan ta bort inlägg. Därmed har organisationen ett ansvar för att ta bort kränkande kommentarer, även sådana som andra har skrivit, säger Ulrika Andersson som lett myndighetens utredning. I september publicerade Datainspektionen en vägledning för myndigheter och företag som använder sociala medier som exempelvis Facebook. I vägledningen rekommenderar inspektionen att man sätter upp tydliga regler och interna rutiner för vad Facebook-sidan eller bloggen ska användas till, vad som får förekomma där och hur den ska skötas av organisationens ansvariga administratörer. Vägledningen kan hämtas kostnadsfritt på Datainspektionens webbplats. 24 Integritetsåret 2010 Datainspektionen

25 Kommun kan inte söka skydd bakom utgivningsbevis Trelleborgs kommun har publicerat personuppgifter på sin kommunwebbplats i strid med personuppgiftslagen. Kommunen anser att reglerna i personuppgiftslagen inte gäller eftersom man har skaffat ett så kallat utgivningsbevis för sajten. En webbplats med utgivningsbevis blir grundlagsskyddad vilket gör att reglerna i personuppgiftslagen sätts ur spel. Avsikten med det grundlagsskydd som utgivningsbevis ger är att skydda den enskildes yttrandefrihet gentemot det offentliga, inte tvärtom. Det framgår också av grundlagen. Vår bedömning är att personuppgiftslagens regler normalt gäller för kommunens webbplats även om den har ett utgivningsbevis, säger Datainspektionens generaldirektör Göran Gräslund. Sörmlands landsting bryter mot lagen I april konstaterar Datainspektionen att Sörmlands landsting har publicerat personuppgifter på sin webbplats i strid med personuppgiftslagen. På webbplatsen har personuppgifter publicerats om en person som begärt prövning av ett landstingsbeslut samt om en person som har JO-anmält landstinget. På Datainspektionens fråga har landstinget uppgett att rutiner saknas för att ta bort personuppgifter och att uppgifter normalt ligger kvar på webbplatsen i flera år, men att rättelse sker omedelbart vid upptäckt. Efter Datainspektionens påpekade har vissa av uppgifterna tagits bort men fortfarande finns det kvar personuppgifter som publiceras i strid med personuppgiftslagen. Integritetsåret 2010 Datainspektionen 25

26 myndigheten kontrollerat och ställer sig bakom reglerna i överenskommelsen. Datainspektionen konstaterar att Sörmlands läns landsting har publicerat personuppgifter på sin webbplats i strid med personuppgiftslagen. På webbplatsen har uppgifter publicerats om en person som begärt prövning av ett landstingsbeslut och om en person som har JO-anmält landstinget. Landstinget har inte tagit bort uppgifterna trots påpekande från Datainspektionen. Detta tyder på att landstinget har bristande rutiner för publicering av handlingar som kan innehålla personuppgifter och för att ta bort personuppgifter som har publicerats av misstag, säger Datainspektionens generaldirektör. Allt fler företag men även kommuner och myndigheter använder sig av Facebook, Twitter, bloggar och andra typer av sociala medier som kommunikationskanal. Datainspektionen har inte tagit ställning till vilka bestämmelser i Landstinget har inte tagit bort uppgifterna trots påpekande från Datainspektionen. Detta tyder på att landstinget har bristande rutiner för publicering av handlingar som kan innehålla personuppgifter och för att ta bort personuppgifter som har publicerats av misstag, kommenterar Datainspektionens generaldirektör. JO bör inte publicera anmälares namn på sin webbplats Datainspektionen har granskat Justitieombudsmannen, JO, efter att tagit emot ett klagomål från en person som gjort en anmälan till JO och som därefter hittat sitt namn på JO:s webbplats. Anmälarens namn finns i ett dokument som lagras i en dokumentdatabas som nås via ombudsmannens webbplats. Datainspektionen konstaterar i sin granskning att publiceringen av anmälarens namn strider mot personuppgiftslagen och bedömer att publicering av namn på befattningshavare, anmälare eller andra privatpersoner i dokumentdatabasen på webbplatsen normalt sett inte är tillåten. Skulle JO trots allt anse att det är viktigt att direkt peka ut enskilda med namn vid publicering av dokumenten på Internet bör det regleras i lag, menar Datainspektionen. I sitt beslut skriver inspektionen att man med hjälp av sökfunktionen på JO:s webbplats enkelt kan ta fram omfattande sammanställningar av personer som gjort anmälningar eller som har blivit kritiserade av JO. Publicering på webben innebär dessutom att uppgifterna blir avsevärt mer lättillgängliga, framför allt med hjälp av sökmotorer, tillägger Datainspektionen. Att en handling är allmän och inte omfattas av sekretess betyder inte att den per automatik ska läggas ut på nätet och bli tillgänglig för sökmotorer, säger Datainspektionens generaldirektör. 26 Integritetsåret 2010 Datainspektionen

