Vurpor på webben PÅ VÄG MOT EN BÄTTRE PUL FÄNGELSE FÖR BROTT MOT PUL PUL SÄTTS UR SPEL NÄR WEBBPLATSER FÅR UTGI- VARE FRÅN DATAINSPEKTIONEN #4/2002

Transkript

1 FRÅN DATAINSPEKTIONEN #4/2002 Vurpor på webben PUL SÄTTS UR SPEL NÄR WEBBPLATSER FÅR UTGI- VARE DEN 1 JANUARI KAN ALLA WEBBPLATSER ANMÄLA EN ANSVARIG UTGIVARE. SÅDANA PÅ VÄG MOT EN BÄTTRE PUL SÖREN ÖMAN UTREDER OM PUL KAN GÖRAS OM FRÅN HANTERINGSLAG TILL MISSBRUKSLAG. SID 6 FÄNGELSE FÖR BROTT MOT PUL EN HÖGEREXTREMIST SOM REGISTRERAT SINA FIENDER HAR DÖMTS TILL TRE MÅNADERS MAGAZIN DIREKT #3/ FÄNGELSE FÖR BROTT MOT PUL. SID 9

2 Tänk dig noga för innan du lägger ut information på Internet! Visst är det en vacker tanke att sprida information till folket, men det är inte ovanligt att det slinker med uppgifter som både bryter mot PuL och skadar den som hängs ut. Här kan man se brister i både rutiner, kunskap och omdöme. Vurpor på webben Myndigheter och andra organ lägger ut mer och mer information på sina webbplatser. Men i ivern att öka insynen och ge service åt medborgarna händer det ibland att det slinker med uppgifter som definitivt inte hör hemma på webben. Oftast rör det sig om offentligt material, men enligt PuL får bara harmlösa personuppgifter publiceras på webben utan samtycke. Eftersom uppgifterna i de allra flesta fall publiceras av misstag eller på grund av okunskap, brukar inte Datainspektionen göra polisanmälan, utan låter sig nöja med att misstagen rättas till. Eventuella krav på skadestånd får de förfördelade driva själva. Här är några exempel på när det har gått snett: Avskedad tjuv Handelshögskolan i Stockholm (HHS) meddelade på sitt intranät att en namngiven person hade avskedats på grund av upprepade stölder. Efter ett klagomål gjorde Datainspektionen tillsyn. I ett yttrande skrev HHS att personen var välkänd och att det hade spritts olika versioner av skälet till avskedandet, vilket hade skapat upprörd stämning på vissa håll. För att lämna korrekt information och förklara ledningens åtgärder lade HHS ut följande meddelande på skolans intranät: På grund av handlingar som Handelshögskolans ledning bedömer som djupt förtroendeskadliga, har X underrättats om avsked och avstängts från sin tjänst. Handlingarna, som riktats mot hyresgäst i Handelshögskolans lokaler, har polisanmälts av hyresgästen. Då många tolkade meddelandet som att X hade begått sexuella övergrepp, publicerades en komplettering: De handlingar som åsyftades i tidigare meddelande gäller upprepade penningstölder. I sitt yttrande hävdade HHS att man ansåg sig ha stöd för sin behandling av personuppgifter och grundade detta på en intresseavvägning enligt 10 f i PuL, dvs. man ansåg att intresset av att sprida informationen vägde tyngre än den utpekades intresse av integritetsskydd. Man ansåg sig också ha rätt att behandla uppgifter om lagöverträdelser och hänvisade till undantaget i Datainspektionens författningssamling DIFS 1998:3 som gäller enstaka uppgift som är nödvändig för att rättsliga anspråk skall kunna fastställas, göras gällande eller försvaras i enskilt fall. Bara anställda och studenter med behörighet kan använda intranätet, så överföring till tredje land är inte aktuell. I sitt beslut (dnr ) skrev Datainspektionen att det är förbjudet för andra än myndigheter att behandla uppgifter om lagöverträdelser (HHS är en stiftelse). Vidare påpekades att 2 MAGAZIN DIREKT #4/2002

3 rättsliga anspråk är sådana anspråk som man kan föra talan om i domstol eller domstolsliknande organ och som kan utkrävas av eller med hjälp av statsmakterna. Eftersom de publicerade uppgifterna inte var av den arten stred behandlingen mot PuL. Datainspektionen förutsätter att HHS rättar sig efter dessa påpekanden. Ärendet avskrevs. Präst med alkoholproblem Det mest omskrivna fallet kommer från Svenska kyrkan. Vid skilsmässan från staten bestämde man sig för att hålla fast vid systemet med allmänna handlingar. Linköpings stift lägger ut sina protokoll på nätet och i ett sådant angavs namnet på en präst som hade fått bidrag från fattigkassan för att behandla sin alkoholism. Efter anmälan gjorde Datainspektionen tillsyn (dnr ) och stiftet tog bort uppgifterna. En komplikation var emellertid att sökmotorn Google hade lagrat vissa av uppgifterna i sitt indexregister. Om man sökte i Google på prästens namn kunde man få fram de uppgifterna även efter det att stiftet hade raderat dem. Google finns i USA och ligger alltså utom räckhåll för Datainspektionens tillsyn. Det finns andra sökmotorer som fungerar på liknande sätt. De uppdateras med vissa mellanrum och då ska raderat material försvinna, men uppgifterna i index kan alltså ligga kvar en tid. Samarbetssvårigheter Lundsbergs internatskola i Värmland har en öppen webbplats där man bl.a. publicerar informationsbrev till föräldrarna. Hösten 2000 skrev skolledningen i ett sådant brev att en namngiven anställd hade omplacerats på grund av samarbetssvårigheter och att han nu var sjukskriven. Den utpekade polisanmälde skolledningen för brott mot PuL. Han begärde också att uppgifterna skulle tas