Tillsyn över behandlingen av personuppgifter i Försvarets radioanstalts försvarsunderrättelseoch utvecklingsverksamhet
|
|
- Lars-Göran Mattsson
- för 8 år sedan
- Visningar:
Transkript
1 Beslut Diarienr 1 (19) Ert diarienr KH20 400:6041/16 Försvarets radioanstalt (FRA) Box Bromma Tillsyn över behandlingen av personuppgifter i Försvarets radioanstalts försvarsunderrättelseoch utvecklingsverksamhet Datainspektionens beslut Datainspektionen konstaterar att Försvarets radioanstalt (FRA) behandlar personuppgifter i strid med 3 kap. 2 första stycket lagen (2007:259) om behandling av personuppgifter i Försvarets radioanstalts försvarsunderrättelse och utvecklingsverksamhet (FRA PuL) genom att inte genomföra regelbundna logguppföljningar i försvarsunderrättelseverksamheten. Datainspektionen förutsätter att FRA inför den centrala logganalysfunktion som myndigheten har redogjort för i ärendet. FRA föreläggs att till Datainspektionen senast den 1 maj 2017 lämna en skriftlig redogörelse för de åtgärder som myndigheten har vidtagit och avser att vidta i fråga om den centrala logganalysfunktionen. Utöver vad som framgår ovan lämnar Datainspektionen, med anledning av den fråga som Statens inspektion för försvarsunderrättelseverksamheten (SIUN) har anmält till Datainspektionen, sin tolkning av 1 kap. 13 FRA PuL, se s. 15. Ärendet avslutas. Postadress: Box 8114, Stockholm E-post: datainspektionen@datainspektionen.se Webbplats: Telefon:
2 Datainspektionen Diarienr (19) Redogörelse för tillsynsärendet Datainspektionen har granskat delar av den personuppgiftsbehandling som Försvarets radioanstalt (FRA) genomför enligt lagen (2007:259) om behandling av personuppgifter i Försvarets radioanstalts försvarsunderrättelse och utvecklingsverksamhet (FRA PuL) med anslutande förordning (2007:261) (FRA PuF). Detta innefattar också den personuppgiftsbehandling som sker vid FRA i samband med inhämtning enligt lagen (2008:717) om signalspaning i försvarsunderrättelseverksamhet (LSF). Tillsynen inleddes genom att Datainspektionen begärde att FRA skriftligen skulle besvara ett antal frågor kring den personuppgiftsbehandling som sker. Datainspektionen har därefter genomfört inspektion på plats hos FRA vid fyra tillfällen och då dels fått en genomgång av den personuppgiftsbehandling som sker, dels granskat personuppgiftsbehandlingen i två av Datainspektionen utvalda projekt hos FRA. Granskningen av de två projekten har gått till så att Datainspektionen först fått en teoretisk genomgång av respektive projekt. Därefter har inspektionen förevisats det praktiska arbete som utförs av enskilda analytiker med hjälp av uppgifter från olika gemensamt tillgängliga uppgiftssamlingar i respektive projekt. Personal på FRA har genomfört sökningar på begäran av Datainspektionen och i övrigt förevisat systemen i enlighet med inspektionens anvisningar. Tillsynen har dels skett som ett led i Datainspektionens planerade tillsynsverksamhet, dels som en uppföljning av den granskning som inspektionen genomförde under 2010 enligt regeringsuppdraget Fö2009/355/SUND. Därutöver har tillsynen omfattat en rättslig fråga som Statens inspektion för försvarsunderrättelseverksamhet (SIUN) anmält i enlighet med 15 andra stycket i förordningen (2009:969) med instruktion för Statens inspektion för försvarsunderrättelseverksamhet. Frågan gäller tolkningen av 1 kap. 13 FRA PuL, se Datainspektionens ärende med dnr De frågor som Datainspektionen har ställt till FRA har bland annat rört de förändrade förutsättningarna för personuppgiftsbehandling till följd av möjligheterna att inhämta signaler i tråd, kraven på nödvändighet och anknytning till en preciserad inriktning, behandlingen av känsliga personuppgifter, förstöringsplikt, gallring och loggning.
3 Datainspektionen Diarienr (19) FRA har gett in skriftligt svar på de av Datainspektionen ställda frågorna. Datainspektionen har därutöver tagit del av FRA:s interna föreskrifter och annan relevant dokumentation. FRA har redogjort för den verksamhet som bedrivs samt för de rutiner och arbetssätt som tillämpas avseende behandling av personuppgifter enligt FRA PuL och LSF. Den verksamhet som FRA bedriver är sådan att den i stor utsträckning omfattas av kvalificerad sekretess. Mot den bakgrunden återges vad som har framkommit i ärendet endast i begränsad omfattning. FRA har försett inspektionen med de uppgifter som behövts för ärendets handläggning. Skäl för beslutet Beskrivning av FRA:s verksamhet och rättsliga utgångspunkter Försvarsunderrättelseverksamhet ska enligt lagen (2000:130) om försvarsunderrättelseverksamhet bedrivas till stöd för svensk utrikes, säkerhets och försvarspolitik samt i övrigt för att kartlägga yttre hot mot landet. Verksamheten ska fullgöras genom inhämtning, bearbetning, analys av information samt rapportering. Teknisk inhämtning av information kan ske genom signalspaning vilket regleras i LSF. I 1 andra stycket LSF anges uttömmande de syften för vilka signalspaning i försvarsunderrättelseverksamhet får ske. Försvarsunderrättelseverksamhet bedrivs av Försvarsmakten, Försvarets radioanstalt, Försvarets materielverk och Totalförsvarets forskningsinstitut. Det är regeringen som bestämmer försvarsunderrättelseverksamhetens inriktning. Signalspaning handlar om att inhämta signaler, bearbeta och analysera dessa samt att rapportera underrättelser. Inhämtade signaler kan ge information om innehållet i ett meddelande men också information om meddelandet och dess förmedling, s.k. trafikdata. Inhämtning av signaler kan ske till exempel via satellit eller tråd (om signalspaning se prop. 2006/07:63, s. 22 f). Medan LSF framför allt tar sikte på inhämtningen av signaler, omfattar FRA PuL hanteringen av de personuppgifter som inhämtats och är under fortsatt behandling.
4 Datainspektionen Diarienr (19) Signalspaning bedrivs av FRA på inriktande myndigheters uppdrag och enligt LSF. Inriktning av signalspaning i försvarsunderrättelseverksamhet får anges endast av regeringen, Regeringskansliet, Försvarsmakten, Säkerhetspolisen och Nationella operativa avdelningen vid Polismyndigheten. Inriktningen får inte avse endast en viss fysisk person. Inom ramen för denna närmare inriktning tas årligen ett beslut om preciserad inriktning av FRA:s generaldirektör. Vid signalspaning via tråd begränsas inhämtningen till de signalbärare för vilka FRA erhållit tillstånd av Försvarsunderrättelsedomstolen. Den faktiska tillgången till de tillståndsgivna signalbärarna ges därefter av SIUN. Operatörers skyldighet att överföra signaler för att möjliggöra inhämtning regleras i lagen (2003:389) om elektronisk kommunikation. I det tillstånd som lämnas av Försvarsunderrättelsedomstolen anges vilket inhämtningsuppdrag tillståndet avser, vilka signalbärare som FRA ska få tillgång till, vilka sökbegrepp eller kategorier av sökbegrepp som får användas vid inhämtningen, den tid som tillståndet avser och de villkor i övrigt som behövs för att begränsa integritetsintrånget. Den trafik som inte väljs ut försvinner utan att kunna återskapas. Den information som inhämtas är ofta krypterad eller formulerad på ett främmande språk. För att FRA ska kunna framställa rapporter med underrättelser måste informationen bearbetas och analyseras. Under bearbetningsfasen tydliggörs de inhämtade signalernas innehåll och materialet struktureras. I och med att LSF trädde ikraft 2009 gavs FRA möjlighet att bedriva signalspaning i tråd och inte, som tidigare, enbart i etern. På samma sätt som tidigare får dock signalspaning endast riktas mot yttre hot och inhemsk kommunikation får inte inhämtas. Utvidgningen av signalspaning till signaler i tråd innebär emellertid en mer omfattande inhämtning via det globala nätet jämfört med tidigare då endast satellitburna delar av det globala nätet inhämtades. Merparten av trafiken i det globala nätet saknar betydelse för försvarsunderrättelseuppdraget. FRA:s förmåga att avgränsa inhämtningen till den för försvarsunderrättelseuppdraget relevanta trafiken är därför central för integritetsskyddet, men även för verksamhetens behov av effektivitet. Datainspektionen är tillsynsmyndighet enligt FRA PuL för den behandling av personuppgifter som sker i FRA:s försvarsunderrättelse och
5 Datainspektionen Diarienr (19) utvecklingsverksamhet. Därutöver har SIUN ett särskilt uppdrag att granska den behandling av uppgifter som sker enligt FRA PuL. SIUN är också kontrollmyndighet enligt LSF och har särskilda uppgifter enligt den lagen. Konsekvenserna av LSF:s ikraftträdande och möjligheterna att inhämta signaler i elektronisk form Vad FRA har anfört Utbyggnaden av FRA:s kabelaccess har skett successivt sedan skyldigheten för trådägande operatörer att överlämna signaler trädde ikraft. Åtkomsten till signalbärare har sedan Datainspektionens granskning 2010 utökats genom inrättande av fler samverkanspunkter. Inhämtningen i de tillståndsgivna signalbärarna har också utökats genom anskaffning av ytterligare inhämtningssystem. Kabelaccessen har varit fullständigt avgörande för en framgångsrik rapportering på ett flertal underrättelseområden som i regeringens årliga inriktning av försvarsunderrättelseverksamheten getts den högsta prioritetsnivån. Den utökade åtkomsten till signalbärare gör att de informationsmängder som blir föremål för manuell granskning kan väljas ut ur ett mer omfattande underlag, vilket i slutändan förbättrar kvaliteten i underrättelseproduktionen. När manuell granskning blir aktuell sker denna granskning alltid med dokumenterad anknytning till en preciserad inriktning eller med anknytning till ett ändamål i utvecklingsverksamheten. Inhämtningen avgränsas genom domstolstillstånd samt regler om förbud mot inhämtning av signaler mellan en avsändare och mottagare i Sverige. Endast sådana typer av trafikdata som har relevans för försvarsunderrättelse och utvecklingsverksamheten inhämtas. Vidare finns ett krav på anknytning till en preciserad inriktning och en absolut gallringsfrist för uppgiftssamlingar för råmaterial. För att kunna producera underrättelser avseende oförutsedda händelser ligger det i sakens natur att inhämtningen av trafikdata inte låter sig begränsas till trafikdata som endast avser på förhand kända aktörer och företeelser. Endast en mycket liten bråkdel av inhämtade trafikdata blir dock föremål för manuell granskning. Att i efterhand kunna söka i brett inhämtade trafikdata är helt vitalt för verksamheten, t.ex. för möjligheterna att i efterhand kartlägga plötsliga oförutsedda skeenden eller att snabbt ta sig an ett nytt underrättelseområde där aktörerna är nya och okända. Inhämtningen sker endast på de våglängder och satellitfrekvenser som bedöms innehålla de mest relevanta trafikflödena. Inhämtningen av trafikdata sker endast på en delmängd av den för FRA tillgängliga signalmiljön.