27 Fel av landsting att publicera namn på JO-anmälare Datainspektionen har tagit emot ett klagomål som rör Landstinget i Dalarna. På landstingets webbplats har man publicerat personuppgifter som rör en patient på Rättpsykiatriska kliniken i Säter samt om en person som har anmält landstinget till Justitieombudsmannen. Landstinget uppger att uppgifterna om Säterpatienten har lagts ut av misstag och att uppgifterna nu tagits bort från webbplatsen. Däremot anser landstinget att publiceringen av personuppgifter om den som anmält landstinget till JO inte strider mot personuppgiftslagen. Korrupta tjänstemän får tåla offentlighet Efter Datainspektionens beslut om JO:s publicering av namn får inspektionen kritik från integritetsdebattören Nils Funcke. Han menar att tjänstemän som JO kritiserar får tåla att få sina uppgifter publicerade. Visst drabbas myndighetspersoner som uppdagas med att göra fel eller missbruka sin ställning. Så måste det också vara. Dessa offentliga myndighetsutövare ska veta att de riskerar att bli offentliga även som försumliga, lagbrytare eller korrupta, skriver Funcke. Han tillägger dock att det därmed inte är sagt att JO rutinmässigt ska publicera namn på de kritiserade vilket gör att webbplatsen kan utvecklas till en offentlig skampåle. I vissa fall bör såväl anmälaren som den kritiserade anonymiseras på webbplatsen, anser han. Men det är något annat än Nils Funcke Datainspektionens kritiserar krav på totalstopp Datainspektionen. för namnpubliceringar med argumentet att de hotar en personlig integritet som offentliga tjänstemän inte har i sin roll som myndighetspersoner. Integritetsåret 2010 Datainspektionen 27

28 personuppgiftslagen som gäller för personuppgifter som kommuniceras via sociala medier. Därför drar myndigheten i april igång ett projekt för att klargöra ansvarsfrågorna. Datainspektionen startar ett projekt för att kontrollera hur försäkringsbolag hanterar de anställdas åtkomst till känsliga personuppgifter om försäkringstagare. Det handlar bland annat om uppgifter som hanteras i samband med liv- och olycksfallsförsäkringar. Den 12 oktober redovisar myndigheten resultatet från granskningen. Datainspektionen har tagit emot klagomål mot hur SJ hanterar personuppgifter i samband med de personliga biljetter som företaget införde förra året. En personlig biljett får endast användas av den vars namn står på biljetten. Myndigheten anser att SJ får ställa krav att resenären uppger sitt riktiga namn vid köp av personliga biljetter. Ett skäl i Datainspektionens bedömning är att det finns andra biljetter än personliga att köpa för den som vill resa anonymt. Om landstinget vill ge allmänheten insyn i sin verksamhet kan det göras utan att personuppgifter av det här slaget publiceras. Att en person som anmäler landstinget till JO får namn och personnummer publicerade på landstingets webbplats kan avskräcka andra enskilda från att göra en anmälan, säger Datainspektionens generaldirektör. Datainspektionen förelägger landstinget att ta bort personuppgifterna om anmälaren från webbplatsen. Lagar, lagförslag och myndighetsregister Ändrad grundlag sätter fokus på integriteten Den 24 november röstade riksdagen ja till ett antal ändringar i svensk grundlag. En av ändringarna innebär att om någon statlig myndighet eller kommun vill införa en ny omfattande databas med personuppgifter som medför att medborgare kartläggs eller övervakas, så måste man först undersöka om det är tillåtet enligt grundlagen och därefter bedöma om det behövs ny lagstiftning. Grundlagsändringen ska säkerställa att lagar, som inskränker integritetsskyddet endast får genomföras om det intresse, som ska tillgodoses, är så starkt och integritetsskyddsintresset så förhållandevis svagt att inskränkningen framstår som proportionerlig. Tanken 28 Integritetsåret 2010 Datainspektionen

