Uppföljning av Polismyndighetens behandling av personuppgifter i signalementsregistret avseende gallring av och tillgången till uppgifter

Relevanta dokument
Polismyndighetens behandling av personuppgifter i mappstrukturer vid region Öst

Säkerhetspolisens användning av s.k. misstankemärkning i it-systemet för bearbetning och analys

Postadress Telefon E-post Organisationsnummer Box 22523, Stockholm

Polismyndighetens behandling av personuppgifter i signalementsregistret

Polismyndighetens nya allmänna spaningsregister

Polismyndighetens behandling av personuppgifter i utredningsverksamheten

Dåvarande Rikspolisstyrelsens register över spaningsfilmer.

Inhämtning av uppgifter om elektronisk kommunikation vid Polismyndigheten (region Stockholm)

Användning av kvalificerade skyddsidentiteter inom Polismyndighetens undercoververksamhet

Nämnden är kritisk till att Polismyndigheten inte har genomfört någon logguppföljning avseende de granskade uppgiftssamlingarna.

Uppföljning av tidigare granskningar avseende Polismyndighetens behandling av personuppgifter i penningtvättsregistret

Bevarande av personuppgifter i Säkerhetspolisens dokument- och ärendehanteringssystem

Uppföljning av tidigare granskning avseende Rikspolisstyrelsens behandling av personuppgifter i penningtvättsregistret

Postadress Telefon E-post Organisationsnummer Box 22523, Stockholm

Polismyndighetens behandling av känsliga personuppgifter i uppgiftssamling om inhemsk extremism

Tillsyn enligt polisdatalagen (2010:361) och personuppgiftslagen (1998:204) av Polismyndighetens personuppgiftsbehandling i fingeravtrycksregistret

Postadress Telefon E-post Organisationsnummer Box 22523, Stockholm

Nämnden är starkt kritisk till hur ärendet har hanterats.

Polismyndighetens behandling av personuppgifter i underrättelseverksamheten

Nämnden bedömer att den granskade personuppgiftsbehandlingen är förenlig med PDL:s bestämmelser.

Inhämtning av uppgifter om elektronisk kommunikation vid Polismyndigheten (Nationella operativa avdelningen)

Polismyndighetens utlämnande av personuppgifter till tredje land

Postadress Telefon E-post Organisationsnummer Box 22523, Stockholm

Postadress Telefon E-post Organisationsnummer Box 22523, Stockholm

Säkerhetspolisens behandling av känsliga personuppgifter i ett it-system för bearbetning och analys av information

Inhämtning av uppgifter om elektronisk kommunikation vid Polismyndigheten, region Syd

Postadress Telefon E-post Organisationsnummer Box 22523, Stockholm

Uppföljning av polismyndigheternas användning av centrala säkerhetsloggen

Säkerhetspolisens behandling av känsliga personuppgifter i fristående databaser

Polismyndighetens behandling av personuppgifter i underrättelseverksamheten

Granskning av ärenden vid Åklagarkammaren i Uppsala där den enskilde inte underrättats om hemlig tvångsmedelsanvändning

Svensk författningssamling

Säkerhetspolisens behandling av personuppgifter om barn i ett it-system för bearbetning och analys

Loggning och logguppföljning i Polismyndighetens säkerhetslogg

Postadress Telefon E-post Organisationsnummer Box 22523, Stockholm

Personuppgiftsansvar för behandling av personuppgifter i det centrala kriminalunderrättelseregistret, KUR

Användning av kvalificerade skyddsidentiteter vid Polismyndigheten, region Nord

Användning av en kvalificerad skyddsidentitet som upphört att gälla vid Polismyndigheten, region Nord

Behandlingen av personuppgifter i Länskriminalpolisen i Västra Götalands uppgiftssamlingar med spaningsfilmer

Hanteringen av hemliga tvångsmedel vid Åklagarkammaren i Göteborg

Granskning av polismyndigheternas användning av centrala säkerhetsloggen

Polismyndighetens behandling av personuppgifter med anledning av brottslighet kopplad till utsatta EU-medborgare

Tilldelning och användning av behörigheter i DurTvå

SÄKERHETS- OCH. Uttalande med beslut Dnr och

Uppföljning av Polismyndigheten i Skånes behandling av personuppgifter i uppgiftssamlingen benämnd Kringresande

Svensk författningssamling

Handläggningen av ett tvångsmedelsärende vid City åklagarkammare i Stockholm. Handläggningen har uppvisat bl.a. följande anmärkningsvärda brister.