bort, men de fick ligga kvar tills nästa brev publicerades. Då hade uppgifterna legat ute i tre veckor. Polismyndigheten i Värmland begärde yttrande från Datainspektionen, som ansåg att uppgifterna är känsliga uppgifter som rör hälsa. Enligt PuL är det i princip förbjudet att behandla sådana uppgifter. Inga av de undantag som anges i PuL är tillämpliga, vilket innebär att stiftelsen för Lundsbergs skola synes ha gjort sig skyldig till straffbelagda brott mot PuL. Ringa brott mot PuL är straffria. Det som talar för att brottet är ringa är att uppgifterna var tillgängliga under ganska kort tid. Mot detta kan ställas att uppgifterna fick ligga kvar efter det att den utpekade hade begärt att de skulle tas bort. (dnr ) Den rättsliga processen drar ut på tiden. Enligt uppgift från Kristinehamns tingsrätt har huvudförhandlingen i målet varit utsatt flera gånger, men blivit uppskjuten och kommer troligen inte till stånd förrän efter årsskiftet. Misstänkt flygkapare Riksåklagaren namngav vid flera tillfällen den man som i somras greps i Västerås som misstänkt för förberedelse till flygkapning. Mannen frikändes senare från den misstanken. När RÅ uppmärksammades på publiceringen, tog man omedelbart bort namnet. Datainspektionen inledde inte någon tillsyn. Varnad elev Skolverket är tillsynsmyndighet för landets skolväsende. Tidigare publicerades alla tillsynsbeslut på verkets webbplats, men uppgifter som kunde identifiera de inblandade var borttagna. Förra sommaren råkade en elevs namn och personnummer slinka med av misstag. I två månader kunde man se att eleven flera gånger hade stängts av från skolan, blivit underkänd i flera ämnen, fått skriftliga varningar och drogtestats. Datainspektionen gjorde tillsyn (dnr ) och därefter beslutade Skolverket att ta bort alla tillsynsärenden som berör enskilda elever från webbplatsen. Ett skäl till detta var att även om personuppgifterna tas bort, kan det ändå vara möjligt att identifiera en enskild elev om skolan ligger på en mindre ort. Tillsynsbeslut som gäller kommuner och fristående skolor publiceras fortfarande. Tvångsomhändertagna barn Sigtuna kommun har de senaste åren satsat på att lägga ut kommunens offentliga material på sin webbplats; det var en av de första kommunerna i landet som gjorde sitt diarium sökbart på Internet. Men det brast i rutinerna, så att även socialnämndens beslut som överklagats till länsrätt eller kammarrätt länkades till webbplatsen. I ett halvår kunde man där läsa om ett trettiotal fall med namn på tvångsomhändertagna barn och personer som fått socialbidrag eller hade missbruksproblem. I somras fick Datainspektionen kännedom om fallet och gjorde tillsyn (dnr ). Kommunen tog bort de känsliga uppgifterna, ändrade sina rutiner och kontaktade dem som fått sina namn publicerade. Därmed lät Data-inspektionen sig nöja och avskrev ärendet utan vidare åtgärder. MAGAZIN DIREKT #4/2002 3

4 Efter ett klagomål gjorde Datainspektionen tillsyn. Då hade landstinget redan raderat uppgifterna. Man hade tidigare gjort bedömningen att de publicerade uppgifterna inte var personuppgifter, men efter en närmare granskning insåg man att den som har god kännedom om arbetsplatsen skulle kunna identifiera enskilda personer. Rutinerna skärptes och ärendet avskrevs. (dnr ) Äldre och handikappade Ett annat exempel på misstag vid offentlig upphandling var när Umeå kommun skulle ta in anbud på hemtjänstservice. Av misstag publicerade man då på kommunens webbplats namn och adress till 207 äldre och handikappade som får städhjälp av hemtjänsten. När misstaget upptäcktes togs uppgifterna omedelbart bort. Efter klagomål har Datainspektionen inlett tillsyn (dnr ). Ärendet är ännu inte avslutat. Bilder på barn Irstaskolan i Västmanland publicerade bilder på eleverna utan föräldrarnas samtycke. Detta har förekommit på flera skolor, men irstaföräldrarna var särskilt upprörda eftersom mer än tio av barnen under terminen fått snusksamtal från en okänd man. I Irsta finns för övrigt klara regler med en särskild blankett för föräldrarnas samtycke, men någon hade missat detta. (Källa: Vestmanlands Läns Tidning) Indragna körkort När Länsstyrelsen i Härnösand gjorde om sin diarieplan råkade man av misstag publicera namnen på de personer som fått sitt körkort indraget under året. Namnen togs bort efter några timmar. Datainspektionen gjorde ingen tillsyn. (Källa: Sundsvalls Tidning) Arbetssökandes personliga förhållanden I ett år fanns på Norrbottens läns landstings webbplats en lista med uppgifter om 87 personer som sökt tjänster som undersköterska, barnskötare och skötare vid Sunderby sjukhus. Förutom namn, personnummer, hemtelefonnummer, adress och utbildning fanns anteckningar om de sökandes önskemål och personliga förhållanden. Datainspektionen gjorde tillsyn och fick beskedet att uppgifterna av misstag hade publicerats i strid med landstingets interna rutiner. Uppgifterna togs bort och ärendet avskrevs. (dnr ) Skyddad identitet En förtvivlad man ringde Datainspektionen: Jag har fått ny identitet, både nytt namn och nytt personnummer. Mitt