29 med en sådan bedömning är även att lagstiftaren ska undersöka om det finns några mindre ingripande alternativ för att uppnå syftet med den föreslagna åtgärden. En anledning till att bestämmelsen införs är de betydande brister i lagstiftningsarbetet, som Integritetsskyddskommittén kunde konstatera efter en omfattande kartläggning. Datainspektionen har under åren sett många exempel på lagförslag där integritetsanalyser helt saknas eller är mycket bristfälliga. Nej till lagförslag som suddar ut myndighetsgränser I april säger Datainspektionen nej till ett lagförslag som kan öka möjligheterna för en handläggare att ta del av flera olika myndigheters register med personuppgifter. Förslaget finns med i slutbetänkandet Utveckling av lokal service i samverkan: Se medborgarna för bättre offentlig service som tagits fram på uppdrag av regeringen. I betänkandet föreslås att handläggare på så kallade servicecentrum ska kunna agera på uppdrag Myndighetsverket av flera olika myndigheter och då också kunna ta del av de olika myndigheternas register. Myndigheterna ska i stor utsträckning själva få avtala med varandra om vilka typer av uppdrag som ska kunna utföras av handläggarna på ett servicecentrum. Förslagen innebär att den gräns mellan myndigheterna som hitintills existerat tunnas ut, skriver Datainspektionen i sitt yttrande över betänkandet och varnar för att det i sin tur innebär att skyddet för den personliga integriteten riskerar att försvagas. Inspek- Integritetsåret 2010 Datainspektionen 29

30 En svensk småföretagare stämmer Google för förtal och kräver en miljon kronor i skadestånd. Företagaren har blivit uthängd som pedofil på olika bloggar som Google i sin tur länkar till via sina sökresultat. Han vill nu få en rättslig prövning om Google får återpublicera uppgifter som kan utgöra förtal enligt brottsbalken. Datainspektionen säger nej till ett lagförslag som kan öka möjligheterna för en handläggare att ta del av flera olika myndigheters register med personuppgifter. Orsaken är att det saknas en tillräckligt noggrann bedömning av om fördelarna med förslaget väger tyngre än intrånget i medborgarnas personliga integritet. Förslaget innebär att den gräns mellan myndigheterna som hitintills existerat tunnas ut, skriver Datainspektionen i sitt yttrande och varnar för att det i sin tur innebär att skyddet för den personliga integriteten riskerar att försvagas. En rekryterare på ett av Sveriges största bemanningsföretag åtalas för att ha stulit företagets tionen anser att det saknas en tillräckligt noggrann bedömning av om fördelarna med förslaget väger tyngre än intrånget i den personliga integriteten. Lämna ut handlingar elektroniskt kan få oförutsedda konsekvenser I slutet av juni varnar Datainspektionen för att ett förslag att myndigheter ska vara skyldiga att lämna ut handlingar i elektronisk form om det inte är olämpligt kan leda till att stora mängder personuppgifter sprids på sätt som inte kunnat förutses. Varningen kommer i myndighetens yttrande över e-offentlighetskommitténs utredning Allmänna handlingar i elektronisk form offentlighet och integritet. Kommittén bedömer att det inte går att införa en generell skyldighet för myndigheter att lämna ut handlingar i elektronisk form eftersom det skulle medföra för stora risker för den personliga integriteten. I utredningen förelås att registerförfattningarna för olika myndighetsregister ses över och att man i dessa författningar specificerar när handlingar kan utlämnas elektroniskt. Medan registerförfattningarna ses över, föreslår kommittén att myndigheter ska vara skyldiga att lämna ut handlingar elektroniskt om det inte är olämpligt. Datainspektionen anser att e-offentlighetskommittén har underskattat den principiella och praktiska betydelsen av sitt förslag. Om kommitténs förslag skulle leda till att stora mängder personuppgifter sprids på sätt som inte 30 Integritetsåret 2010 Datainspektionen

