Umeå universitet Institutionen för Datatavetenskap. Integritet och privathet Markus Johansson Jan Rudzki



Relevanta dokument
PERSONUPPGIFTSLAG. Den fysiska person som, efter förordnande av den personuppgiftsansvarige,

PERSONUPPGIFTSLAGEN Göteborgs universitet Kristina Ul gren November 2013

PuL och GDPR en översiktlig genomgång

Svensk författningssamling

Kaffemöte. lördagen den 12 november Studieförbundet Vuxenskolans lokaler Grynbodgatan 20

Svensk författningssamling

Personuppgiftslagen konsekvenser för mitt företag

Riktlinjer för hantering av personuppgifter

Datainspektionen informerar. Dina rättigheter enligt personuppgiftslagen

RIKTLINJE FÖR HANTERING AV PERSONUPPGIFTER

Frågor & svar om nya PuL

Skyldigheten att lämna registerutdrag blir mindre betungande

Pul i praktiken LINKÖPINGS KYRKLIGA SAMFÄLLIGHET

Mats Gustavsson Jurist Personuppgiftsombud Karolinska Institutet tfn ,

PERSONUPPGIFTSLAGEN (PUL)

e-förvaltning och juridiken 8 maj 2008 Kristina Blomberg

Personuppgiftslagen 20 april 2010

Regler för behandling av personuppgifter vid Högskolan Dalarna

GDPR NYA DATASKYDDSFÖRORDNINGEN

SÄKERHETSPLAN FÖR PERSONUPPGIFTSBEHANDLING SOCIALFÖRVALTNINGEN GISLAVEDS KOMMUN

Beslut efter tillsyn enligt personuppgiftslagen (1998:204) av Fitness24Seven

Känsliga uppgifter 6. Personnummer på klasslistor 8. Uppgifter om familjemedlemmar 8. Bevarande av uppgifterna 10. Innehållsförteckning.

SÄKERHETSPLAN FÖR PERSONUPPGIFTSBEHANDLING SOCIALFÖRVALTNINGEN GISLAVEDS KOMMUN

INTEGRITETSPOLICY för Webcap i Sverige AB

Information om behandling av personuppgifter

Datainspektionen informerar. Dina rättigheter enligt personuppgiftslagen

Föreningen Norden Personuppgiftspolicy

Svenska Röda Korsets riktlinjer för skydd av personuppgifter. Fastställda av generalsekreteraren

Dataskyddsförordningen

meddelad i Stockholm MOTPART Uddevalla kommun Uddevalla SAKEN Tillsyn enligt personuppgiftslagen

Vi vill därför genom denna integritetspolicy informera dig om hur Svenska Detra hanterar dina personuppgifter och vilka rättigheter du har.

Dataskyddsförordningen GDPR

PM PERSONUPPGIFTSLAGEN

Lathund Personuppgiftslagen (PuL)

Regler för behandling av personuppgifter enligt personuppgiftslagen

GDPR är individcentrerat

Information till registrerade enligt personuppgiftslagen

Allmänna riktlinjer för behandling av personuppgifter enligt Personuppgiftslagen (PuL)

Integritetsskyddet hur får man ihop juridiken och tekniken?

Policy. Dataskyddspolicy. För kommunstyrelse och nämnder KS Föreskrifter Plan. Program Reglemente Riktlinjer Strategi Taxa

Rättsliga aspekter på övervakning på arbetsplatsen. Helena Andersson Institutet för rättsinformatik Stockholms universitet

Personuppgiftsbehandling i forskning

1. Vad är en personuppgift och vad är en behandling av personuppgifter?

Kapitel 4 Behandling av personuppgifter Sida 1 av 5

Tillsyn enligt personuppgiftslagen (1998:204); behandling av personuppgifter för kontroll av anställda

Behandling av personuppgifter vid Göteborgs universitet

Dataskyddsförordningen 2018

1. Förvaltning:... Verksamhetsområde: Kontaktperson: Personregistrets benämning. 4. Hur sker information till de registrerade?

Personuppgifter i forskning - vilka regler gäller? Eva Nilsson chefsjurist vid SCB Victoria Söderqvist jurist vid DI

Personuppgiftspolicy Dokument: Personuppgiftspolicy för Oasen boende- och vårdcenter Ändrad av Oasen:s styrelse 30 oktober 2018

Välkomna till kurs i den nya dataskyddsförordningen

Personuppgiftslagens övergångsbestämmelser upphör; personinformation på webbsidor; m.m.