6 Datainspektionen Diarienr (19) Datainspektionens bedömning Datainspektionen kan konstatera att inhämtningen av signaler i tråd har ökat successivt sedan LSF trädde ikraft och att den bedömning som inspektionen gjorde i sin rapport från 2010 att det fanns en relativt hög sannolikhet för att personer som kommunicerar i signalbärare som FRA bedriver inhämtning mot kommer att få uppgifter om sin kommunikation sparade hos FRA i form av trafikdata var korrekt. Genom införandet av LSF fick FRA möjlighet till en ny form av inhämtning, nämligen inhämtning av signaler i elektronisk kommunikation via tråd eller kabel. I förarbetena till lagen konstaterades att möjligheten att signalspana inte skulle begränsas av det faktum att kommunikationen till stor del förflyttas från eter till tråd (prop. 2006/07:63, s. 69). Även om tekniken och sättet att kommunicera i och för sig har förändrats ytterligare sedan lagen infördes, bedömer Datainspektionen att lagstiftaren redan då förslaget lades fram måste ha varit medveten om den ökade mängden inhämtade uppgifter som signalspaningen i tråd skulle medföra. För att motverka de integritetsrisker som signalspaningen i tråd skulle kunna innebära för enskilda infördes bestämmelser i LSF i syfte att begränsa inhämtningen, till exempel krav på domstolstillstånd, förbud mot inhämtning av inhemsk trafik, förstöringsplikt, underrättelseskyldighet och SIUN:s utredningsskyldighet. Dessutom finns bestämmelser i FRA PuL som reglerar förutsättningarna för FRA att behandla personuppgifter. Regeringen uttalade i samband med införandet av kompletterande bestämmelser i LSF att det var väsentligt att i sammanhanget beakta all den lagstiftning som reglerar verksamheten och hänvisade särskilt till FRA PuL, vars syfte är att skydda människor mot att deras personliga integritet kränks genom behandling av personuppgifter i FRA:s försvarsunderrättelse och utvecklingsverksamhet (prop. 2008/09:201, s. 83). En uttrycklig hänvisning till FRA PuL finns därför i 12 a. Utöver den yttre ram som uppställs i lag styrs den signalspaning som bedrivs vid FRA av de inriktningar som regeringen och andra uppdragsgivare lämnar. Den verksamhet som FRA bedriver utgår således inte från myndighetens egna behov utan är helt styrd av uppdragsgivarnas aktuella underrättelsebehov. Dessa behov kommer till exempel till uttryck i av uppdragsgivarna prioriterade geografiska områden eller företeelser vilka förändras i takt med omvärlden. De givna inriktningarna omsätts sedan av FRA i så kallade projekt.
7 Datainspektionen Diarienr (19) FRA har anfört att den ökade mängden inhämtade uppgifter inte har påverkat möjligheterna att tillämpa bestämmelserna i FRA PuL och LSF. Utöver den särskilda frågan kring tolkning av 1 kap. 13 FRA PuL (se s. 15 ff nedan), bedömer också Datainspektionen att FRA, såvitt framkommit i ärendet, tillämpar bestämmelserna om inhämtning och annan behandling av personuppgifter i enlighet med gällande lagstiftning och att frågorna om personlig integritet tas på stort allvar. FRA har tagit fram detaljerade föreskrifter och infört rutiner för att säkerställa en hög medvetandenivå inom organisationens alla delar ifråga om vilka regler som gäller för personuppgiftsbehandling och integritetsskydd. Enligt inspektionens bedömning fyller dessa rutiner och föreskrifter en viktig funktion för den enskilde medarbetaren när denne har att tillämpa regelverket om behandling av personuppgifter i den operativa verksamheten. Krav på nödvändighet och anknytning till en preciserad inriktning I 1 kap. 8 FRA PuL anges att personuppgifter endast får behandlas om det är nödvändigt för att bedriva den verksamhet som anges i lagen (2000:130) om försvarsunderrättelseverksamhet. Uppgifter om en person får endast behandlas om personen har anknytning till en preciserad inriktning för försvarsunderrättelseverksamheten och behandlingen är nödvändig för att fullfölja inriktningen. Vad FRA har anfört Kravet på nödvändighet och anknytning till en preciserad inriktning säkerställs genom den preciserade inriktningen som är ett årligt beslut av generaldirektören. Denna inriktning utgör produktionsplan för försvarsunderrättelseverksamheten vid FRA och innehåller de närmare förutsättningarna för behandling av personuppgifter. Utifrån produktionsplanen görs ansökningar till Försvarsunderrättelsedomstolen om inhämtningstillstånd som är anpassade för att kunna fullfölja inriktningen. Huruvida behandling av en viss personuppgift är nödvändig för att fullfölja den preciserade inriktningen måste därutöver bedömas löpande. Den bedömningen kan endast göras av medarbetare som besitter sakämneskunskap inom respektive underrättelseområde. Det föreligger ofta ett stort mått av vaghet och osäkerhet i allt underrättelsearbete då det baseras på hypoteser och antaganden. Rapportmottagaren har ofta bättre förutsättningar att bedöma en enstaka uppgifts relevans eller betydelse för ett händelseförlopp eller utvecklingen av en företeelse.
8 Datainspektionen Diarienr (19) Det sker en löpande utvärdering av de källor som FRA inriktar signalspaningen mot i syfte att fastställa relevansen för fortsatt inhämtning m.m. Denna utvärdering sker med stöd av den återkoppling om rapporteringens relevans som erhålls från rapportmottagarna. Det finns interna föreskrifter som säkerställer att särskilt utpekade funktioner ansvarar för att aktiverade sökbegrepp ligger inom ramen för gällande tillstånd och att rapportering som innehåller personuppgifter endast får ske om det finns stöd i den preciserade inriktningen och behandlingen är nödvändig för att fullfölja inriktningen. Överskottsinformation får inte rapporteras. Datainspektionens bedömning Bestämmelsen i 1 kap. 8 FRA PuL är central och utgör en begränsning av vilka personuppgifter som får behandlas i försvarsunderrättelseverksamheten. Kravet på nödvändighet och anknytning till en preciserad inriktning säkerställs i första hand genom att den preciserade inriktningen ligger till grund för konkreta underrättelseuppdrag. I förarbetena till bestämmelsen uttalades att graden av anknytning med hänsyn till verksamhetens speciella karaktär måste avgöras från fall till fall. Det anfördes vidare att det alltid måste finnas en sådan koppling mellan en person och den företeelse som verksamheten syftar till att kartlägga, att man i efterhand kan hänföra personuppgiftsbehandlingen till en viss preciserad inriktning (prop. 2006/07:46, s. 67). I all underrättelseverksamhet måste det finnas utrymme för att behandla uppgifter på ett tidigt stadium utan att man vid den tidpunkten med säkerhet kan slå fast uppgifternas relevans. Datainspektionen vill dock understryka vikten av att det i verksamheten kontinuerligt görs en bedömning av om behandlingen är förenlig med 1 kap. 8 FRA PuL. Det sätt på vilket FRA har beskrivit att bestämmelsen tillämpas visar att det finns väl utarbetade rutiner och funktioner för att säkerställa att kravet på nödvändighet och anknytning till preciserad inriktning upprätthålls. Datainspektionen har inte heller gjort några iakttagelser som visat på att uppgifter behandlas i strid med 1 kap. 8.