fackförbund har en medlemsförteckning på webben. Den är skyddad med lösenord, men alla medlemmar har tillgång till den och där finns både min gamla och nya identitet utskrivna. Både namn och personnummer. Jag har kontaktat dem, men den jag talade med sa att hon inte kan ändra uppgifterna, det måste göras centralt. Datainspektionen ringde omedelbart upp förbundet och inom en timme var de gamla identitetsuppgifterna raderade. Facklig tillhörighet I samband med en upphandling publicerade Stockholms läns landsting uppgifter om personal som skulle övergå till annan verksamhet om upphandlingen genomfördes. Uppgifterna rörde nuvarande arbetsplats, födelsedatum (år och månad), befattning, lön samt facklig tillhörighet (som är känslig uppgift enligt PuL). Det är inte bara via webben som känsliga uppgifter sprids: En kvinna i Malmö har hela året irriterats av påringningar där det bara har hörts en pipande faxton. Till slut lånade hon en fax och anslöt den. Då kom det medicinbeställningar som egentligen skulle till ett apotek i Malmö. Flera av beställningarna var märkta Sekretess. Det visade sig att telefonnumret var identiskt med apotekets faxnummer om man glömt bort att slå en inledande nolla. (Källa: Kvällsposten) En privatperson på Gotland fick e-post från ett vårdföretag med sekretessbelagd information om främmande personer. Troligen hade ett datavirus varit i farten och sänt e-posten. (Källa: Gotlands Tidningar) 4 MAGAZIN DIREKT #4/2002

5 Från årsskiftet kan alla som har en webbplats anmäla en ansvarig utgivare och skaffa ett utgivningsbevis. Sådana webbplatser skyddas av Yttrandefrihetsgrundlagen (YGL) och då gäller inte PuL. PuL sätts ur spel när webbplatser får utgivare FRÅN DEN 1 JANUARI 2003 kan alla övertramp liknande dem som nämnts här ovan göras immuna mot PuL. Då kan myndigheter, företag, organisationer, privatpersoner och andra som har en webbplats anmäla en ansvarig utgivare och skaffa utgivningsbevis. Då skyddas sajten av YGL och därmed sätts PuL ur spel. Den som känner sig kränkt av det som skrivs på en sådan webbplats kan inte längre få hjälp av Datainspektionen. Den som vill ha upprättelse är istället hänvisad till att till exempel polisanmäla fallet för att starta ett tryckfrihetsmål eller att lämna in en stämningsansökan för förtal. I november antog riksdagen förslaget för andra gången (proposition 2001/02:74, utskottsbetänkandena 2001/02:KU21 och 2002/03:KU8, se även DIrekt 4/01 och 3/02). Eftersom beslutet gäller ändringar i grundlag (YGL), har riksdagen behandlat förslaget två gånger med mellanliggande val. Samtidigt ändrades YGL så att olaga hot och andra hot som framförs i medier ska kriminaliseras som tryckfrihets- och yttrandefrihetsbrott. HITTILLS HAR GRUNDLAGARNA Tryckfrihetsförordningen (TF) och Yttrandefrihetsgrundlagen (YGL) skyddat vissa särskilt utpekade medier. Exempelvis skyddas en dagstidnings webbplats av grundlag och får inte granskas enligt PuL. Nu ska alltså alla webbplatser kunna skyddas på samma sätt. I SITT YTTRANDE ÖVER FÖRSLAGET (dnr ) varnade Datainspektionen för att en utökning av det grundlagsskyddade området för behandling av personuppgifter minskar skyddet för personlig integritet enligt PuL och 7:16 sekretesslagen i motsvarande mån. Till exempel kan personuppgifter publiceras på en webbplats med grundlagsskydd trots att det är förbjudet enligt PuL. Samma dag antog riksdagen en ändring i TF. Den som begär ut en allmän handling från en myndighet har idag enbart rätt att få ut handlingen som utskrift på papper. Från årsskiftet kan man nu också begära att få ut uppgifter som myndigheten har i en databas. Dock får inga personuppgifter ingå och ett villkor är att myndigheten kan ta fram uppgifterna med rutinbetonade åtgärder. TF ändrades också så att riksdagen senare i vanlig lag ska kunna ålägga myndigheter att lämna ut offentliga handlingar via e-post. MAGAZIN DIREKT #4/2002 5

6 Han finns med varhelst man diskuterar PuL. Sören Öman. Just nu ämnessakkunnig på Justitiedepartementet och särskild utredare med uppgift att så långt EU:s dataskyddsdirektiv tillåter göra om PuL från hanteringslag till missbrukslag. På väg mot en bättre PuL Ständigt denne Öman! Så snart PuL är på tapeten dyker hans namn upp: Sekreterare i Datalagskommittén (som arbetade fram PuL); medförfattare till lagkommentaren om PuL; på plats när Europarådets dataskyddskonvention diskuteras; på plats när EG-domstolen tar upp PuL:s förhållande till EG-rätten och när EG-kommissionen utvärderar av EU:s dataskyddsdirektiv; resande förhandlare som syr ihop krav på ändringar i direktivet och nu särskild utredare som ska försöka göra om PuL till en missbrukslag. Med mera. Hur går det med utredningen? Det går bra, vi kommer att bli klara i tid, före den siste mars. Detaljerna är förstås inte klara än, men jag har gott hopp om att vi ska kunna vrida PuL så att den i lite högre grad reglerar missbruk av personuppgifter. Idag handlar ju lagen mest om hur man ska hantera uppgifterna. Vi har tittat på hur andra länder har skrivit in dataskyddsdirektivet i sin