Kommunstyrelsen. Regler och rutin med beskrivning av arbetet enligt PuL samt organisationsbeskrivning

Kameraövervakningslag (2013:460)

Tillsyn enligt personuppgiftslagen (1998:204) användning av s.k. elektroniska nycklar hos ett bostadsbolag

Integritet och behandling av personuppgifter

Sammanträdesdatum Arbetsutskott (1) 134 Dnr KS/2015:410. Personuppgiftslagen - förslag på riktlinje för Mjölby kommun

PuL och Dataskyddsförordningen i det nämndsdministrativa arbetet- vad är nytt och hur förbereder jag mig? Stockholm den 22 november 2017

Dataskyddsförordningen i utbildningsverksamhet

Svensk författningssamling

Så behandlar vi dina personuppgifter

KOMMUNAL FÖRFATTNINGSSAMLING 2018: Policy och riktlinjer för hantering av personuppgifter. Antagen av kommunfullmäktige

EU:s dataskyddsförordning

Policy för behandling av personuppgifter

Grundkurs i personuppgiftslagen. Grundkurs för personuppgiftsombud

SKARPNÄCKS STADSDELSFÖRVALTNING

Union to Unions policy om dataskyddsförordningen, General Data Protection Regulation (GDPR)

Svensk författningssamling

ORGANISATION OCH ANSVAR ENLIGT PERSONUPPGIFTSLAGEN (PUL)

Personuppgiftslagen (PuL) - En kort introduktion

Dataskyddsförordningen 2018

GDPR. Dataskyddsförordningen 27 april Emil Lechner

Neuros Integritetspolicy

LOs policy om dataskyddsförordningen, General Data Protection Regulation (GDPR)

Styrande dokument. Policy och riktlinje för hantering av personuppgifter i Göteborgs Stad

Information om personuppgiftslagens tillämpning i Riksbanken

Personuppgiftspolicy. Fastställd efter FS-beslut 19 april 2018

Du är alltid välkommen att kontakta oss om du har frågor om hur vi behandlar dina personuppgifter. Kontaktuppgifter står sist i denna text.

Rödfärgarna. Rödfärgarnas integritetspolicy. Gäller fr.o.m

SÖDERTÄLJE KOMMUN Utbildningskontoret

Big data. Legala svårigheter och möjligheter. Johan Hübner, Advokat / Partner

Tillsyn enligt personuppgiftslagen (1998:204) inspelning av telefonsamtal i kundtjänst

Policy för integritet vid hantering av personuppgifter

Sekretesspolicy Åre 2019 AB

Policy och riktlinje för hantering av personuppgifter i Trosa kommun

Information till varje registrerad/anställd enligt personuppgiftslagen (PuL)

Personuppgiftspolicy. Dokument: Personuppgiftspolicy för Åda Ab Version: 1.0 Fastställd av Åda Ab:s styrelse Version datum:

Dataskyddsförordningen (GDPR)

Du är alltid välkommen att kontakta oss om du har frågor om hur vi behandlar dina personuppgifter. Kontaktuppgifter står sist i denna text.

Regeringens proposition 2015/16:28

Lag (2005:787) om behandling av uppgifter i Tullverkets brottsbekämpande verksamhet

Svensk författningssamling

Svenska Röda Korset värnar om din personliga integritet och din rätt att själv ha kontroll över dina personuppgifter.

GDPR utmaningar och konsekvenser för dig som jobbar med lön. Peter Nordbeck. 9 november 2017

Tillsyn enligt personuppgiftslagen (1998:204) hantering av personnummer i samband med prisförfrågan

Svensk författningssamling

Fastställd av GD 21 augusti 2018 Upphör att gälla 21 augusti 2021 Ansvarig: A/JUR Dnr: 2018/898 DATASKYDDSPOLICY

Kameraövervakning inomhus i skolor

REV Informerar. GDPR-Dataskyddsförordningen. Riktlinjer för enskilda väghållare RIKSFÖRBUNDET ENSKILDA VÄGARS INFORMATIONSHÄFTE.

Tillsyn enligt personuppgiftslagen (1998:204) behandling av personuppgifter om personer som hämtar ut postpaket

Transkript:

Umeå universitet Institutionen för Datatavetenskap Integritet och privathet Markus Johansson Jan Rudzki