9 Datainspektionen Diarienr (19) Känsliga personuppgifter I 1 kap. 11 FRA PuL regleras behandlingen av känsliga personuppgifter. Sådana uppgifter får inte behandlas enbart på grund av vad som är känt om personens ras eller etniska ursprung, politiska åsikter, religiösa eller filosofiska övertygelse, medlemskap i fackförening, hälsa eller sexualliv. Om uppgifter om en person behandlas på annan grund får de kompletteras med sådana uppgifter när det är absolut nödvändigt för syftet med behandlingen. Vad FRA har anfört Genom att FRA inriktas mot utländska förhållanden som i hög grad avser konflikter inom och mellan länder samt hot mot Sverige och svenska intressen är det t.ex. inom flertalet inriktningsområden absolut nödvändigt att behandla uppgifter som avser ras, etniskt ursprung, politiska åsikter samt religiös eller filosofisk övertygelse. Detta för att kunna förstå och beskriva aktörers bevekelsegrunder och agerande samt deras relevans i sammanhanget. Behandling av känsliga personuppgifter kan även vara nödvändig för att FRA:s uppdragsgivare ska kunna bedöma såväl potentiella som reella källors lämplighet och tillförlitlighet. Enligt FRA:s interna föreskrifter ska behandling av känsliga personuppgifter föregås av ett skriftligt beslut i vilket förutsättningarna för behandling anges. Av beslutet ska framgå varför det anses absolut nödvändigt att behandla de känsliga personuppgifterna och vilka typer av känsliga personuppgifter inom respektive underrättelseområde beslutet avser. Beslut om behandling av känsliga personuppgifter fattas en gång per år. Därefter gör analytiker inom ramen för beslutet en bedömning i varje enskilt fall. Om en analytiker känner osäkerhet i hur en enskild bedömning ska göras lyfter denne frågan vidare. Det finns inte någon teknisk funktion som säkerställer att den nödvändighetsbedömning som ska göras dokumenteras i FRA:s IT system. Datainspektionens bedömning FRA har i många sammanhang ett behov av att registrera och behandla känsliga personuppgifter. Samtidigt måste även i denna verksamhet restriktivitet iakttas i fråga om att behandla sådana uppgifter vilket följer av kravet på absolut i nödvändighet i 1 kap. 11 FRA PuL. Datainspektionen förordade i sin rapport från 2010 en teknisk funktion för att säkerställa att den avvägning som gjorts när det gäller nödvändighetsbedömning dokumenteras i systemen. Någon sådan funktion har inte införts. Mot bakgrund av de rutiner och föreskrifter som finns ifråga om behandling av känsliga
10 Datainspektionen Diarienr (19) personuppgifter, tillsammans med de iakttagelser som Datainspektionen har gjort, bedömer inspektionen sammanfattningsvis att FRA ändå har goda förutsättningar för att säkerställa att hanteringen uppfyller kraven i 1 kap. 11. Inspektionen har i sin granskning inte heller gjort några iakttagelser som indikerar att FRA behandlar personuppgifter i strid med 1 kap. 11. Förstöringsplikt Bestämmelser om förstöringsskyldighet för uppgifter under vissa förutsättningar finns i LSF. Av 2 a följer att om signaler mellan avsändare och mottagare i Sverige inte kan avskiljas redan vid inhämtningen ska upptagningen eller uppteckningen förstöras så snart det står klart att sådana signaler har inhämtats. Av 7 framgår bland annat att upptagning eller uppteckning av uppgifter ska förstöras om innehållet saknar betydelse för försvarsunderrättelseverksamheten eller avser uppgifter för vilka tystnadsplikt gäller. Vad FRA har anfört Närmare regler om hur förstöringsplikten enligt 2 a och 7 LSF ska hanteras finns i FRA:s interna föreskrifter. Varje medarbetare ska se till att förstöring sker i det system som vederbörande arbetar i. När det gäller den absoluta förstöringsplikten av s.k. inhemsk trafik enligt 2 a LSF bedrivs inhämtning i internationella gränssnitt varför det ligger i sakens natur att den trafik som är åtkomlig för FRA oftast har minst en av de kommunicerande parterna belägen i utlandet. Eftersom viss inrikes trafik förmedlas via utländska kommunikationstjänster kommer dock även sådan trafik löpa risk att inhämtas. FRA filtrerar bort inrikes trafik i fall när det är möjligt att med automatiska metoder identifiera sådan trafik. I övrigt hanteras frågan genom utbildning av personalen. Det sker en löpande bedömning och dokumentation avseende sådana fall där det är svårt att avgöra huruvida viss inhämtad trafik träffas av förstöringsplikten eller inte. Försvarsunderrättelseverksamheten får endast avse utländska förhållanden. Därför är förekomsten av förstöringspliktiga meddelanden enligt 7 2 och 3 LSF, dvs. uppgifter för vilka tystnadsplikt gäller och uppgifter i meddelanden som avser kommunikation mellan en brottsmisstänkt och dennes försvarare, mycket sällan förekommande. Om ett meddelande förstörs av en medarbetare i det system som vederbörande arbetat i, ska därefter en särskilt utpekad befattningshavare kontaktas för uppföljning av förekomst av uppgifterna i andra system.
11 Datainspektionen Diarienr (19) Förstöringsplikten i 7 1 LSF av uppgifter som har bedömts sakna betydelse för verksamheten uppfylls genom två olika metoder, ta bort respektive förstöra. Användning av ta bort innebär att uppgifterna tas bort från det egna projekt i vilket uppgifterna bedömts sakna betydelse. Användning av förstöra innebär att uppgifterna förstörs i samtliga projekt. Uppgifter lämnade under bikt eller enskild själavård regleras i 7 4 LSF och ska förstöras om det inte finns synnerliga skäl att behandla uppgifterna för försvarsunderrättelsesyften. Ett synnerligt skäl kan vara att skydda svensk personal eller avvärja hot mot svenska intressen vid svenskt deltagande i eller genomförandet av fredsfrämjande och humanitära internationella insatser. Det system där merparten av allt inhämtat meddelandeinnehåll behandlas är försett med en inbyggd automatisk förstöringsfunktion vilken innebär att meddelanden automatiskt förstörs om de inte granskats av en analytiker inom 30 dagar efter att inhämtning skett. Datainspektionens bedömning Datainspektionen konstaterade i sin rapport från 2010 att inhämtning av signaler mellan avsändare och mottagare som båda befinner sig i Sverige (så kallad inhemsk trafik) enligt 2 a LSF i första hand bör uteslutas genom automatiska processer. FRA har anfört att sådana automatiska processer eller metoder finns och används när det är möjligt men att det samtidigt inte går att fullt ut undvika inhämtning av inhemsk trafik. Datainspektionen konstaterar, såsom FRA också anfört, att det sätt på vilket kommunikation över Internet sker (t.ex. genom förmedling via olika mailservrar runt om i världen) innebär att det inte alltid finns någon koppling mellan teleadress och användarens geografiska position. Det är i sådana fall inte möjligt att med hjälp av automatiska processer helt utesluta inhämtning av inhemsk trafik. Detta medför enligt Datainspektionens mening i sin tur att bestämmelserna om förstöringsplikt avseende sådan trafik blir än viktigare. I rapporten från 2010 betonade inspektionen vikten av att det finns fungerande rutiner för hur förstöring av inhemsk trafik ska hanteras. Datainspektionen har tagit del av FRA:s verksamhetsföreskrifter i detta avseende och finner att det i dessa finns konkreta och detaljerade anvisningar för hur de enskilda medarbetarna ska hantera frågor om förstöring av inhemsk trafik. FRA har också uppgett att personalen ges utbildning i dessa frågor och att det finns rutiner för hur det praktiska arbetet ska bedrivas och för löpande utvärdering av hanteringen.
12 Datainspektionen Diarienr (19) Även när det gäller förstöringsplikten i 7 LSF ansåg Datainspektionen i sin rapport från 2010 att det fanns behov av rutiner och utbildning av personal för att säkerställa att meddelanden som inhämtats inte blir föremål för vidare behandling utan att det först har kontrollerats att meddelandena inte innehåller förstöringspliktig information. Inspektionen kan konstatera att FRA:s verksamhetsföreskrifter tydligt anger hur förstöringsplikten i 7 ska hanteras. Sammanfattningsvis gör Datainspektionen bedömningen att de rutiner och verksamhetsföreskrifter som finns gällande förstöringsplikt innehåller detaljerade anvisningar ifråga om hantering av förstöringspliktig information. Datainspektionen har i sin granskning inte gjort några iakttagelser som visar att förstöringspliktig information behandlas i strid med bestämmelserna. Mot denna bakgrund bedömer Datainspektionen att FRA tillämpar reglerna om förstöringsplikt i LSF på ett korrekt sätt. I detta sammanhang kan också erinras om att SIUN har till uppgift att granska den förstöring som FRA utför i enlighet med 2 a och 7 LSF. Gallring I 6 kap. 1 FRA PuL anges att personuppgifter ska gallras så snart uppgifterna inte längre behövs för det ändamål för vilket de behandlas. I 2 FRA PuF finns närmare bestämmelser om gallring i vissa särskilda fall. Av 2 FRA PuF följer att personuppgifter får behandlas i uppgiftssamlingar för råmaterial och att sådant material ska gallras senast ett år efter det att behandlingen av uppgifterna påbörjades. Vad FRA har anfört För uppgiftssamlingar för råmaterial finns interna gallringsrutiner som generellt bygger på en automatisk gallring. FRA har inte upplevt något fall där den automatiska gallringen inte fungerat. I vissa av uppgiftssamlingarna gallras personuppgifterna tidigare än vad lagen kräver, exempelvis efter fem dagar, 30 dagar eller tre månader. Tidsgränserna varierar av olika anledningar, exempelvis kan det röra sig om utrymmesskäl vad gäller lagringskapacitet. System avsedda för råmaterial är inte byggda utifrån långtidslagring av information. En annan anledning kan vara att en bedömning har gjorts att inhämtat material inte fyller syftet för behandlingen efter en viss tid.
13 Datainspektionen Diarienr (19) Ett fåtal uppgiftssamlingar för råmaterial har manuella rutiner för gallring. I dessa uppgiftssamlingar gallras personuppgifterna löpande i det dagliga arbetet samt med viss periodicitet. Datainspektionens bedömning Mot bakgrund av att allt fler personers kommunikation riskerar att inhämtas till FRA i form av trafikdata (se s. 6) är det viktigt att så långt som möjligt begränsa det integritetsintrång som härigenom kan uppkomma. Ett sätt att uppnå detta är att ha bestämmelser som innebär att personuppgifter inte får behandlas i verksamheten under längre tid än nödvändigt. En effektiv försvarsunderrättelseverksamhet kan i vissa fall kräva mycket långa bevarandetider (se bland annat prop. 2006/07:46, s. 110f). Beträffande uppgiftssamlingarna för råmaterial, dvs. information vars relevans för verksamheten ännu inte bedömts, gäller emellertid en gallringsfrist om högst ett år. Enligt vad som framkommit gallras uppgifter i vissa av uppgiftssamlingarna långt tidigare än vad som följer av FRA PuL, vilket är positivt ur integritetssynpunkt. Datainspektionen har inom ramen för detta tillsynsärende inte gjort några iakttagelser som visar att uppgifter som är äldre än ett år finns kvar i uppgiftssamlingar för råmaterial och har därför inga synpunkter på hanteringen i detta avseende. Loggning och logguppföljning Enligt 3 kap. 2 FRA PuL ska FRA vidta lämpliga tekniska och organisatoriska åtgärder för att skydda de personuppgifter som behandlas. Åtgärderna ska åstadkomma en säkerhetsnivå som är lämplig med beaktande av de tekniska möjligheter som finns, vad det skulle kosta att genomföra åtgärderna, de särskilda risker som finns med behandlingen av personuppgifterna och hur pass känsliga de behandlade personuppgifterna är. Vad FRA har anfört I FRA:s interna föreskrifter samt särskilda beslut finns krav på säkerhetsfunktioner och säkerhetsloggning i myndighetens IT system som är avsedda för behandling av hemliga uppgifter utifrån vilken informationssäkerhetsklass uppgifterna tillhör. Möjlighet till uppföljning och kontroll genom loggning ska finnas i provdriftsatta och produktionssatta system.