nationella lagstiftning; man har tagit sig olika friheter visavi direktivet, men inget land har en riktig missbruksmodell. Jag kan lova att vårt förslag kommer att gå längst i Europa vad beträffar missbruksmodell. Kommer ni att föreslå en ny lag? Nej, grunden är ju ett direktiv med 34 olika artiklar som vi är låsta till. Vi tittar på alla paragrafer i PuL, men eftersom vi måste följa direktivet blir det inte ett förslag till något helt nytt utan snarare ändringar i nuvarande PuL. Kommer PuL att fungera som missbrukslag efter era justeringar? Som direktivet ser ut idag, går det inte att göra en renodlad missbrukslag. Om det ska gå att genomföra, behöver direktivet ändras. Det jobbar vi också med, men det tar tid. Det är bara EG-kommissionen som får föreslå ändringar och vi har lämnat ett förslag där vi kräver ändringar. Där lyckades vi få med oss tre andra EU-länder, UK, Finland och Österrike, och det ser jag som en stor framgång som visar att även ett litet land kan förändra attityden i EU. När jag för några år sedan började resa till Bryssel och berätta om den svenska debatten, om till exempel internetpublicering, verkade dom tycka att 6 MAGAZIN DIREKT #4/2002

7 här kommer en man från ett konstigt litet land där uppe i norr som sysslar med underliga frågor dom förstod helt enkelt inte problemen. Från det läget och till nu när vi fått med oss tre stater som kräver förändringar har det tagit lång tid och mycket arbete. Men det visar att man kan påverka om man är målmedveten. Ni fick med tre länder av fjorton. Vad hände med de andra elva? Vi sökte naturligtvis stöd för vårt förslag hos flera länder, men jag kan inte gå in på detaljer. Det är ju så i sådana här långdragna internationella förhandlingar att om man går ut och berättar hur diskussionerna har gått, och vad det beror på att man inte har kunnat enas, så kommer man ingenvart nästa gång man försöker. Förslaget till EG-kommissionen innehåller några huvudpunkter: * Tydliggöra när internetpublicering är tillåten. * Reda ut när uppgifter är känsliga (Man kan t.ex. av en bild gissa sig till en persons etniska tillhörighet eller att han är sjuk). * Reda ut vad det är rimligt att ett registerutdrag ska innehålla. * Lätta upp reglerna om information till de registrerade. * Lätta upp skyldigheten att anmäla behandlingar till dataskyddsmyndigheten. Kommissionen hade i höstas en konferens där direktivet utvärderades men ännu har inga förslag eller kommentarer kommit. EG-domstolen väntas snart komma med en dom som handlar om hur PuL förhåller sig till EU:s dataskyddsdirektiv. Du var själv med i Luxemburg när ärendet förbereddes. Kommentar? Vi väntar förstås på domen och hoppas att den kommer i tid så att vi kan ta hänsyn till den i utredningsförslaget. Generaladvokatens förslag innebär att vissa behandlingar undantas från EG-rätten. Om domstolen går på den linjen måste luckorna täckas upp med nationella skyddsregler som medlemsländerna själva bestämmer. Om sådana regler skulle behövas är det ju bra om de kommer med i lagförslaget. Förhållandet mellan personvärn och öppenhet diskuteras mycket. I vissa länder har man inrättat en gemensam myndighet som ska sköta båda frågorna. Vad tycker du? I Sverige finns öppenheten i tjänstemännens blod. Medvetenheten om det behöver bara livas upp då och då, till exempel genom projekt som Öppna Sverige. Någon särskild myndighet för öppenhet behövs inte i Sverige. Hur ser framtiden ut för PuL? Framför allt hoppas jag att debatten i framtiden mer ska handla om vilket integritetsskydd vi ska ha än om hur lagen ska tolkas. Vi ska ju diskutera sakfrågor och inte krångliga hanteringsregler. Förslag till tolkning av dataskyddsdirektivet INTERNATIONELLT EU-konferens om direktivets framtid PuL grundar sig på EU:s dataskyddsdirektiv. EGkommissionen, den enda instans som får föreslå ändringar i direktivet, anordnade under hösten en konferens för att utvärdera hur direktivet har fungerat när EU-länderna har fört in det i sina nationella lagar. Bland annat har man samlat in synpunkter i en öppen enkät inom hela EU. Kommissionen har ännu inte tagit ställning i frågan, men ett omfattande material från konferensen och resultatet av enkäten finns på kommissionens webbplats. Du hittar enklast fram till dokumenten via Datainspektionens webbplats, där det finns länkar i en notis EG:s dataskyddsdirektiv 95/46/EG ligger till grund för PuL och det är EG-domstolen i Luxemburg som slutgiltigt avgör hur direktivet ska tolkas. Under hösten har domstolens generaladvokat Antonio Tizzano lämnat förslag till avgörande i två fall. Det ena kommer från Sverige, där Göta hovrätt har begärt ett s.k. förhandsavgörande i fallet med konfirmandläraren som fälldes i tingsrätten för att ha publicerat bl.a. känsliga uppgifter på Internet (se DIrekt 2/02). Det andra fallet kommer från Österrike, där Revisionsrätten enligt lag ska samla in och offentliggöra vissa inkomster över ett visst belopp. Frågan gäller om skyddet för personuppgifter tar över den lagen så att uppgifterna inte får lämnas ut. I båda fallen anser