Introduktion Denna del av projektrapporten kommer ta upp den nödvändiga informationen som krävs för att belysa problematiken med integritet och privathet i ett projekt såsom Hultsfredsprojektet. Innehållet kommer till största delen bestå av regler och bestämmelser inom dess områden, men även hur de påverkar vissa beslut inom projektet och hur vi valt att lösa dessa. Definitioner För att få en grundläggande förståelse över ämnet behövs kunskap om vad uttrycken egentligen innebär, varvid en kort definition utav uttrycken följer. Integritet Svenska Akademiens ordbok definierar integritet på följande: Privathet förhållande(t) att icke vara utsatt (l. mottaglig) för obehörig påvärkan l. inblandning, frihet från inblandning, självständighet, oberoende; i sht i fråga om makt l. inflytande o. d. Ordet privathet är inte ett svenskt ord enligt SAOB, utan har sitt ursprung i det engelska ordet privacy som definieras enligt: The quality or condition of being secluded from the presence or view of others. The state of being free from unsanctioned intrusion: a person's right to privacy. Konventioner och internationella regler Ämnet integritet och privathet regleras även av olika internationella organisationer. Dessa organisationer beskriver begreppen mer flyktigt och upptar dem i olika konventioner och överenskommelser. De mest kända konventionerna som behandlar dessa områden är Förenta Nationernas allmänna förklaring om de mänskliga rättigheterna och Europeiska Unionens rättighetsstadga. FN:s allmänna förklaring om de mänskliga rättigheterna: Ingen må utsättas för godtyckliga ingripanden i fråga om privatliv, familj, hem eller korrespondens, ej heller angrepp på heder och anseende. Envar har rätt till lagens skydd mot sådana ingripanden eller angrepp. I EU:s rättighetsstadga beskrivs de fri- och rättigheter som EU erkänner att varje människa har. Vi har till exempel tanke-, religions-, yttrande- och mötesfrihet, vi har rätt till ett skyddat privatliv och barn har rätt till skydd och omvårdnad. Stadgan gör de grundläggande rättigheterna tydligare. Rättighetsstadgan innehåller sex avsnitt som handlar om: värdighet, frihet, jämlikhet, solidaritet, medborgarnas rättigheter och rättsskipning.

Bestämmelser i Sverige I Sverige finns förutom dessa internationella konventioner och stadgar även en lag som behandlar integritet och privathet. Lagen heter personuppgiftslagen, PUL, och reglerar bestämmelser kring personuppgifter samt registrering av dessa. Personuppgiftslagen tillkom 1998. Med bestämmelser kring personuppgifter följer även frågan om vad som registreras med eller utan samtycke, vilket är centralt för behandling av personuppgifter. PUL definierar termerna personuppgifter och samtycke enligt följande: Personuppgifter: All slags information som direkt eller indirekt kan hänföras till en fysisk person som är i livet. Samtycke: Varje slag av frivillig, särskild och otvetydig viljeyttring genom vilken den registrerade, efter att ha fått information, godtar behandling av personuppgifter som rör honom eller henne. För att personuppgiftslagen ska vara tillämpbar finns vissa kriterier som måste uppfyllas för att en tillsynsmyndighet ska kunna åklaga och i förlängningen utdela straff för händelser som bryter mot personuppgiftslagen. Hur dessa begrepp är utformade och hänger ihop förstås lätt efter en snabb genomgång av de mest centrala paragraferna ur personuppgiftslagen. Första paragrafen fastslår lagens berättigande 1 Syftet med denna lag är att skydda människor mot att deras personliga integritet kränks genom behandling av personuppgifter. Femte paragrafen beskriver för vilket område lagen tillämpas. 5 Denna lag gäller för sådan behandling av personuppgifter som helt eller delvis är automatiserad. Lagen gäller även för annan behandling av personuppgifter, om uppgifterna ingår i eller är avsedda att ingå i en strukturerad samling av personuppgifter som är tillgängliga för sökning eller sammanställning enligt särskilda kriterier. Fyrtiotredje paragrafen behandlar tillsynsmyndighetens förfoganden. 43 Tillsynsmyndigheten har rätt att för sin tillsyn på begäran få a) tillgång till de personuppgifter som behandlas, b) upplysningar om och dokumentation av behandlingen av personuppgifter och säkerheten vid denna, och c) tillträde till sådana lokaler som har anknytning till behandlingen av personuppgifter. Fyrtioåttonde och fyrtionionde paragraferna behandlar straff. 48 Den personuppgiftsansvarige skall ersätta den registrerade för skada och kränkning av den personliga integriteten som en behandling av personuppgifter i strid med denna lag har orsakat. 49 Till böter eller fängelse i högst sex månader eller, om brottet är grovt, till fängelse i högst två år döms den som uppsåtligen eller av oaktsamhet [bryter mot någon av dessa lagar... ]