31 Polisen får inte tillgång till PKU-biobanken I slutet av november överlämnade biobanksutredningen sitt betänkande till socialminister Göran Hägglund. Utredningen föreslår en ny biobankslag. Lagens syfte är att reglera hur vävnadsprover, med respekt för den enskilda människans integritet, får samlas in, bevaras och användas för vissa ändamål. Utredningen föreslår bland annat en reglering av biobankernas personuppgiftsbehandling, vilket inte finns i lagen i dag. Regleringen klargör personuppgiftsansvaret, för vilka ändamål personuppgifter får behandlas och vilka personuppgifter som får behandlas. Dessutom föreslås en rätt för provgivarna att motsätta sig personuppgiftsbehandlingen. I utredningen föreslås att vävnadsprover från en biobank i vissa fall ska kunna lämnas ut för identifiering av avlidna och för utredning av faderskap eller föräldraskap. Däremot ska det vara förbjudet att i brottsutredningar använda vävnadsprover från biobanker som omfattas av biobankslagen. Vid utredningen av mordet på dåvarande utrikesminister Anna Lindh lämnades blodprov från den misstänkte mördaren ut från PKU-biobanken till polisen. PKU-biobanken är en biobank vid Karolinska universitetssjukhuset i Huddinge som sedan 1975 samlar blodprover från alla nyfödda och som innehåller blodprover från tre miljoner människor. Om den nya biobankslagen antas skulle det alltså inte längre vara möjligt för polisen att jämföra dna-prover med prover från exempelvis PKU-biobanken. kunnat förutses, finns en betydande risk att synen på offentlighetsprincipen rubbas och att förtroendet för våra myndigheter skadas, säger Datainspektionens generaldirektör. Den föreslagna regleringen lämnar betydande oklarheter för dem som ska tillämpa regelverket, skriver Datainspektionen i sitt yttrande. Utöver de rent praktiska svårigheterna att tillämpa lagregeln, uppstår en stor risk för olikartade bedömningar. Integritetsåret 2010 Datainspektionen 31

32 rekryteringsdatabas som innehåller namn, CV och andra personuppgifter för över en halv miljon personer. Bemanningsföretaget kräver den åtalade på kronor i skadestånd. I slutet av april meddelar Datainspektionen att myndigheten har granskat sex privata vårdgivare och då särskilt kontrollerat hur dessa hanterar och skyddar patientuppgifter. Överlag sköter de sig bra men en vårdgivare saknar helt så kallade loggar vilket gör det omöjligt att se om någon obehörig tagit del av patientuppgifter. Maj Datainspektionen har tagit emot ett klagomål som rör skriftliga omdömen om elever i en kommuns förskolor och grundskolor. Omdömena rör elevens utveckling och är kopplade till de mål som anges i läroplanen och kursplaner. Den tregradiga skala som används är dock enligt inspektionens bedömning inte formulerad på ett sådant sätt att den strider mot personuppgiftslagen. Nej till försvarets personaldatabas Rubriken ovan är hämtad från ett pressmeddelande som Datainspektionen skickar ut den 1 december. Pressmeddelandet rör ett IT-system som Försvarsmakten vill skapa och som bland annat ska innehålla uppgifter om personalens utbildning, kompetens, prestationer och personliga egenskaper. Syftet med systemet är att kunna utveckla personalen i deras yrkesroller och att bemanna organisationen på ett bra sätt. I ett så kallat samråd har Försvarsmakten bett Datainspektionen om synpunkter på förslaget. Datainspektionen konstaterar i sitt yttrande att det föreslagna IT-systemet innebär en mycket ingående kartläggning av de anställda och att stora delar av databasen skulle innehålla information av integritetskänslig natur. Informationen är dessutom inte skyddad av några sekretessbestämmelser vilket innebär att den kan komma att lämnas ut enligt offentlighetsprincipen om någon begär det, säger Datainspektionens generaldirektör. Datainspektionen anser att om Försvarsmakten vill införa den här typen av IT-system så bör det regleras i särskild lagstiftning. 32 Integritetsåret 2010 Datainspektionen