14 Datainspektionen Diarienr (19) Sök och förstöringsloggar sparas idag i de it system som genererar dem. Det sker i dagsläget inte någon centraliserad analys av sök och förstöringsloggar. Det är berörd informationsägares ansvar att se till att logganalys sker. Idag sker logguppföljning genom stickprovskontroller av sökloggar. Under 2015 har FRA påbörjat ett arbete med att inrätta en central logganalysfunktion (SOC). Målet är att funktionen ska vara driftsatt SOC:en ska samla in och granska sök och förstöringsloggar från samtliga it system för att bland annat kunna upptäcka otillbörlig behandling av personuppgifter. Nödvändiga regelverk och rutiner för den systematiska uppföljningen av loggar ska vara framtagna och beslutade vid slutet av Datainspektionens bedömning Enligt FRA PuL åligger det FRA att vidta lämpliga tekniska och organisatoriska åtgärder för att skydda de personuppgifter som behandlas. Ett led i detta är att genom loggning och logguppföljning säkerställa att de bestämmelser som ska skydda den personliga integriteten tillämpas korrekt. Ett grundläggande säkerhetskrav är att genom loggar skapa en sådan spårbarhet att man till exempel kan upptäcka otillåten tillgång till personuppgifter eller att det sker otillåtna sökningar. Loggarna ska följas upp regelbundet och för att skapa en förebyggande effekt ska användarna informeras om att loggning och logguppföljning sker. I FRA:s verksamhet sker en omfattande personuppgiftsbehandling som också många gånger innebär att känsliga personuppgifter behandlas. Därför är det enligt Datainspektionens mening viktigt att ställa långtgående krav på kontroll och uppföljning av loggar. Datainspektionen konstaterade i sin rapport från 2010 att det fanns brister i den logguppföljning som då gjordes och att logguppföljningen därför borde förstärkas. I tillsynsärendet har framkommit att dessa brister fortfarande kvarstår trots att det har gått ett antal år sedan påpekandet gjordes. Genom avsaknad av regelbunden logguppföljning bedömer Datainspektionen att FRA inte har de nödvändiga säkerhetsåtgärder på plats som krävs enligt 3 kap. 2 FRA PuL. FRA har anfört att det pågår ett arbete inom myndigheten med att införa ett system samt regler och rutiner som bedöms nödvändiga för att säkerställa logguppföljning. Datainspektionen noterar att den brist ifråga om logguppföljning som inspektionen påtalade redan 2010 ännu inte har avhjälpts. Datainspektionen förutsätter att FRA inför den centrala logganalysfunktion som myndigheten har redogjort för i ärendet. Med anledning av den långa tid som gått sedan Datainspektionen påtalade frågan
15 Datainspektionen Diarienr (19) finns skäl att förelägga FRA att till Datainspektionen senast den 1 maj 2017 lämna en skriftlig redogörelse för de åtgärder som myndigheten har vidtagit och avser att vidta i fråga om den centrala logganalysfunktionen. Den av SIUN anmälda frågan om tolkningen av 1 kap. 13 FRA-PuL I 1 kap. 13 FRA PUL anges att behandling som innebär inhämtning av uppgifter genom signalspaning, lagring av uppgifter som sker omedelbart därefter samt bearbetning av information i form av kryptoforcering och språklig översättning inte skall anses som oförenlig med bestämmelserna i 1 kap. 6 och 8 12 (bestämmelser om grundläggande krav, tillåtlighet, känsliga personuppgifter och personnummer) i det skede av behandlingen då det ännu inte kunnat fastställas om informationen innehåller personuppgifter. Vad FRA har anfört Praktiskt taget all information innehållande kommunikation mellan människor som inhämtas med stöd av tillstånd innehåller personuppgifter. Det är dock okänt för FRA intill dess att uppgifterna forcerats, översatts och bedömts av en analytiker vilka dessa personuppgifter är. Begreppet behandling av personuppgifter i FRA PuL omfattar all slags behandling inklusive sådan som sker på automatisk väg. Detta innebär att personuppgiftsbehandling sker redan i det tidiga skede när informationen i tillståndsgivna signalbärare genomgår urval med hjälp av sökbegrepp i FRA:s inhämtningssystem. Detta innebär att personuppgiftsbehandling sker även för all den information som inte inhämtas. Mycket av de personuppgifter som behandlas på automatisk väg blir aldrig föremål för manuell granskning. Det är därför en omöjlighet för FRA att, såvida inte en analytiker bearbetat och bedömt personuppgifterna, hävda att personuppgifterna behandlas i enlighet med bestämmelser om grundläggande krav, ändamål samt behandling av känsliga personuppgifter och personnummer. FRA uppfattar att det är denna situation lagstiftaren försökt lösa genom bestämmelsen i 1 kap. 13 FRA PuL. FRA:s tolkning av bestämmelsen är således att det är först när FRA fått klarhet i vilka personuppgifter som behandlas som det är möjligt för FRA att behandla dem i överensstämmelse med 1 kap 6 och 8 12 FRA PuL. Bestämmelsen får anses reglera det fall då det ännu inte kunnat fastställas om informationen innehåller personuppgifter och vilka dessa är. Denna tolkning kommer också till uttryck i FRA:s interna föreskrifter. Huruvida den
16 Datainspektionen Diarienr (19) inhämtade informationen innehåller personuppgifter som t.ex. har (eller saknar) anknytning till preciserad inriktning kan, som anförts ovan, bedömas först när uppgifterna behandlats manuellt. Eftersom det kan förutsättas att praktiskt taget all information som finns i signalbärarna i något avseende innehåller personuppgifter innebär en bokstavlig tolkning av då det ännu inte kunnat fastställas om informationen innehåller personuppgifter att bestämmelsen i 1 kap. 13 FRA PuL i praktiken aldrig kan tillämpas. Detta skulle i sin tur bland annat innebära att behandling av personuppgifter i all den information som inte inhämtas bryter mot 1 kap. 8 FRA PuL eftersom sådana personuppgifter av naturliga skäl oftast saknar koppling till preciserad inriktning. Eftersom en bokstavstrogen tolkning av 1 kap. 13 FRA PuL i praktiken inte går att förena med inhämtning genom signalspaning är frågan om hur bestämmelsen ska tolkas av väsentlig betydelse för FRA:s verksamhet. Datainspektionens bedömning SIUN har i enlighet med 15 förordningen (2009:969) med instruktion för Statens inspektion för försvarsunderrättelseverksamheten anmält att det finns anledning att uppmärksamma Datainspektionen på FRA:s tolkning och tillämpning av 1 kap. 13 FRA PuL. Frågan gäller FRA:s tolkning, att undantaget i bestämmelsen inte bara avser det skede då det ännu inte kunnat fastställas om informationen innehåller personuppgifter, utan även det skede då FRA ännu inte vet vilka dessa personuppgifter är. I prop. 2006/07:46 s. 76 ff. anförs följande om skälen för bestämmelsen. Försvarets radioanstalt behandlar en mycket stor mängd information som inhämtas genom signalspaning. Inhämtningen sker endast för att Försvarets radioanstalt skall uppfylla sin grundläggande uppgift att genom signalspaning bedriva försvarsunderrättelse och utvecklingsverksamhet. Inhämtning av signaler sker såväl manuellt utan urval som automatiskt med särskilda sökbegrepp. Oavsett hur inhämtningen sker tillförs Försvarets radioanstalt stora mängder obearbetad information. I informationen kan det dölja sig uppgifter om enskilda personer och också känsliga personuppgifter och personnummer. Försvarets radioanstalt har utöver den begränsning av inhämtningen som användandet av sökbegrepp innebär liten möjlighet att påverka innehållet i den information som inhämtas. I princip inhämtas all den information som träffas av sökbegreppen, oavsett dess relevans för verksamheten. Det är följaktligen i viss mån okänt för Försvarets radioanstalt vid
17 Datainspektionen Diarienr (19) själva inhämtningen och den efterföljande lagringen vad den inhämtade informationen innehåller. Därtill kommer att informationen ofta är såväl krypterad som avfattad på ett främmande språk. Det är i detta skede således inte möjligt för myndigheten att censurera innehållet i information som på detta sätt kommer in i elektronisk form genom att ta bort t.ex. känsliga personuppgifter. Det är först sedan de inhämtade signalerna lagrats och därefter bearbetats genom att signalskyddet forcerats och informationen översatts som informationen kan tas fram i klartext eller sändningarnas innehåll kan beskrivas. Det är då myndigheten får klart för sig om det insamlade materialet innehåller personuppgifter och om det även är fråga om t.ex. känsliga personuppgifter. Med hänsyn till att de inhämtade signalerna således utan Försvarets radioanstalts vetskap kan innehålla personuppgifter, kan fråga uppkomma om myndigheten i ett initialt skede kan anses behandla dessa personuppgifter enligt de regler om ändamål m.m. som föreslås här. ( ) Först sedan uppgifterna bearbetats genom kryptoforcering och språklig översättning kan Försvarets radioanstalt konstatera om det är fråga om personuppgifter. Därefter får inte ytterligare personuppgiftsbehandling, som t.ex. vidare bearbetning eller lagring, ske utan att behandlingen överensstämmer med de övriga bestämmelser som föreslås gälla för personuppgiftsbehandlingen. Sedan FRA PuL:s ikraftträdande har förutsättningarna för inhämtning ändrats genom att FRA i och med att LSF, som trädde ikraft 2009, fått möjlighet att bedriva signalspaning mot kommunikation i tråd. Detta har inneburit att den mängd trafik som inhämtas är avsevärt större och att inhämtningen i större omfattning riktar sig mot det globala nätet, det vill säga miljöer och förhållanden där det inte bara finns sådan trafik som kan vara relevant för försvarsunderrättelseverksamheten. Inhämtningen träffar i stor utsträckning enskilda människors kommunikation vilket innebär att integritetsaspekterna gör sig gällande på ett ännu tydligare sätt än tidigare då endast satellitburna delar av det globala nätet inhämtades. Att integritetsskyddsbestämmelserna i FRA PuL gäller vid behandling av personuppgifter som inhämtats enligt LSF framgår av lagens 12 a. I förarbetena till LSF finns inga uttalanden som visar att lagstiftaren mot bakgrund av de förändrade förutsättningarna för signalspaning sett något behov av särreglering eller undantag från 1 kap. 13 eller andra bestämmelser i FRA PuL. Genom att signalspaningen riktas mot kommunikation mellan enskilda personer ligger det i sakens natur att en betydande mängd av den inhämtade informationen innehåller personuppgifter. Bestämmelsen i 1 kap. 13 FRA PuL ger utrymme för att inte tillämpa FRA PuLs bestämmelser i ett initialt