Postadress Telefon E-post Organisationsnummer Box 22523, Stockholm

Behandlingen av personuppgifter i Rikskriminalpolisens register över spaningsfilmer

Åklagarmyndighetens användning av s.k. postkontroll

Postadress Telefon E-post Organisationsnummer Box 22523, Stockholm

Svensk författningssamling

Användningen av kvalificerade skyddsidentiteter inom det särskilda personsäkerhetsarbetet

Polismyndighetens rutiner avseende avlyssningsförbudet i 27 kap. 22 rättegångsbalken

Polismyndigheternas behandling av känsliga personuppgifter

Rikspolisstyrelsens IT-system OBS-portalen

Integritet och effektivitet i polisens brottsbekämpande verksamhet

Rikspolisstyrelsens rutiner för och kontroll av behandling av känsliga personuppgifter i polisens allmänna spaningsregister, ASP

Polismyndigheten i Östergötlands läns behandling av personuppgifter i underrättelseverksamheten

Rikspolisstyrelsens behandling av personuppgifter i penningtvättsregistret

Tillsyn enligt personuppgiftslagen (1998:204) Polismyndighetens behandling av personuppgifter i belastningsregistret och misstankeregistret

Rikspolisstyrelsens rutiner för och kontroll av behandling av känsliga personuppgifter i det centrala kriminalunderrättelseregistret, KUR

Underrättelser till enskilda vid internationell rättslig hjälp vid två internationella åklagarkammare

Granskning av underrättelser om beslut om inhämtning av uppgifter enligt inhämtningslagen

Förordning (2001:720) om behandling av personuppgifter i verksamhet enligt utlänningsoch medborgarskapslagstiftningen

Beslut efter tillsyn enligt personuppgiftslagen (1998:204)

Granskning av underrättelser om beslut om inhämtning av uppgifter enligt den s.k. inhämtningslagen

Granskning av underrättelser om beslut om inhämtning av uppgifter enligt inhämtningslagen

Förstöring av upptagningar och uppteckningar från vissa hemliga tvångsmedel en granskning av två åklagarkammare och en polismyndighet

Hanteringen av hemliga tvångsmedel vid Åklagarkammaren i Kalmar

Svensk författningssamling

Tillsyn enligt personuppgiftslagen (1998:204) Utökat elektroniskt informationsutbyte

Postadress Telefon E-post Organisationsnummer Box 22523, Stockholm

Hanteringen av hemliga tvångsmedel vid Ekobrottsmyndigheten

Beslut efter tillsyn enligt personuppgiftslagen (1998:204)

Regeringens proposition 1997/98:97

Postadress Telefon E-post Organisationsnummer Box 22523, Stockholm

Överskottsinformation från hemlig rumsavlyssning

Beslut efter tillsyn behörighetsstyrning och loggkontroll inom kommunal hälso- och sjukvård

Tillsyn enligt personuppgiftslagen (1998:204) inspelning av telefonsamtal i kundtjänst

Tillsyn enligt personuppgiftslagen (1998:204) registrering av kunduppgifter samt klagomåls- och reklamationshantering

Tillsyn enligt personuppgiftslagen (1998:204); behandling av personuppgifter för kontroll av anställda

Polismyndigheten i Västra Götalands behandling av personuppgifter i underrättelseverksamheten

Svensk författningssamling

Postadress Telefon E-post Organisationsnummer Box 22523, Stockholm

Tillsyn enligt datalagen (1973:289)

Beslut efter tillsyn behörighetsstyrning och loggkontroll inom kommunal hälso- och sjukvård

Postadress Telefon E-post Organisationsnummer Box 22523, Stockholm

Tillsyn enligt personuppgiftslagen (1998:204) uppföljning av ärende om Kristdemokraternas medlemsregister

Svensk författningssamling

Förordning (2001:720) om behandling av personuppgifter i verks... medborgarskapslagstiftningen [Fakta & Historik]