generaladvokaten att frågorna inte omfattas av direktivet. I Sverige gäller emellertid PuL generellt och inte bara för sådant som omfattas av EGrätten. Det beror på att Sverige enligt grundlagen, regeringsformen och Europarådets dataskyddskonvention ska ha ett generellt verkande skydd för den personliga integriteten. Göta hovrätt ska pröva det aktuella målet enligt PuL och inte enligt EG-rätten. Alla andra EU-länder som har implementerat dataskyddsdirektivet i sin nationella lagstiftning har också generella lagar för skydd av personuppgifter. EG-domstolen har ännu inte tagit ställning till generaladvokatens förslag, som finns på domstolens webbplats. Du hittar enklast fram till dokumenten via Datainspektionens webbplats, där det finns länkar i en notis med samma rubrik som denna. Enligt en ny lag kan tullen i USA begära tillgång till flygbolagens passagerarinformation vid flygningar till och från USA. Uppgifterna kan komma att lämnas vidare till andra myndigheter i USA. SAS har ännu inte fått någon begäran, men har kontaktat datainspektionerna i Sverige, Norge och Danmark med förfrågan om ett sådant utlämnande är förenligt med ländernas integritetsskyddslagar. Ärendet har föredragits i Datainspektionens styrelse och regeringskansliet har informerats om förfrågan. Mer om detta i nästa nummer av DIrekt. MAGAZIN DIREKT #4/2002 7

8 KORTFATTAT Mikrokort i pärmar var manuellt register En person begärde att en anteckning om obetald parkeringsavgift skulle raderas ur kronofogdens register. Skulden hade nämligen betalats enligt överenskommelse. Men uppgiften hade hunnit gallras ur registret och var överförd till mikrokort. Myndigheten vägrade pröva ärendet om rättelse eftersom man inte ansåg sig ha skyldighet att rätta uppgifter som förts över till mikrokort. Avslutade mål gallras en gång per år ur kronofogdens utsöknings- och indrivningsregister REX. Uppgifterna förs över till mikrokort som är ordnade efter personnummer. Det finns också ett alfabetiskt register som kan användas för att finna det personnummer som behövs för att hitta uppgifterna som främst används internt som verifikationer över in- och utbetalningar. Kronofogdemyndigheten ansåg att eftersom korten söks fram manuellt och det bara finns ett sökkriterium, omfattas uppgifterna inte av de regler om rättelse av felaktiga uppgifter som finns i PuL och lagen om behandling av uppgifter i kronofogdemyndigheternas verksamhet (databaslagen). Vägran att rätta uppgifterna överklagades till Länsrätten i Stockholm, som begärde yttrande från Datainspektionen. Huvudfrågan var om mikrokorten är ett manuellt register, vilket i lagtexten definieras som en strukturerad samling av personuppgifter som är tillgängliga för sökning eller sammanställning enligt särskilda kriterier. Ordet kriterier är pluralis, vilket tyder på att det bör finnas mer än en sökväg för att det ska vara fråga om ett manuellt register. Däremot framgår det inte om alla kriterier, eller bara ett av dem, måste röra personuppgifter. I det aktuella fallet var personnummer ett sökkriterium. Dessutom förvaras korten i pärmar som är sorterade efter gallringstidpunkt, vilket också kan vara ett sökkriterium. Om en person har ett aktuellt ärende registrerat i REX och dessutom finns registrerad på mikrokort, syns också noteringen MIK vid sökning i REX. Där syns även tidpunkt för gallring och annan information som gör det möjligt att hitta rätt kort. Datainspektionens samlade bedömning var att sökbarheten inte uppfyller de krav som gör att PuL eller databaslagen ska tillämpas. (dnr ) Länsrätten ansåg att det faktum att lagtexten anger ordet kriterier i pluralis inte ska tillåtas avgöra om en samling personuppgifter ska anses vara ett manuellt register eller ej. Det väsentliga är om samlingen är väl strukturerad och tillgänglig för sökning. I så fall får man anta att de registrerade har intresse av att uppgifterna skyddas och då bör samlingen omfattas av PuL och databaslagen. Länsrättens samlade bedömning var att mikrokorten är ett manuellt register som omfattas av PuL och databaslagen, varför kronofogdemyndigheten inte hade rätt att avvisa begäran om rättelse. Det överklagade beslutet upphävdes. (Målnr E). Din myndighet måste kunna läsa din e-post på semestern Om du arbetar på myndighet och har en personlig e-postadress måste du se till att någon annan på myndigheten kan vittja din e-brevlåda när du är på semester. Man måste kunna komma åt meddelanden som kan vara allmän handling. Det har Justitieombudsmannen (JO) beslutat. Grunden är en anmälan mot kommunstyrelsen i Sundsvall. En reporter på TV4 klagade över att kommunens rutiner för e- post ställde till problem när politiker och tjänstemän hade semester eller var frånvarande av andra skäl. Då kunde e- post och datalagrade förteckningar vara otillgängliga under flera veckor i sträck. JO skrev i sitt beslut att e-postmeddelanden som kommer in till en befattningshavares brevlåda kan vara allmän handling. Detta ska prövas skyndsamt, vilket kräver att handlingen är tillgänglig för myndigheten. Att befattningshavaren