18 Datainspektionen Diarienr (19) skede, uttryckt som det skede av behandlingen då det ännu inte kunnat fastställas om informationen innehåller personuppgifter. Datainspektionen konstaterar att bestämmelsen enligt sin ordalydelse inte undantar tillämpning av 1 kap. 6 och 8 12 i de fall man redan från början vet att den inhämtade informationen innehåller personuppgifter. FRA har anfört att bestämmelsen istället får anses reglera det skede då det ännu inte kunnat fastställas vilka dessa personuppgifter är. Enligt Datainspektionen finns det inte stöd för en sådan tolkning vare sig i bestämmelsens ordalydelse eller i förarbetena till FRA PuL. FRA är den myndighet som har i uppdrag att inhämta signaler i elektronisk form vid signalspaning enligt LSF. Myndigheten har därigenom getts möjlighet att inhämta information som i mycket stor utsträckning innehåller personuppgifter. Med den utgångspunkten och mot bakgrund av vad FRA har anfört i fråga om hur verksamheten bedrivs och måste bedrivas, kan det ifrågasättas om det överhuvudtaget är möjligt att, såsom förutsätts i 1 kap. 13 FRA PuL, gå in och granska all inhämtad kommunikation för att avgöra om bestämmelserna i 1 kap. 6 och 8 12 är uppfyllda. Förutsättningarna för den försvarsunderrättelseverksamhet som FRA bedriver är under ständig förändring både med hänsyn till förändringar i omvärlden och med hänsyn till den tekniska utvecklingen, vilken ger nya möjligheter att inhämta information. Detta innebär att de regelverk som styr verksamheten också måste kunna tillämpas under sådana förhållanden. Det råder av naturliga skäl en starkt begränsad insyn i den verksamhet som FRA bedriver. Möjligheterna för den enskilde att få kännedom om och insyn i den personuppgiftsbehandling som sker är därför mycket små. Det medför att det måste ställas extra stora krav på att lagstiftningen är klar och tydlig så att det finns en förutsebarhet som till viss del kompenserar bristen på insyn för den enskilde. Frågan om hur bestämmelsen i 1 kap. 13 FRA PuL ska tolkas och tillämpas är av central betydelse. Datainspektionen anser, i likhet med FRA, att bestämmelsen i sin ordalydelse i praktiken inte går att förena med inhämtning genom signalspaning på det sätt som det förefaller ha förutsatts genom införandet av LSF. Det är således uppenbart att bestämmelsen inte är anpassad till de behov och förutsättningar som gäller för FRA:s verksamhet idag. Datainspektionen kan konstatera att det finns en konflikt mellan bestämmelsen i 1 kap. 13 och den personuppgiftsbehandling som LSF
19 Datainspektionen Diarienr (19) genererar hos FRA efter inhämtningsskedet. Lagstiftaren har uttalat att både LSF och FRA PuL måste beaktas när det gäller skyddet mot att människors personliga integritet kränks genom den personuppgiftsbehandling som signalspaningen ger upphov till (prop. 2008/09:201, s. 83). Sambandet har tydliggjorts i 12 a LSF som hänvisar till FRA PuL. Datainspektionen bedömer dock att det inte är möjligt att tillämpa 1 kap. 13 FRA PuL i samband med signalspaning enligt LSF. Frågan om hur bestämmelsen ska tolkas borde enligt inspektionen ha tagits upp vid införandet av LSF. Detta gjordes dock inte. Det är Datainspektionens uppfattning att bestämmelsen behöver ses över och anpassas till det nya mandat som lagstiftaren har gett FRA genom LSF. Datainspektionen finner mot den angivna bakgrunden anledning att uppmärksamma regeringen (Försvarsdepartementet) på detta behov. Detta beslut har fattats av generaldirektören Kristina Svahn Starrsjö efter föredragning av juristen Elisabeth Jilderyd. Vid den slutliga handläggningen har även chefsjuristen Hans Olof Lindblom, enhetschefen Nicklas Hjertonsson och juristen Cecilia Agnehall deltagit. Kristina Svahn Starrsjö Elisabeth Jilderyd Kopia till: Försvarsdepartementet, Stockholm (för kännedom) Statens inspektion för försvarsunderrättelseverksamheten, Box 1140, Kista (för kännedom)
Polisens tillgång till signalspaning i försvarsunderrättelseverksamhet (Ds 2011:44)
Yttrande Diarienr 2012-03-08 1813-2011 Ert diarienr JU2011/8745/L4 Justitiedepartementet 103 33 STOCKHOLM Polisens tillgång till signalspaning i försvarsunderrättelseverksamhet (Ds 2011:44) I promemorian
Dnr~@.j;~~~'Z Handlägges.Q"(4.e...
Datainspektionen Yttrande Diarienr 2013-5- 2 9 707-2013 Ert diarienr 204 0:3418/13 FRA FÖRSVARETS RADIOANSTALT Box 301 Ink 2013-05- 3 O 16126 BROMMA Dnr~@.j;~~~'Z Handlägges.Q"(4.e... Yttrande i samrådsärende
Säkerhetspolisens behandling av känsliga personuppgifter i fristående databaser
Uttalande SÄKERHETS- OCH INTEGRITETSSKYDDSNÄMNDEN 2013-09-04 Dnr 150-2012 Säkerhetspolisens behandling av känsliga personuppgifter i fristående databaser 1 SAMMANFATTNING Säkerhets- och integritetsskyddsnämnden
Kommittédirektiv. Uppföljning av lagen om signalspaning i försvarsunderrättelseverksamhet. Dir. 2009:10
Kommittédirektiv Uppföljning av lagen om signalspaning i försvarsunderrättelseverksamhet Dir. 2009:10 Beslut vid regeringssammanträde den 12 februari 2009 Sammanfattning av uppdraget En parlamentarisk
Sammanställning över Siuns inspektioner av FRA Inspektionsdatum Ärenden Beskrivning av ev. synpunkter Kommentar/åtgärd 2009 Signalspaning
Sammanställning över Siuns inspektioner av FRA Inspektionsdatum Ärenden Beskrivning av ev. synpunkter Kommentar/åtgärd 2009 Signalspaning utgående från FUN-instruktion 2009 Utgående Önskemål av redovisningsteknisk
Försvarets radioanstalts (FRA) behandling av personuppgifter
Integritetspolicy Försvarets radioanstalts (FRA) behandling av personuppgifter Tillämplig lagstiftning FRA:s behandling av personuppgifter sker i enlighet med olika regler beroende på om behandlingen sker
Återställande av bestämmelse i lagen om signalspaning i försvarsunderrättelseverksamhet. Maria Hedegård (Försvarsdepartementet)
Lagrådsremiss Återställande av bestämmelse i lagen om signalspaning i försvarsunderrättelseverksamhet Regeringen överlämnar denna remiss till Lagrådet. Stockholm den 1 oktober 2015 Peter Hultqvist Maria
SOU 2014:67 Inbyggd integritet inom Inspektionen för socialförsäkringen
Yttrande Diarienr 1 (6) 2015-02-26 2529-2014 Ert diarienr S2014/6786/SF Socialdepartementet Regeringskansliet 103 33 STOCKHOLM SOU 2014:67 Inbyggd integritet inom Inspektionen för socialförsäkringen Sammanfattning
Förslag till föreskrifter och allmänna råd om behandling av personuppgifter och journalföring i hälso- och sjukvården
Yttrande Diarienr 1(7) 2015-09-15 1284-2015 Ert diarienr 4.1-39055/2013 Socialstyrelsen 106 30 Stockholm Förslag till föreskrifter och allmänna råd om behandling av personuppgifter och journalföring i
Nämnden är kritisk till att Polismyndigheten inte har genomfört någon logguppföljning avseende de granskade uppgiftssamlingarna.
SÄKERHETS- OCH INTEGRITETSSKYDDSNÄMNDEN Uttalande med beslut 2017-02-16 Dnr 142-2016 Polismyndighetens behandling av känsliga personuppgifter avseende etnicitet i underrättelseverksamheten vid Nationella
Tillsyn enligt personuppgiftslagen (1998:204) Behandling av personuppgifter i e-post
Datum Diarienr 2011-12-12 755-2011 Socialnämnden Södertälje Kommun 151 89 Södertälje Tillsyn enligt personuppgiftslagen (1998:204) Behandling av personuppgifter i e-post Datainspektionens beslut Datainspektionen
Uppföljning av tidigare granskning avseende Rikspolisstyrelsens behandling av personuppgifter i penningtvättsregistret
SÄKERHETS- OCH INTEGRITETSSKYDDSNÄMNDEN Uttalande 2015-02-18 Dnr 2095-2014 Uppföljning av tidigare granskning avseende Rikspolisstyrelsens behandling av personuppgifter i penningtvättsregistret 1. SAMMANFATTNING
Tillsyn enligt personuppgiftslagen (1998:204) Behandling av personuppgifter i e-post
Datum Diarienr 2011-12-12 756-2011 Socialnämnden Sundsvalls kommun 851 85 Sundsvall Tillsyn enligt personuppgiftslagen (1998:204) Behandling av personuppgifter i e-post Datainspektionens beslut Datainspektionen
Polismyndighetens behandling av personuppgifter i underrättelseverksamheten
Uttalande SÄKERHETS- OCH INTEGRITETSSKYDDSNÄMNDEN 2015-09-02 Dnr 31-2015 Polismyndighetens behandling av personuppgifter i underrättelseverksamheten vid Polisregion Nord 1. SAMMANFATTNING Nämndens granskning
Tillsyn enligt personuppgiftslagen (1998:204) socialtjänstens behandling av personuppgifter om etniskt ursprung
Datum Diarienr 2014-12-04 1831-2014 Socialnämnden Luleå kommun Box 212 971 85 Luleå Tillsyn enligt personuppgiftslagen (1998:204) socialtjänstens behandling av personuppgifter om etniskt ursprung Datainspektionens
Remiss av promemorian Ds 2014:30 Informationsutbyte vid samverkan mot grov organiserad brottslighet
Yttrande Diarienr 2014-12-01 1915-2014 Ert diarienr Ju2014/5172/L4 Justitiedepartementet 103 33 Stockholm Remiss av promemorian Ds 2014:30 Informationsutbyte vid samverkan mot grov organiserad brottslighet
Tillsyn enligt polisdatalagen (2010:361) och personuppgiftslagen (1998:204) av Polismyndighetens personuppgiftsbehandling i fingeravtrycksregistret
Beslut Diarienr 1 (9) 2016-11-28 997-2016 Ert diarienr A241.260/2016 Polismyndigheten Box 12256 102 26 Stockholm Tillsyn enligt polisdatalagen (2010:361) och personuppgiftslagen (1998:204) av Polismyndighetens
Nämnden bedömer att den granskade personuppgiftsbehandlingen är förenlig med PDL:s bestämmelser.