Tillsyn enligt personuppgiftslagen (1998:204) registrering av kunduppgifter samt klagomåls- och reklamationshantering

Tillsyn enligt personuppgiftslagen (1998:204) Seamless Payment AB

Svensk författningssamling

Lag (2005:787) om behandling av uppgifter i Tullverkets brottsbekämpande verksamhet

Beslut efter tillsyn behörighetsstyrning och loggkontroll inom kommunal hälso- och sjukvård

Yttrande avseende Datainspektionens begäran om upplysningar, diarienummer

Nämnden konstaterar att det har funnits flera fel och brister i hanteringen av hemliga tvångsmedel vid Åklagarkammaren i Skövde.

Beslut efter tillsyn enligt personuppgiftslagen (1998:204)

Information om behandling av personuppgifter på Tellus bostadsrättsförening

Transkript:

Uttalande med beslut SÄKERHETS- OCH INTEGRITETSSKYDDSNÄMNDEN 2018-02-20 Dnr 157-2017 Uppföljning av Polismyndighetens behandling av personuppgifter i signalementsregistret avseende gallring av och tillgången till uppgifter 1. SAMMANFATTNING Säkerhets- och integritetsskyddsnämnden har gjort en uppföljande granskning avseende behandlingen av personuppgifter i signalementsregistret. Granskningen har avsett gallring av och tillgång till personuppgifter. Nämnden konstaterar att Polismyndigheten har vidtagit åtgärder för att komma till rätta med de brister avseende gallring som uppmärksammades vid den tidigare granskningen. Nämnden bedömer vidare att Polismyndigheten har förbättrat kontrollen över tilldelning och omprövning av behörigheter i signalementsregistret. Fråga om gallring av uppgifter om personer registrerade endast med så kallat daktnings-id har aktualiserats i ärendet. Enligt nämnden är gallringsbestämmelsen i 4 kap. 14 andra stycket PDL över huvud taget inte tillämplig på daktningsuppgifter. Eftersom gallringsbestämmelsen i 4 kap. 14 första stycket PDL är knuten till uppgifter i misstanke- och belastningsregistren måste daktningsuppgifter i något skede kopplas ihop med uppgifter i nämnda register. I de fall uppgifter om en person behandlas i signalementsregistret utan att behandlas i misstankeregistret, får Polismyndigheten, för att leva upp till polisdatalagens krav, på manuell väg se till att uppgifterna inte behandlas i signalementsregistret under längre tid än vad som varit tillåtet om personen hade förekommit i misstankeregistret. Postadress Telefon E-post Organisationsnummer Box 22523, 104 22 Stockholm 08-617 98 00 sakint@sakint.se 202100-5703 Besöksadress Telefax Webbplats Bankgiro Norr Mälarstrand 6, Stockholm 08-617 98 88 www.sakint.se 782-4329

2 Innehåll 1. SAMMANFATTNING... 1 2. BAKGRUND... 3 3. RÄTTSLIGA UTGÅNGSPUNKTER... 3 4. UTREDNINGEN... 4 4.1. Genomförande... 4 4.2. Iakttagelser vid inspektionen... 4 4.3. Information från Polismyndigheten... 5 4.3.1. Gallring i signalementsregistret... 5 4.3.2. Tillgången till uppgifter i signalementsregistret... 6 5. NÄMNDENS BEDÖMNING... 6 5.1 Gallring i signalementsregistret... 6 5.2 Tillgången till uppgifter i signalementsregistret... 7 6. BESLUT... 8