Checklistor För att på ett enkelt sätt kunna se till att inga lagar överskrids finns checklistor vilka gör det enklare att följa lagarna. Några av de mest kända och använda checklistorna är Pär Ströms, OECD:s och Esther Dysons checklistor. Pär Ström är en it-konsult som arbetat med integritet och privathets frågor i 20 år. OECD, Organisation for Economic Cooperation and Development är en organisation som sedan 1947 arbetar för ekonomisk och social utveckling. Esther Dyson är en it-konsult som sedan 1997 specialiserat sig på frågor rörande Internet intrång i vardagslivet och hur det påverkar individens integritet. De checklistor dessa organisationer och personer har utvecklat liknar varandra och tar i princip upp samma punkter. Gemensamt för dessa är att det även går att finna lagtext vilka bra stämmer överens med de punkter som finns i dessa checklistor. De grundläggande punkterna dessa checklistor tar upp följer nedan, med en referens till var i den svenska lagtexten det går att finna. Samtliga checklistor säger att insamlingen av personuppgifter enbart ska ske om fördelarna väger väsentligt tyngre än nackdelar och risker. I PUL 22 uttrycks det som att: Uppgifter om personnummer får utan samtycke behandlas bara när det är klart motiverat med hänsyn till a) ändamålet med behandlingen, b) vikten av en säker identifiering, eller c) någon annat beaktansvärt skäl. Att datamängden som registreras ska begränsas till det nödvändigaste, anses viktig. I PUL 9 e beskrivs detta: [Den personuppgiftsansvarige skall se till att]de personuppgifter som behandlas är adekvata och relevanta i förhållande till ändamålen med behandlingen. Det är betydelsefullt att människor kan ta del av de uppgifter som lagrats om dem. Hur detta ska gå till väga beskrivs utförligt i PUL 23-26. Det är vidare väsentligt att informationen som lagras är korrekt, fullständig och uppdaterad samt att människor ges möjlighet att få felaktigheter korrigerade. PUL 9 g-h: [Den personuppgiftsansvarige skall se till att] de personuppgifter som behandlas är adekvata och relevanta i förhållande till ändamålen med behandlingen, [att] alla rimliga åtgärder vidtas för att rätta, blockera eller utplåna sådana personuppgifter som är felaktiga eller ofullständiga med hänsyn till ändamålen med behandlingen Ytterligare en gemensam punkt i checklistorna är att informationen som registrerats inte ska användas för andra syften än vad som låg till grund för insamlingen av den. I PUL 9 d förklaras detta genom: [Den personuppgiftsansvarige skall se till att] personuppgifter inte behandlas för något ändamål som är oförenligt med det för vilket uppgifterna samlades in. Checklistorna tar även upp de fall då registren baseras på information som strider mot de föregående punkterna. I dessa fall rekommenderas att registren byggs med de enskilda människornas samtycke. PUL 10: Personuppgifter får behandlas bara om den registrerade har lämnat sitt samtycke till behandlingen eller om behandlingen är nödvändig /.../

Dysons princip Esther Dyson har visat på problematiken med registrering av personuppgifter, och hur integriteten inskränks när detta sker. Det som denna process i slutändan handlar om är problematiken mellan den kortsiktig förtjänst som genereras vid registreringen av personuppgifter och den långsiktiga relationen med de enskilda individerna. Dyson säger att fokus borde ligga på att ha individerna i centrum och att utveckla systemen på individernas villkor och att det är individerna som ska ha kontrollen. Anknytning till projektet I Hultsfredsprojekt har integritet och privathet varit centralt i utformandet utav systemet. I ett led att bibehålla goda relationer med festivalbesökarna och deras önskemål att nödvändigtvis inte vara med i registret har de givits frågan om hur till vida de önskar vara med i registret eller inte. På så sätt sker ingen registrering utan samtycke och alla som väljer att vara med har full kontroll över de uppgifter de lämnar då de själva fyller i informationen om sig själva. Om några oklarheter trots allt skulle uppkomma kan besökarna, närhelst de vill, lämna registret. Ingen unik identifierare som personnummer lagras i databasen vilket gör att registerdata från Hultsfredsprojektet är tämligen svår att samköra med andra register. Genom dessa förfaranden och metoder anser vi att projektet, även trots att en del information lagras om besökarna, skyddar besökarnas personliga integritet och privathet.

Källförteckning [] Böcker Garfinkel, Simson (2000), Database Nation, O Reilly, Sebastopol Ström, Pär (2003), Övervakad, Liber, Malmö Swire, Peter & Litan, Robert (1998), None of you business, The Brookings institution, Washington D.C. [] Publikationer Sveriges Lagar (2004), Personuppgiftslagen, Thomson Fakta AB, Stockholm [] Webbsidor OECD, http://www.oecd.org, 2005-03-23 Svenska Akademiens Ordbok, http://g3.spraakdata.gu.se/saob/, 2005-03-23 Dictionary.com, http://dictionary.reference.com/search?q=privacy, 2005-03-23