Uttalande SÄKERHETS- OCH INTEGRITETSSKYDDSNÄMNDEN 2013-12-12 Dnr 98-2013 Polismyndigheten i Skånes behandling av känsliga personuppgifter inom ramen för satsningen mot livsstilskriminellas brottslighet
Bevarande av personuppgifter i Säkerhetspolisens dokument- och ärendehanteringssystem
SÄKERHETS- OCH INTEGRITETSSKYDDSNÄMNDEN Uttalande med beslut 2017-10-18 Dnr 65-2017 Bevarande av personuppgifter i Säkerhetspolisens dokument- och ärendehanteringssystem 1. SAMMANFATTNING Säkerhets- och
Polismyndighetens behandling av känsliga personuppgifter i uppgiftssamling om inhemsk extremism
SÄKERHETS- OCH INTEGRITETSSKYDDSNÄMNDEN Uttalande med beslut 2016-02-17 Dnr 87-2015 Polismyndighetens behandling av känsliga personuppgifter i uppgiftssamling om inhemsk extremism 1. SAMMANFATTNING Säkerhets-
PRINCIPER FÖR BEHANDLING AV PERSONUPPGIFTER I SALA KOMMUN
1 (7) BEHANDLING AV PERSONUPPGIFTER (GDPR) SALA4000, v 2.0, 2012-08-27 N:\Informationsenheten\InformationSala\Projekt\GDPR\sakn-integritetspolicy-behandling av personuppgifter.docx Behandling av personuppgifter...
Uppföljning av Polismyndigheten i Skånes behandling av personuppgifter i uppgiftssamlingen benämnd Kringresande
Uttalande SÄKERHETS- OCH INTEGRITETSSKYDDSNÄMNDEN 2014-12-11 Dnr 463-2013 Uppföljning av Polismyndigheten i Skånes behandling av personuppgifter i uppgiftssamlingen benämnd Kringresande 1 SAMMANFATTNING
RemitteringsPM - förordningsändringar i anledning av en ny vägtrafikdatalag och en ny lag om fordons registrering och brukande
Yttrande Diarienr 1 (5) 2018-08-20 DI-2018-5215 Ert diarienr [N2018/02625/MRT] Regeringskansliet, Näringsdepartementet RemitteringsPM - förordningsändringar i anledning av en ny vägtrafikdatalag och en
Beslut om förteckning enligt artikel 35.4 i EU:s allmänna dataskyddsförordning 2016/679
Datum Diarienr 1 (6) 2019-01-16 DI-2018-13200 Beslut om förteckning enligt artikel 35.4 i EU:s allmänna dataskyddsförordning 2016/679 Beslut Datainspektionen beslutar i enlighet med artikel 35.4 i EU:s
Medverkan av tjänsteleverantörer i ärenden om uppehålls- och arbetstillstånd (SOU 2016:36)
Yttrande Diarienr 1 (5) 2016-09-06 932-2016 Ert diarienr UD2016/08402/PLAN Regeringskansliet Utrikesdepartementet Planeringsstaben 103 39 Stockholm Medverkan av tjänsteleverantörer i ärenden om uppehålls-
Tillsyn mot Wihlborgs Fastigheter AB avseende användning av positioneringssystemet ABAX
Datum Diarienr 2014-02-07 234-2013 Wihlborgs Fastigheter AB Dockplatsen 16 Box 97 201 20 Malmö Tillsyn mot Wihlborgs Fastigheter AB avseende användning av positioneringssystemet ABAX Datainspektionens
Yttrande i Förvaltningsrätten i Stockholms mål
Yttrande Diarienr 1 (8) 2017-09-29 1078-2017 Ert diarienr Mål 11458-17 Avdelning 32 Förvaltningsrätten i Stockholm 115 76 Stockholm forvaltningsrattenistockholm@dom.se Yttrande i Förvaltningsrätten i Stockholms
Tillsyn enligt personuppgiftslagen (1998:204) Behandling av personuppgifter i e-post
Datum Diarienr 2011-12-12 757-2011 Socialnämnden Lunds Kommun 221 00 Lund Tillsyn enligt personuppgiftslagen (1998:204) Behandling av personuppgifter i e-post Datainspektionens beslut Datainspektionen
Remiss av betänkande digitalforvaltning.nu (SOU 2017:23)
Yttrande Diarienr 1 (6) 2017-07-05 702-2017 Ert diarienr Fi2017/01289/DF Regeringskansliet Finansdepartementet 103 33 Stockholm Remiss av betänkande digitalforvaltning.nu (SOU 2017:23) Datainspektionen
Remiss: Transportstyrelsens framställan om ändringar i lagen (2001:558) och förordningen (2001:650) om vägtrafikregister.
Yttrande Diarienr 1 (5) 2014-12-17 2291-2014 Ert diarienr N2014/2810/TE Näringsdepartementet 103 33 Stockholm Remiss: Transportstyrelsens framställan om ändringar i lagen (2001:558) och förordningen (2001:650)
Tillsyn enligt personuppgiftslagen (1998:204) Utökat elektroniskt informationsutbyte
Beslut Diarienr 2011-04-01 1579-2010 Socialnämnden i Botkyrka Kommun 147 785 Tumba Tillsyn enligt personuppgiftslagen (1998:204) Utökat elektroniskt informationsutbyte Datainspektionens beslut Datainspektionen
Remiss av förslag till EU-direktiv om skydd för personer som rapporterar om överträdelser av unionsrätten
Yttrande Diarienr 1 (9) 2018-09-12 DI-2018-11829 Ert diarienr Ju2018/02783/L& Regeringskansliet, Justitiedepartementet Remiss av förslag till EU-direktiv om skydd för personer som rapporterar om överträdelser
Tillsyn - äldreomsorg
Datum Diarienr 2011-12-07 876-2010 TioHundranämnden Box 801 761 28 Norrtälje Tillsyn - äldreomsorg Datainspektionens beslut Datainspektionen konstaterar att TioHundranämnden i strid med 6 lagen om behandling
Tillsyn - äldreomsorg
Datum Diarienr 2011-12-07 877-2010 TioHundra AB Box 905 761 29 Norrtälje Tillsyn - äldreomsorg Datainspektionens beslut Datainspektionen konstaterar att TioHundra AB 1. I Procapita genom direktåtkomst
Svensk författningssamling
Svensk författningssamling Lag om behandling av personuppgifter i Försvarsmaktens försvarsunderrättelseverksamhet och militära säkerhetstjänst; SFS 2007:258 Utkom från trycket den 23 maj 2007 utfärdad
Betänkandet Uppgiftslämnarservice för företagen (SOU 2015:33)
Yttrande Diarienr 1 (5) 2015-10-28 1216-2015 Ert diarienr N2015/3074/FF Näringsdepartementet 103 33 Stockholm Betänkandet Uppgiftslämnarservice för företagen (SOU 2015:33) Datainspektionen har granskat
Regeringens proposition 2008/09:201
Regeringens proposition 2008/09:201 Förstärkt integritetsskydd vid signalspaning Prop. 2008/09:201 Regeringen överlämnar denna proposition till riksdagen. Stockholm den 20 maj 2009 Fredrik Reinfeldt Sten
Tillsyn enligt personuppgiftslagen (1998:204) Seamless Payment AB
Datum Diarienr 2014-06-09 1838-2013 Seamless Payment AB Sankt Eriksgatan 121 113 43 Stockholm Tillsyn enligt personuppgiftslagen (1998:204) Seamless Payment AB Datainspektionens beslut Ärendet avslutas.
Tillsyn enligt personuppgiftslagen (1998:204) Behandling av känsliga personuppgifter i mobila enheter
Datum Diarienr 2013-05-08 1552-2012 Socialnämnden i Norrköpings kommun Rådhuset 601 81 Norrköping Tillsyn enligt personuppgiftslagen (1998:204) Behandling av känsliga personuppgifter i mobila enheter Datainspektionens
Tillsyn enligt personuppgiftslagen (1998:204) inspelning av telefonsamtal i kundtjänst
Beslut Diarienr 1 (7) 2016-05-10 120-2016 Er referens JR 21/2016 TeliaSonera Sverige AB 123 86 Farsta Tillsyn enligt personuppgiftslagen (1998:204) inspelning av telefonsamtal i kundtjänst Datainspektionens
Tillsyn av behandlingen av personuppgifter i allmänhetens terminal m.m.