är frånvarande när meddelandet kommer in, saknar betydelse för bedömningen. Förhållandet ändras inte av att den som har skickat meddelandet får ett svarsmeddelande som säger att mottagaren t.ex. är på semester. JO skriver vidare att även om inga nya meddelanden har kommit in, behöver myndigheten ändå ha tillgång till e- postlådan. Meddelanden som tidigare har sänts eller tagits emot kan också vara allmänna handlingar. Även datalagrade förteckningar över in- och utgående e-postmeddelanden (e-postloggar) hos myndigheters tjänstemän är allmänna handlingar som myndigheten behöver ha tillgång till. JO sammanfattar om befattningshavare har egna e-postadresser hos en myndighet, måste myndigheten ha rutiner som tillförsäkrar att såväl innehållet i befattningshavarens e-postlåda som e-postloggen är tillgängligt för myndigheten även under befattningshavarens frånvaro. Myndigheters rätt att ta del av vanliga postförsändelser som adresseras direkt till befattningshavare grundas normalt på fullmakt från befattningshavaren. Ett sådant system är lämpligt även beträffande e-post. JO:s beslut, dnr , finns på JO:s webbplats Så här kan en förteckning se ut En personuppgiftsansvarig som har utsett ett personuppgiftsombud slipper anmäla vissa behandlingar till Datainspektionen. I stället ska ombudet föra en förteckning över behandlingarna (39 PuL). Datainspektionen har fått många frågor om hur en förteckning ska utformas och nu finns ett exempel på hur den kan se ut. Observera att det är ombudet som ska förvara förteckningen. Den ska inte sändas in till Datainspektionen utan hållas aktuell och tillgänglig t.ex. som stöd när registrerade begär information (26 PuL) eller vid inspektioner. Förteckningen kan fyllas i på skärmen och skrivas ut och förvaras i en pärm. Observera också att detta är ett exempel på hur en förteckning kan se ut. Det står ombudet fritt att utforma förteckningen på annat sätt. En förteckning ska omfatta åtminstone de uppgifter som en anmälan enligt 36 PuL skulle ha innehållit. Exempelblanketten hittar du på Klicka på Personuppgiftsombud på första sidan. 8 MAGAZIN DIREKT #4/2002

9 Tre månaders fängelse för brott mot PuL En högerextremist som hade fört ett register över meningsmotståndare dömdes till tre månaders fängelse för grovt brott mot PuL. En jämnårig kamrat som hade fört samma register, friades däremot. Han hade börjat arbeta med registret innan PuL trädde i kraft och av lagtekniska skäl kunde han inte dömas för brott mot datalagen. NÄR SÄPO GJORDE HUSRANNSAKAN hos den kände nazist som 1999 dömdes för mordet på fackföreningsmannen Björn Söderberg fann man i en dator ett register med uppgifter om personer. Foto, namn, personnummer, adress, telefonnummer och även etniskt ursprung, politisk tillhörighet och sexuell läggning. Speciella beteckningar användes, exempelvis J för jude, SVA för svartskalle och RÖDING för vänstersympatisör. Polisen fann också korrespondens per e-post som ledde till de åtalade, båda 24 år gamla, den ene bosatt i Skåne, den andre i Göteborg. Bearbetade kopior av registret togs i beslag hos dem år RÄTTEGÅNGEN I HELSINGBORGS TINGSRÄTT visade att skåningen hade fått registret 1998 och att det var han som hade arbetat mest med det sände han en cd med registret till göteborgaren som arbetade vidare med kompletteringar tills registren beslagtogs år Göteborgarens behandling reglerades av PuL och domstolen ansåg att syftet med registreringen var att möjliggöra angrepp på de registrerade. Mannen dömdes till tre månaders fängelse för grovt brott mot PuL. (Mål nr B ) SKÅNINGEN, DÄREMOT, hade börjat bearbeta materialet före den 24 oktober 1998 då PuL trädde i kraft och därför skulle hans brott bedömas enligt datalagen. Brottet mot datalagen var att han utan licens och tillstånd hade registrerat känsliga uppgifter. PuL, som nu har tagit över efter datalagen, innehåller inte några regler om licens och tillstånd. Därför kunde mannen inte dömas för ett sådant brott, så han frikändes. Registret innehöll bland annat skyddade uppgifter om en journalist i Nacka som skadades av en bilbomb. De uppgifterna kom från en annan högerextremist vars mor hade hämtat dem från Försäkringskassan, där hon arbetade. Hon har tidigare dömts för brott mot tystnadsplikten. DOMARNA HAR ÖVERKLAGATS. Hovrätten i Malmö beräknas ta upp målet under våren. De registrerade kan begära skadestånd. Vid rättegången prövades ett pilotfall, en advokat som hade begärt kronor. Göteborgaren dömdes att betala kronor. Därefter har 300 av de registrerade krävt skadestånd. De yrkan-dena kommer att tas upp senare i särskilda civilmål. MAGAZIN DIREKT #4/2002 9