3 2. BAKGRUND Säkerhets- och integritetsskyddsnämnden beslutade den 15 december 2015 ett uttalande rörande Polismyndighetens behandling av personuppgifter i signalementsregistret. 1 Vid tiden för granskningen använde Polismyndigheten två it-system för att behandla uppgifter i registret (Sign och Afis-Sign). I uttalandet konstaterade nämnden att det förelåg systematiska brister vad gällde gallringen i Sign på grund av att gallringsfunktionen inte var anpassad till gällande lagstiftning. Sex av tio granskade registreringar borde ha varit gallrade. Detta föranledde skarp kritik från nämnden. Vidare konstaterades att cirka 27 500 användare hade formell behörighet till Sign, vilket innebar att antalet behöriga användare låg nära det totala antalet anställda vid Polismyndigheten. Polismyndigheten kunde inte uppge hur många av de behöriga som hade behov av tillgång till Sign och hur många som var inaktiva, t.ex. på grund av pensionering. Dessa omständigheter indikerade enligt nämnden att Polismyndigheten inte hade tillräcklig kontroll över behörighetstilldelning och omprövning av behörigheter. Nämnden uppmanade därför Polismyndigheten att se över behörighetstilldelningen och rutinerna för att ompröva och avsluta tilldelade behörigheter. Nämnden beslutade den 18 oktober 2017 att följa upp den tidigare granskningen avseende gallring och tillgången till uppgifter i signalementsregistret. 3. RÄTTSLIGA UTGÅNGSPUNKTER I fingeravtrycks- eller signalementsregistret får uppgifter behandlas om en person som är misstänkt eller dömd för brott och som varit föremål för åtgärd enligt 28 kap. 14 rättegångsbalken (4 kap. 12 första stycket polisdatalagen [2010:361] [PDL]). Det innebär att uppgifter som Polismyndigheten inhämtat vid en så kallad daktyloskopering, vanligen benämnt daktning, får behandlas i signalementsregistret. Vid en daktning tas bl.a. fingeravtryck och fotografi av en anhållen eller häktad person. Signalementsregistret får innehålla signalement, fotografier, videoupptagningar, identifieringsuppgifter, ärendenummer och brottskoder (4 kap. 13 PDL). Fingeravtryck behandlas i fingeravtrycksregistret. Uppgifter i signalementsregistret om en misstänkt person ska gallras senast tre månader efter det att uppgifter om personen gallrats ur misstanke- och belastningsregistret (4 kap. 14 första stycket PDL). 1 Polismyndighetens behandling av personuppgifter i signalementsregistret (dnr 47-2015).

4 Uppgifter om fingeravtryck som inte kan hänföras till en identifierbar person får behandlas om uppgiften kommit fram i en utredning om brott (4 kap. 12 andra stycket). Uppgifter som inte kan hänföras till en identifierbar person ska gallras senast trettio alternativt sjuttio år efter registreringen (4 kap. 14 andra stycket PDL). Enligt förarbetena avses med uppgifter i detta sammanhang fingeravtryck som kommit fram i en utredning om brott, dvs. spår från en brottsplats. 2 Personuppgifter får inte bevaras under längre tid än vad som behövs för ändamålen med behandlingen (2 kap. 12 första stycket första meningen PDL). Tillgången till personuppgifter ska begränsas till vad varje tjänsteman behöver för att fullgöra sina arbetsuppgifter (2 kap. 11 första stycket PDL). 4. UTREDNINGEN 4.1. Genomförande Polismyndigheten anmodades inledningsvis att redovisa vilka åtgärder som vidtagits med anledning av nämndens tidigare uttalande. Den 29 november 2017 genomfördes en inspektion med syfte att följa upp hur gallring av personuppgifter utförs i signalementsregistret. Vid inspektionen granskades registreringar avseende 25 personer. Urvalet gjordes med hjälp av bestämda sökkriterier. Förutom förekomst i signalementsregistret kontrollerades huruvida personerna behandlades i misstanke- eller belastningsregistret. Polismyndigheten har besvarat frågor med anledning av de iakttagelser som gjordes vid inspektionen. 4.2. Iakttagelser vid inspektionen Uppgifter om en person (person A) behandlades enbart i signalementsregistret. Vad gäller övriga 24 personer behandlades uppgifter om dem både i signalementsregistret och misstanke- eller belastningsregistret. Samtliga personer var registrerade med ett personnummer, samordningsnummer alternativt med ett så kallat daktnings-idnummer (nedan daktnings-id) i kombination med LMA-kortnummer 3 eller födelsedatum. 2 Prop. 2009/10:85 sid. 357. 3 LMA-kortet är bevis på att personen i fråga är asylsökande samt har rätt till sysselsättning och bistånd enligt lagen (1994:137) om mottagande av asylsökande m.fl.