Datum Diarienr 2014-09-30 1319-2013 Västmanlands tingsrätt Box 40 721 04 Västerås Tillsyn av behandlingen av personuppgifter i allmänhetens terminal m.m. Datainspektionens beslut 1. Datainspektionen konstaterar
Beslut efter tillsyn enligt personuppgiftslagen (1998:204)
Datum Dnr 2008-06-23 473-2008 Stadsdelsnämnden Södra Innerstaden, Malmö stad Box 7070 200 42 Malmö samt via e-post och fax sodrainnerstaden@malmo.se 040-346460 Beslut efter tillsyn enligt personuppgiftslagen
Datalagring och integritet (SOU 2015:31)
Yttrande Diarienr 1 (6) 2015-08-28 902-2015 Ert diarienr Ju2015/3153/Å Justitiedepartementet Åklagarenheten 103 33 Stockholm Datalagring och integritet (SOU 2015:31) Datainspektionen har granskat betänkandet
Taxi och samåkning i dag, i morgon och i övermorgon (SOU 2016:86)
Yttrande Diarienr 1 (7) 2017-03-10 2420-2016 Ert diarienr N2016/07415/MRT Näringsdepartementet 103 33 Stockholm Taxi och samåkning i dag, i morgon och i övermorgon (SOU 2016:86) Datainspektionen har granskat
Polismyndighetens behandling av personuppgifter i mappstrukturer vid region Öst
SÄKERHETS- OCH INTEGRITETSSKYDDSNÄMNDEN Uttalande med beslut 2018-02-20 Dnr 83-2017 Polismyndighetens behandling av personuppgifter i mappstrukturer vid region Öst 1. SAMMANFATTNING Säkerhets- och integritetsskyddsnämnden
Tillsyn enligt personuppgiftslagen (1998:204) Polismyndighetens behandling av personuppgifter i belastningsregistret och misstankeregistret
Beslut Diarienr 1 (8) 2015-04-27 1259-2014 1260-2014 Ert diarienr A218.732/2014 Polismyndigheten Box 12256 102 26 Stockholm Tillsyn enligt personuppgiftslagen (1998:204) Polismyndighetens behandling av
Tillsyn enligt personuppgiftslagen (1998:204) socialtjänstens behandling av personuppgifter om etniskt ursprung
Datum Diarienr 2014-12-04 1317-2014 Utbildnings- och arbetsmarknadsnämnden Uppsala kommun 753 75 Uppsala Tillsyn enligt personuppgiftslagen (1998:204) socialtjänstens behandling av personuppgifter om etniskt
Beslut efter tillsyn enligt personuppgiftslagen (1998:204) PuL
1 (6) Beslut Dnr 2008-09-09 1310-2007 Bildningsnämnden Upplands-Bro kommun 196 81 Kungsängen Beslut efter tillsyn enligt personuppgiftslagen (1998:204) PuL Datainspektionens beslut Datainspektionen konstaterar
Beslut efter tillsyn enligt personuppgiftslagen (1998:204) PuL
Beslut Dnr 2008-09-09 685-2008 Produktionsnämnden för vård och bildning Uppsala kommun 753 75 UPPSALA Beslut efter tillsyn enligt personuppgiftslagen (1998:204) PuL Datainspektionens beslut Datainspektionen
Tillsyn enligt personuppgiftslagen (1998:204) Behovs- och riskanalys samt riktlinjer till befattningshavare som utför loggkontroller
Beslut Diarienr 1 (8) 2017-06-13 989-2016 Praktikertjänst AB 103 55 Stockholm Tillsyn enligt personuppgiftslagen (1998:204) Behovs- och riskanalys samt riktlinjer till befattningshavare som utför loggkontroller
Polismyndigheten i Östergötlands läns behandling av personuppgifter i underrättelseverksamheten
SÄKERHETS- OCH INTEGRITETSSKYDDSNÄMNDEN Uttalande 2014-12-11 Dnr 69-2014 Polismyndigheten i Östergötlands läns behandling av personuppgifter i underrättelseverksamheten 1 SAMMANFATTNING Säkerhets- och
Tillsyn enligt personuppgiftslagen (1998:204) Behandling av känsliga personuppgifter i mobila enheter
Datum Diarienr 2013-05-08 643-2012 Socialnämnden Järfälla kommun 177 80 Järfälla Tillsyn enligt personuppgiftslagen (1998:204) Behandling av känsliga personuppgifter i mobila enheter Datainspektionens
Tillsyn enligt personuppgiftslagen (1998:204) samkörning av personuppgifter för gemensam verksamhetsuppföljning
Beslut Diarienr 1 (9) 2015-07-03 518-2015 Vård- och omsorgsnämnden Österåkers kommun 184 86 Åkersberga Tillsyn enligt personuppgiftslagen (1998:204) samkörning av personuppgifter för gemensam verksamhetsuppföljning
Personuppgiftslagen konsekvenser för mitt företag
Personuppgiftslagen konsekvenser för mitt företag I denna promemoria finns information om personuppgiftslagen ( PuL ) som från och med den 1 oktober i år börjar gälla för de flesta behandlingar av personuppgifter
Beslut efter tillsyn enligt personuppgiftslagen (1998:204) PuL
Datum Diarienr 2010-05-21 1319-2009 Styrelsen för Sahlgrenska Universitetssjukhuset Torggatan 1 431 35 Mölndal Beslut efter tillsyn enligt personuppgiftslagen (1998:204) PuL Datainspektionens beslut Datainspektionen
Beslut efter tillsyn enligt personuppgiftslagen (1998:204) PuL
Beslut Dnr 2008-09- 09 810-2008 Utbildningsnämnden i Skövde kommun 541 83 SKÖVDE Beslut efter tillsyn enligt personuppgiftslagen (1998:204) PuL Datainspektionens beslut Datainspektionen konstaterar att
Personuppgiftsansvar för behandling av personuppgifter i det centrala kriminalunderrättelseregistret, KUR
Uttalande SÄKERHETS- OCH INTEGRITETSSKYDDSNÄMNDEN 2013-09-04 Dnr 37-2013 Personuppgiftsansvar för behandling av personuppgifter i det centrala kriminalunderrättelseregistret, KUR 1 SAMMANFATTNING Det centrala
Tillsyn enligt personuppgiftslagen (1998:204) avseende behörighetsstyrning i ParaGå
Beslut Diarienr 1 (10) 2016-02-17 1805-2015 Södermalms stadsdelsnämnd Box 4270 102 66 Stockholm Tillsyn enligt personuppgiftslagen (1998:204) avseende behörighetsstyrning i ParaGå Datainspektionens beslut
Behandlingen av personuppgifter i Länskriminalpolisen i Västra Götalands uppgiftssamlingar med spaningsfilmer
Uttalande SÄKERHETS- OCH INTEGRITETSSKYDDSNÄMNDEN 2013-09-04 Dnr 84-2013 Behandlingen av personuppgifter i Länskriminalpolisen i Västra Götalands uppgiftssamlingar med spaningsfilmer 1 SAMMANFATTNING Säkerhets-
Beslut efter tillsyn enligt personuppgiftslagen (1998:204)
Beslut Dnr 2006-12-12 1896-2005 Landstingsstyrelsen Landstinget i Värmland 651 82 Karlstad (er beteckning LK/052693) Beslut efter tillsyn enligt personuppgiftslagen (1998:204) Datainspektionens beslut
Tillsyn enligt kameraövervakningslagen (2013:460) kameraövervakning av särskilt boende
Beslut Diarienr 1 (7) 2016-12-06 1545-2016 Vardaga Äldreomsorg AB Box 1565 171 29 Solna Tillsyn enligt kameraövervakningslagen (2013:460) kameraövervakning av särskilt boende Datainspektionens beslut Datainspektionen
Rapport. Datainspektionens redovisning av regeringsuppdraget Fö2009/355/SUND
Rapport Datainspektionens redovisning av regeringsuppdraget Fö2009/355/SUND 2010-12-06 Öppen version sid 2 1. Sammanfattning och bedömning Denna rapport utgör Datainspektionens öppna redovisning av regeringsuppdraget
Postadress Telefon E-post Organisationsnummer Box 22523, Stockholm
Uttalande SÄKERHETS- OCH INTEGRITETSSKYDDSNÄMNDEN 2015-11-18 Dnr 84-2015 Användning av kvalificerade skyddsidentiteter vid Säkerhetspolisen 1. SAMMANFATTNING Säkerhets- och integritetsskyddsnämnden har
PERSONUPPGIFTSBITRÄDESAVTAL
Bilaga 8 Personuppgiftsbiträdesavtal Polismyndigheten Datum: 2016-12-22 Dnr: A293.290/2016 PERSONUPPGIFTSBITRÄDESAVTAL 1 PARTER Personuppgiftsansvarig: Polismyndigheten, org. nr. 202100-0076, Box 12256,
Granskning av polismyndigheternas användning av centrala säkerhetsloggen
Uttalande SÄKERHETS- OCH INTEGRITETSSKYDDSNÄMNDEN 2012-09-04 Dnr 117-2012 Granskning av polismyndigheternas användning av centrala säkerhetsloggen 1 SAMMANFATTNING Nämnden har granskat de 83 beställningar
Säkerhetspolisens användning av s.k. misstankemärkning i it-systemet för bearbetning och analys
Uttalande med beslut SÄKERHETS- OCH INTEGRITETSSKYDDSNÄMNDEN 2018-06-14 Dnr 197-2017 Säkerhetspolisens användning av s.k. misstankemärkning i it-systemet för bearbetning och analys 1. SAMMANFATTNING Säkerhets-
Datainspektionen lämnar följande synpunkter.
Yttrande Diarienr 1(7) 2017-10-11 1684-2017 Ert diarienr Ju2017/05728/L6 Justitiedepartementet 103 33 Stockholm Remittering av promemorian Anpassning av lagen (2001:183) om behandling av personuppgifter
Beslut efter tillsyn enligt personuppgiftslagen (1998:204) PuL
1 (6) Beslut Dnr 2008-09-09 730-2008 Utbildningsnämnden Göteborgs stad Box 5428 402 29 Göteborg Beslut efter tillsyn enligt personuppgiftslagen (1998:204) PuL Datainspektionens beslut Ärendet avslutas.