10 Vilken information ska en bank lämna? Datainspektionen fick ett klagomål på den information som Skandinaviska Enskilda Banken hade lämnat efter en ansökan enligt 26 PuL. Den paragrafen säger att den personuppgiftsansvarige på begäran ska lämna skriftlig information om vilka uppgifter om den sökande som behandlas, varifrån uppgifterna har hämtats, ändamålet med behandlingen och till vilka mottagare eller kategorier av mottagare som uppgifterna lämnas ut. Regeln omfattar även personuppgifter i form av ljud eller bild. Det finns vissa undantag för uppgifter i löpande text. Klagomålet gällde att 26 -beskedet inte innehöll information om kontonummer, kontotransaktioner och inspelning av samtal till telefonbanken. Datainspektionen gjorde tillsyn och diskuterade innehållet i informationen. Banken ansåg, att eftersom man kontinuerligt informerar sina kunder om kontonummer, kontotransaktioner och saldon är det inte ändamålsenligt att tynga ett 26 -besked med de uppgifterna, som kan vara omfattande. Datainspektionen instämde delvis och man enades om att bankens 26 -besked i fortsättningen ska innehålla kontonummer och, i förekommande fall, depånummer. Dessutom ska det finnas information om lån: lånenummer och säkerheter, t.ex. fastighetsbeteckning. Beträffande samtal till telefonbanken behöver banken veta tidpunkten för samtalet för att kunna söka fram uppgifterna. Information om detta kommer i fortsättningen att finnas i 26 -beskedet. Slutligen kommer utdraget att kompletteras med information om mottagare av personuppgifter, t.ex. skattemyndigheten, kreditupplysningsföretag, Bankgirot och andra koncernbolag. Ärendet (dnr ) avskrevs därmed. Personuppgifter hos rekryteringsföretag TILLSYN I ett projekt har Datainspektionen inspekterat tio företag som hjälper sina uppdragsgivare att anställa personal, s.k. rekryteringsföretag. Samtliga företag behandlade personuppgifter av liknande slag och på likartat sätt. Inspektionerna visade på två huvudsakliga brister: * Informationen till de registrerade uppfyllde inte kraven enligt PuL. Flera företag informerade inte alls. * Enligt PuL får inte uppgifterna sparas längre än vad ändamålet för behandlingen kräver. Några företag sparade uppgifterna för länge. Några gallrade överhuvudtaget inte. Genforskare följer inte Datainspektionens beslut Forskare som ska behandla personuppgifter om genetiska anlag måste alltid i förväg anmäla det till Datainspektionen för förhandskontroll. Då får de ett beslut med anvisningar om bl.a. hur deltagarna i en studie ska informeras innan de går med på att delta i studien, hur deras samtycke ska hämtas in och hur personuppgifterna ska skyddas. Under 2002 har Datainspektionen inspekterat 36 forskningsprojekt som har anmälts för förhandskontroll för att kontrollera om de personuppgiftsansvariga hade rättat sig efter Datainspektionens beslut. Anmärkningsvärt många hade valt att inte följa beslutet, med påföljd att mycket känsliga personuppgifter har behandlats utan giltigt samtycke och utan att de registrerade har fått tillräcklig information. Datainspektionens rapport 2002:3 Behandling av personuppgifter hos rekryteringsföretag och 2002:4 Personuppgifter i genforskning uppföljning av förhandskontroller kan hämtas på Tryckta versioner av rapporterna kostar 50:- plus moms och kan beställas på webbplatsen eller per telefon Socialstyrelsen registrerar känsliga uppgifter i onödan Socialstyrelsen (SoS) är tillsynsmyndighet för personal inom hälso- och sjukvården. Efter tips från apotek eller polis granskar och registrerar man läkare som skriver ut stora mängder narkotiska läkemedel. Det har förekommit att läkare har skrivit ut recept mot betalning eller för att de har känt sig hotade. Förutom uppgifter om läkare, preparat och utskriven mängd, registreras också patienternas namn och personnummer. De uppgifterna behöver man för att kunna ta fram journaler och se om de utskrivna doserna är normala. Patienterna informeras inte om registreringen. Den 1 juli i år ändrades receptregisterlagen så att SoS får tillgång till apotekens receptregister. Detta för att tillsynen över förskrivningarna ska kunna effektiviseras. Enligt den lagen får man registrera uppgifter om läkarna, men inte om patienterna. Datainspektionen har inspekterat SoS tillsynsregister och konstaterar att det inte finns lagstöd för att registrera de mycket känsliga patientuppgifterna. Om uppgifterna behövs för att söka fram journaler kan de registreras i kodad form så att inga obehöriga kan utläsa patienternas identitet. En annan fråga gällde kravet i PuL på information till de regist- rerade. SoS har hävdat att man inte behöver informera och hänvisar till lagen om yrkesverksamhet på hälso- och sjukvårdens område. Man anser att den lagen tar över PuL när det gäller information. Datainspektionen gör däremot bedömningen att ett sådant undantag ska vara uttryckligen föreskrivet i lagen, vilket inte är fallet. I sitt beslut sammanfattar Datainspektionen: med beaktande av att det pågår en översyn av PuL i syfte att åstadkomma ett regelverk som mera tar sikte på missbruk av personuppgifter (Dir 2002:31), företar Datainspektionen ingen åtgärd på grund av Socialstyrelsens bristande information till de registrerade. Däremot ser Datainspektionen allvarligt på förhållandet att Socialstyrelsen slentrianmässigt registrerar många fler mycket känsliga personuppgifter angående enskilda personers narkotikaförskrivna läkemedel än som är nödvändigt med hänsyn till ändamålet. I den bedömningen har även beaktats att de registrerade inte informeras enligt PuL. Datainspektionen förutsätter att Socialstyrelsen beaktar vad som har uttalats ovan. Ärendet avskrivs. (dnr ) 10 MAGAZIN DIREKT #4/2002