5 4.3. Information från Polismyndigheten 4.3.1. Gallring i signalementsregistret Gallring sker primärt automatiserat De två it-systemen Sign och Afis-Sign ersattes av det nya it-systemet signalementsregistret i oktober 2016. Personer som förekommer både i signalementsregistret och i misstanke- eller belastningsregistret gallras automatiskt ur signalementsregistret senast tre månader efter det att uppgifter om personen inte längre förekommer vare sig i misstanke- eller belastningsregistret (4 kap. 14 första stycket PDL). Uppgifter om oidentifierade daktade personer gallras automatiskt efter trettio eller sjuttio år (se mer om detta nedan). Därutöver förekommer manuell gallring som utförs av tjänstemän med administrationsbehörighet i signalementsregistret. Polismyndighetens svar avseende person A Uppgifterna om person A har enligt skriftligt underlag från Polismyndigheten gallrats ur belastningsregistret tio dagar efter inspektionen. Polismyndigheten kan inte förklara varför personen vid inspektionen inte förekom i belastningsregistret, men menar att det skulle kunna röra sig om en felslagning. Personer registrerade med daktnings-id Ett daktnings-id används i signalementsregistret istället för personnummer eller samordningsnummer i de fall personen som daktas är okänd vid daktningstillfället. Någon koppling till misstanke- eller belastningsregistret finns inte när personen registreras enbart med daktnings-id. I vissa fall förekommer uppgifter om en person med daktnings-id endast i signalementsregistret och inte i misstanke- eller belastningsregistret. Polismyndighetens gallringsrutin innebär för närvarande att daktningsuppgifter om oidentifierade personer automatiskt gallras utifrån bestämmelsen i 4 kap. 14 andra stycket PDL, dvs. trettio eller sjuttio år efter registreringen. I de fall tjänstemän med administratörsbehörighet i signalementsregistret får kännedom om identiteten på en person som registrerats med daktnings-id ändras den automatiska gallringen från trettio eller sjuttio år efter registreringen, till tre månader efter det att uppgifter om personen gallrats ur misstanke- och belastningsregistret i enlighet med 4 kap. 14 första stycket PDL. Arbetet med att på detta sätt uppdatera signalementsregistret sker idag inte i strukturerad form. Polismyndigheten har därför påbörjat ett arbete med att ta fram strukturerade rutiner för att hålla uppgifterna i registret aktuella och därmed säkerställa att gallring sker i rätt tid.

6 4.3.2. Tillgången till uppgifter i signalementsregistret Behörighetstilldelningen till signalementsregistret administreras i Polisens administrationsportal. Behörigheter tilldelas och återkallas fortlöpande efter prövning av handläggare vid Behörighetscenter, på begäran av användare och deras chefer. Polismyndigheten har beslutat om nya riktlinjer som bl.a. omfattar styrning av behörigheter. 4 Av riktlinjerna framgår att behörigheter ska tilldelas individuellt och att användaren ska vara lämplig ur säkerhetssynpunkt, ha fått relevant utbildning för behörigheten och ha behov av åtkomst för att fullgöra sina arbetsuppgifter, i enlighet med gällande dataskyddsregler. Behörigheterna är alltid tidsbegränsade. Granskning av åtkomsträttigheter ska ske minst en gång per år och med högst 13 månaders mellanrum samt vid större systemförändringar eller vid behov. Om det inte finns ett beslut om förlängning av användarens behörighet ska behörigheter som är äldre än 13 månader automatiskt raderas. När någon förutsättning för behörighetstilldelning inte längre är uppfylld ska behörigheten omgående förändras eller återkallas. Polismyndighetens bedömning är att all personal som arbetar i operativ verksamhet har behov av tillgång till signalementsregistret för att fullgöra sina arbetsuppgifter. De som hade behörighet i Afis-Sign och Sign fick därmed behörighet i signalementsregistret vid driftsättningen hösten 2016. Under hösten 2017 genomfördes den första revideringen av de behörigheter som flyttades över till signalementsregistret. Den resulterade i att många behörigheter rensades bort och per den 8 januari 2018 hade 20 752 personer behörighet till systemet (att jämföra med cirka 28 000 i oktober 2017). 5. NÄMNDENS BEDÖMNING 5.1 Gallring i signalementsregistret Sign och Afis-Sign har ersatts av ett nytt signalementsregister med automatiska gallringsrutiner som i huvudsak är anpassade till gällande lagstiftning. Nämnden har vid granskningen inte funnit att uppgifter behandlats under längre tid än vad polisdatalagen medger. Nämnden konstaterar att Polismyndigheten har vidtagit åtgärder för att komma till rätta med de brister avseende gallring som uppmärksammades vid den tidigare granskningen. I ett granskat fall (person A) konstaterar nämnden att det inte längre är möjligt att utreda om gallringsbestämmelsen i 4 kap. 14 första stycket PDL har efterlevts, eftersom gallring i belastningsregistret enligt Polismyndigheten skett tio dagar efter inspektionen. Nämnden förutsätter att uppgifterna om person A i 4 Riktlinjer för säkerhet avseende informationsbehandling med stöd av it (PM 2017:4), avsnitt 9.5. Riktlinjerna beslutades den 17 november 2017.