Samrådsyttrande om fördelning av personuppgiftsansvar E-delegationsprojektet Effektiv informationsförsörjning
Datum Diarienr 2014-03-18 195-2014 Centrala studiestödsnämnden - CSN 851 82 Sundsvall Samrådsyttrande om fördelning av personuppgiftsansvar E-delegationsprojektet Effektiv informationsförsörjning Bakgrund
Komplettering av överklagande
Komplettering Diarienr 1 (5) 2016-03-29 462-2016 Högsta Förvaltningsdomstolen Box 2293 103 17 Stockholm Komplettering av överklagande Klagande Datainspektionen, Box 8114, 104 20 Stockholm Motpart SIS LVM-hem
Regeringens skrivelse 2010/11:41
Regeringens skrivelse 2010/11:41 Integritetsskydd vid signalspaning i försvarsunderrättelseverksamhet Skr. 2010/11:41 Regeringen överlämnar denna skrivelse till riksdagen. Stockholm den 25 november 2010
Polismyndigheternas behandling av känsliga personuppgifter
Uttalande SÄKERHETS- OCH INTEGRITETSSKYDDSNÄMNDEN 2012-06-14 Dnr 56-2012 Polismyndigheternas behandling av känsliga personuppgifter 1 SAMMANFATTNING Nämnden har, utifrån de 21 polismyndigheternas svar
Tillsyn enligt personuppgiftslagen (1998:204) Utökat elektroniskt informationsutbyte
Beslut Diarienr 2011-04-01 1523-2010 Försäkringskassan Klara Västra kyrkogata 11 103 51 Stockholm Tillsyn enligt personuppgiftslagen (1998:204) Utökat elektroniskt informationsutbyte Datainspektionens
Tillsyn enligt personuppgiftslagen (1998:204) Hantering av patientuppgifter via e-post
Datum Diarienr 2011-12-12 750-2011 Landstingsstyrelsen Landstinget Blekinge 371 81 Karlskrona Tillsyn enligt personuppgiftslagen (1998:204) Hantering av patientuppgifter via e-post Datainspektionens beslut
Behandling av personuppgifter vid Försvarsmakten och Försvarets radioanstalt (SOU 2018:63)
Yttrande Diarienr 1 (12) 2018-12-14 DI-2018-17150 Ert diarienr Fö/2018/00999/RS Försvarsdepartementet fö.remissvar@regeringskansliet.se Behandling av personuppgifter vid Försvarsmakten och Försvarets radioanstalt
Beslut efter tillsyn behörighetsstyrning och loggkontroll inom kommunal hälso- och sjukvård
Beslut Diarienr 2014-05-07 574-2013 Socialnämnden Falkenbergs kommun 311 80 Falkenberg Beslut efter tillsyn behörighetsstyrning och loggkontroll inom kommunal hälso- och sjukvård Datainspektionens beslut
Säkerhetspolisens behandling av personuppgifter om barn i ett it-system för bearbetning och analys
SÄKERHETS- OCH INTEGRITETSSKYDDSNÄMNDEN Uttalande med beslut 2016-02-17 Dnr 50-2015 Säkerhetspolisens behandling av personuppgifter om barn i ett it-system för bearbetning och analys 1. SAMMANFATTNING
Synpunkter med anledning av regeringens uppdrag till Myndigheten för samhällskydd och beredskap om nödlarmsystemet ecall i Sverige
Datum Diarienr 2013-11-05 1194-2013 Myndigheten för samhällskydd och beredskap 651 81 KARLSTAD Synpunkter med anledning av regeringens uppdrag till Myndigheten för samhällskydd och beredskap om nödlarmsystemet
Rikspolisstyrelsens behandling av personuppgifter i penningtvättsregistret
Uttalande SÄKERHETS- OCH INTEGRITETSSKYDDSNÄMNDEN 2014-02-13 Dnr 111-2013 Rikspolisstyrelsens behandling av personuppgifter i penningtvättsregistret 1 SAMMANFATTNING Säkerhets- och integritetsskyddsnämnden
Betänkandet Skyddet för den personliga integriteten Bedömningar och förslag (SOU 2008:3)
Yttrande Dnr 2008-06-04 446-2008 Ert Dnr Ju2008/675/L6 Regeringskansliet Justitiedepartementet 103 33 Stockholm Betänkandet Skyddet för den personliga integriteten Bedömningar och förslag (SOU 2008:3)
Postadress Telefon E-post Organisationsnummer Box 22523, 104 22 Stockholm 08-617 98 00 sakint@sakint.se 202100-5703
Uttalande SÄKERHETS- OCH INTEGRITETSSKYDDSNÄMNDEN 2012-03-28 Dnr 114-2011 Försvararsamtal BAKGRUND Enligt lagen (2007:980) om tillsyn över viss brottsbekämpande verksamhet (tillsynslagen) har Säkerhets-
Beslut efter tillsyn behörighetsstyrning och loggkontroll inom kommunal hälso- och sjukvård
Beslut Diarienr 2014-05-07 586-2013 Omsorgsnämnden Trollhättans stad 461 83 Trollhättan Beslut efter tillsyn behörighetsstyrning och loggkontroll inom kommunal hälso- och sjukvård Datainspektionens beslut
Polismyndighetens nya allmänna spaningsregister
Samrådsyttrande SÄKERHETS- OCH INTEGRITETSSKYDDSNÄMNDEN 2017-03-29 Dnr 232-2016 Polismyndighetens nya allmänna spaningsregister 1. SAMMANFATTNING Polismyndigheten har begärt samråd avseende införandet
att få ett mer effektivt informationsutbyte vid Nationellt centrum för terrorhotbedömning.
Justitieutskottets betänkande Ett mer effektivt informationsutbyte vid Nationellt centrum för terrorhotbedömning Sammanfattning Utskottet föreslår att riksdagen antar regeringens förslag till lagändringar
Tillsyn enligt personuppgiftslagen (1998:204) Behandling av känsliga personuppgifter i mobila enheter
Datum Diarienr 2013-05-08 646-2012 Socialnämnden i Halmstad kommun Box 230 301 06 Halmstad Tillsyn enligt personuppgiftslagen (1998:204) Behandling av känsliga personuppgifter i mobila enheter Datainspektionens
Granskning av underrättelser om beslut om inhämtning av uppgifter enligt inhämtningslagen
Uttalande SÄKERHETS- OCH INTEGRITETSSKYDDSNÄMNDEN 2015-03-25 Dnr 46-2014 Granskning av underrättelser om beslut om inhämtning av uppgifter enligt inhämtningslagen 1. SAMMANFATTNING Säkerhets- och integritetsskyddsnämnden
Dåvarande Rikspolisstyrelsens register över spaningsfilmer.
SÄKERHETS- OCH INTEGRITETSSKYDDSNÄMNDEN Uttalande med beslut 2016-11-16 Dnr 72-2016 Uppföljning av tidigare granskning av behandlingen av personuppgifter i Polismyndighetens Nationella operativa avdelnings
Remiss av departementspromemorian En anpassning till dataskyddsförordningen inom Miljö- och energidepartementets verksamhetsområde (Ds 2017:54)
Yttrande Diarienr 1(6) 2017-12-01 2418-2017 Ert diarienr M2017/02676/R Miljö och energidepartementet m.registrator@regeringskansliet.se Remiss av departementspromemorian En anpassning till dataskyddsförordningen
Tillsyn enligt personuppgiftslagen (1998:204) uppföljning av ärende om Kristdemokraternas medlemsregister
Datum Diarienr 2014-03-31 1293-2013 Kristdemokraterna Box 2373 103 18 STOCKHOLM Tillsyn enligt personuppgiftslagen (1998:204) uppföljning av ärende om Kristdemokraternas medlemsregister Datainspektionens
Beslut efter tillsyn behörighetsstyrning och loggkontroll inom kommunal hälso- och sjukvård
Beslut Diarienr 2014-05-07 580-2013 Vård- och omsorgsnämnden Lunds kommun Vård- och omsorgsförvaltningen Box 41 221 00 Lund Beslut efter tillsyn behörighetsstyrning och loggkontroll inom kommunal hälso-
Yttrande Diarienr 2014-03-26 658-2014 Ert diarienr N2014/1095/TE. Näringsdepartementet Transportenheten 103 33 STOCKHOLM
Yttrande Diarienr 2014-03-26 658-2014 Ert diarienr N2014/1095/TE Näringsdepartementet Transportenheten 103 33 STOCKHOLM Remissyttrande över Transportstyrelsens redovisning av regeringsuppdrag att redovisa
Tillsyn avseende undersökningen Hälsa Stockholm
Beslut Diarienr 1 (9) 2016-12-19 195-2016 Ert diarienr Dnr 2016/290 Statistiska centralbyrån Rättssekretariatet, GD-stab Box 24300 104 51 Stockholm Tillsyn avseende undersökningen Hälsa Stockholm Datainspektionens
Ombud: N.N N.N Danowsky & Partners Advokatbyrå KB Box STOCKHOLM
Datum Diarienr 2012-11-20 1630-2012 Kammarrätten i Stockholm Box 2302 103 17 STOCKHOLM ÖVERKLAGANDE KLAGANDE Datainspektionen Box 8114 104 20 Stockholm MOTPART Syna AB, 556049-7114 Ombud: N.N N.N Danowsky
Tillsyn enligt personuppgiftslagen (1998:204) Behovs- och riskanalys samt riktlinjer till befattningshavare som utför loggkontroller
Beslut Diarienr 1 (8) 2017-06-13 990-2016 Feelgood Företagshälsovård AB Box 101 11 100 55 Stockholm Tillsyn enligt personuppgiftslagen (1998:204) Behovs- och riskanalys samt riktlinjer till befattningshavare
Rikspolisstyrelsens rutiner för och kontroll av behandling av känsliga personuppgifter i det centrala kriminalunderrättelseregistret, KUR
Uttalande SÄKERHETS- OCH INTEGRITETSSKYDDSNÄMNDEN 2012-12-11 Dnr 231-2012 Rikspolisstyrelsens rutiner för och kontroll av behandling av känsliga personuppgifter i det centrala kriminalunderrättelseregistret,
Tillsyn enligt personuppgiftslagen (1998:204); behandling av personuppgifter för kontroll av anställda
Beslut Dnr 2007-06-27 87-2007 Carlsberg Sverige AB Bryggerivägen 10 161 86 STOCKHOLM Tillsyn enligt personuppgiftslagen (1998:204); behandling av personuppgifter för kontroll av anställda Beslut Datainspektionen
Beslut efter tillsyn behörighetsstyrning och loggkontroll inom kommunal hälso- och sjukvård
Beslut Diarienr 2014-05-07 578-2013 Äldrenämnden Karlskrona kommun Äldreförvaltningen 371 83 Karlskrona Beslut efter tillsyn behörighetsstyrning och loggkontroll inom kommunal hälso- och sjukvård Datainspektionens
en granskningsrapport från riksrevisionen Kontrollen av försvars - underrättelseverksamheten rir 2015:2
en granskningsrapport från riksrevisionen Kontrollen av försvars - underrättelseverksamheten rir 2015:2 Riksrevisionen är en myndighet under riksdagen med uppgift att granska den verksamhet som bedrivs
Tillsyn enligt personuppgiftslagen (1998:204) Utökat elektroniskt informationsutbyte
Beslut Diarienr 2011-04-01 1735-2010 Centrala Studiestödnämnden CSN 851 82 Sundsvall Tillsyn enligt personuppgiftslagen (1998:204) Utökat elektroniskt informationsutbyte Datainspektionens beslut CSN har
En omarbetad utlänningsdatalag Anpassning till EU:s dataskyddsförordning (Ds )
Yttrande Diarienr 1(5) 2017-11-23 2174-2017 Ert diarienr Ju2017/07761/L7 Justitiedepartementet 103 33 Stockholm En omarbetad utlänningsdatalag Anpassning till EU:s dataskyddsförordning (Ds 2017-45) Datainspektionen