11 UTBILDNING Vårens seminarier och kurser Datainspektionen har under 2002 genomfört fjorton seminarier för personuppgiftsombud (åtta i Stockholm, tre i Göteborg, två i Malmö och ett i Umeå). De flesta har varit fulltecknade. Vi har också hållit åtta PuLkurser som är öppna för alla (sju i Stockholm och en i Göteborg). Här har intresset varit något svagare. I vårens kursplan lägger vi därför tyngdpunkten på seminarier för ombuden. OBS Vi har noterat att ombudet ofta har ett nära samarbete med verksjuristen, kommunjuristen eller motsvarande. Därför är även juristen välkommen på ombudens seminarier. Så här ser vårens planering ut. Program och närmare detaljer på där du också kan anmäla dig. SEMINARIER FÖR PERSONUPPGIFTSOMBUD 14 januari Stockholm 28 januari Stockholm 11 februari Stockholm 11 mars Malmö 25 mars Stockholm 8 april Umeå 6 maj Stockholm 20 maj Göteborg PUL-KURSER, ÖPPNA FÖR ALLA 13 februari Stockholm 10 april Stockholm Hur vill du ha i fortsättningen? På Vi lägger fortlöpande ut nyhetsnotiser på vår webbplats. Fyra gånger per år samlar vi ihop, redigerar och kompletterar materialet som då bildar ett nytt nummer av magazin DIrekt. Magazinen kan också laddas hem i PDF-format från vår webbplats. E-post med länk Du kan prenumerera på Datainspektionens nyheter. När något nytt publiceras på vår webbplats, t.ex. när ett nytt nummer av magazin DIrekt har kommit ut, får du som prenumerant ett e-brev med en länk. Anmäl dig som prenumerant på Med post Vi kan också sända dig en tryckt utgåva av magazin DIrekt. Fyll i uppgifterna på kupongen här nedanför och skicka eller faxa den till oss. Du kan också e-posta uppgifterna. Oavsett distributionsform är DIrekt gratis. magazin DIrekt produceras av Datainspektionen, Box 8114, Stockholm. Tel: (växel), (beställningar). Fax: E-post: datainspektionen@datainspektionen.se. Webbplats: Layout: Datainspektionen Foto och illustration: Stone/Alexander Walter s. 1, 2, Robert Källgren s. 3, 4, 5, Micael Engström s. 7, Otto Dickmeiss s. 9. Ansvarig utgivare: Ulf Widebäck. Redaktör: Leif Stenström. ISSN JA! JAG VILL HA MAGAZIN DIREKT med post Brevporto SKRIV TYDLIGT! (Du behöver inte svara om du tidigare skickat in kupongen eller om du hämtar DIrekt via Internet) Företag/myndighet/organisation:... Personnamn... Postadress... Jag medger att uppgifterna dataregistreras. DATAINSPEKTIONEN BOX STOCKHOLM MAGAZIN DIREKT #4/

12 B PORTO BETALT Rättvisans ansikte(n) Datainspektionen Box Stockholm SÅ VAR DET DAGS för det allmänna rättsmedvetandet igen! Två nazistsympatisörer har fört register över sina fiender. Namn, adress, personnummer, foton, telefonnummer m.m. har kompletterats med beteckningar som J (jude) SVA (svartskalle) RÖDING och annat. Den förste, som vi kallar A, tog i början av 1998 över registret från en känd nazist som är dömd till ett långt fängelsestraff. A fortsatte arbetet, uppdaterade och kompletterade skickade A en kopia på registret till meningsfränden B, som gjorde sammaledes. År 2000 slog polisen till och beslagtog båda registren. SAKEN LEDDE TILL ÅTAL, och nyligen kom domen. B dömdes för grovt brott mot PuL till tre månaders fängelse. I ett pilotfall dömdes han också att betala kronor i skadestånd till en av de registrerade (därefter har ytterligare 300 registrerade begärt skadestånd). Så långt var allt gott och väl. Men A, som hade gjort samma sak men hållit på ett år längre, han frikändes. VARFÖR NU DETTA? Jo, A hade börjat sin registrering före den 24 oktober 1998 när PuL trädde i kraft, och polisen slog till före den 1 oktober 2001, när datalagen slutgiltigt upphörde. Därför skulle A:s brott bedömas enligt datalagen och då var brottet att A utan licens och tillstånd från Datainspektionen hade fört ett register med känsliga personuppgifter. Nu finns det en regel i svensk lag som säger att om man gör något olagligt och den lagen mildras innan man hinner dömas, ska brottet bedömas enligt den nya lagen. PuL innehåller inga bestämmelser om licens och tillstånd, och därför frikändes A. DEN HÄR REGELN kan säkert vara berättigad många gånger. Om du gick mot röd gubbe när det gav böter, men döms först när bötesstraffet är borttaget, är det ju rimligt att du slipper böta. Lagen har ändrats för att samhällets syn på brottet har förändrats. Men i det här fallet har inte samhällets syn ändrats. Att registrera etnisk tillhörighet och politiska åsikter var precis lika förbjudet på datalagstiden som nu. Det är bara ett par administrativa begrepp som har försvunnit. En ytterligare pikant detalj är, att om polisen hade slagit till efter den 1 oktober 2001 då datalagen upphörde, så hade A:s register automatiskt hamnat under PuL och A och B hade bedömts lika. NU HAR DOMARNA överklagats. Med spänt intresse inväntar vi hovrättens bedömning av fallet. Leif Stenström DATAINSPEKTIONENS INFORMATIONSCHEF NÄSTA NUMMER KOMMER I MARS.