7 signalementsregistret gallras när det inte längre finns förutsättningar att behandla dem. Vad gäller uppgifter om personer som registrerats i signalementsregistret enbart med daktnings-id vill nämnden framföra följande. Enligt 4 kap. 12 andra stycket PDL får uppgifter om fingeravtryck som inte kan hänföras till en identifierbar person behandlas om uppgiften kommit fram i en utredning om brott. I förarbetena klargörs att bestämmelsen handlar om spår från brottsplatser. 5 Av förarbetena till 4 kap. 14 andra stycket PDL framgår att även den bestämmelsen tar sikte på spår från en brottsplats. 6 Den person som blir föremål för daktning är identifierad eftersom personen fysiskt finns hos Polismyndigheten vid tagning av fotografier och fingeravtryck. Det förhållandet att personens namn, födelsetid eller hemvist inte är kända innebär inte att personen kan anses oidentifierbar i polisdatalagens mening. Trots bristfällig eller ofullständig identifiering kan personen lagföras och frihetsstraff verkställas. Gallringsbestämmelsen i 4 kap. 14 andra stycket PDL är enligt nämnden alltså över huvud taget inte tillämplig på daktningsuppgifter. Eftersom gallringsbestämmelsen i 4 kap. 14 första stycket PDL är knuten till uppgifter i misstanke- och belastningsregistren måste daktningsuppgifter i något skede kopplas ihop med uppgifter i nämnda register. Nämnden noterar att Polismyndigheten har påbörjat ett arbete med att uppdatera sina rutiner i detta avseende. I de fall uppgifter om en person behandlas i signalementsregistret utan att behandlas i misstankeregistret, får Polismyndigheten, för att leva upp till polisdatalagens krav, på manuell väg se till att uppgifterna inte behandlas i signalementsregistret under längre tid än vad som varit tillåtet om personen hade förekommit i misstankeregistret. 5.2 Tillgången till uppgifter i signalementsregistret Nämnden konstaterar att det fortfarande är ett mycket stort antal användare som har tillgång till uppgifterna i signalementsregistret. Nämnden noterar dock samtidigt att antalet behöriga användare minskat med cirka en fjärdedel efter den revision som genomfördes under hösten 2017. Vidare kan Polismyndigheten numera uppge precisa uppgifter om antalet behöriga användare vilket inte var möjligt vid den tidigare granskningen. Polismyndigheten har även beslutat om nya riktlinjer som bl.a. tar sikte på styrning av behörigheter. Mot den bakgrunden anser nämnden att Polismyndigheten har förbättrat kontrollen över tilldelning och omprövning av behörigheter i signalementsregistret. 5 Prop. 2009/10:85 sid. 356. 6 Prop. 2009/10:85 sid. 357.

8 6. BESLUT Med detta uttalande avslutas ärendet. På Säkerhets- och integritetsskyddsnämndens vägnar Gunnel Lindberg I avgörandet har deltagit: Gunnel Lindberg (ordförande), Cecilia Dahlman Eek, Linnéa Darell, Berit Jóhannesson, Zayera Khan, Christina Linderholm, Ewa Samuelsson, Mats Sander och Jonas Åkerlund (enhälligt). Föredragande: Elisabeth Hedborg Expedition till: Polismyndigheten, Rättsavdelningen, enheten för rättslig styrning och stöd (A476.495/2017) Kopia för kännedom till: Datainspektionen