Tillsyn enligt personuppgiftslagen (1998:204) Hyresbostäder i Norrköping AB

Datum Diarienr 2014-12-04 1593-2014 Hyresbostäder i Norrköping AB Box 2330 600 02 Norrköping Tillsyn enligt personuppgiftslagen (1998:204) Hyresbostäder i Norrköping AB Datainspektionens beslut Datainspektionen konstaterar att det vid inspektionen inte framkommit något som visar att Hyresbostäder i Norrköping AB behandlar uppgift om etniskt ursprung i strid med personuppgiftslagen. Datainspektionen avslutar ärendet. Redogörelse för tillsynsärendet Bakgrund Regeringen har uppdragit åt Datainspektionen att genomföra en tillsyn över hur personuppgiftslagen och andra registerförfattningar följs inom socialtjänsten och på bostadsmarknaden, med avseende på behandling av känsliga personuppgifter som avslöjar etniskt ursprung, i första hand med inriktning på uppgifter om romer och i andra hand med inriktning på uppgifter om annat etniskt ursprung. Datainspektionens uppdrag kompletterar det uppdrag som regeringen gett Kommissionen om åtgärder mot antiziganism. Syftet med kommissionen är att åstadkomma en kraftsamling i arbetet mot antiziganism och att överbrygga den förtroendeklyfta som finns mellan den romska gruppen och samhället i övrigt. Datainspektionen har inom ramen för regeringens uppdrag genomfört en inspektion hos Hyresbostäder i Norrköping (bolaget) den 19 augusti 2014. Postadress: Box 8114, 104 20 Stockholm E-post: datainspektionen@datainspektionen.se Besöksadress: Drottninggatan 29, plan 5 Telefon: 08-657 61 00 Webbplats: www.datainspektionen.se Telefax: 08-652 86 52

Protokoll har upprättats och översänts till bolaget för synpunkter. Vid inspektionen uppgav bolaget bland annat följande. Bolaget är ett av Norrköpings kommun helägt aktiebolag. Bolaget sköter själv förmedling av sina hyresrätter. I systemet Vitec Marknad (Vitec) finns bolagets bostadskö, med personuppgifter om bolagets befintliga hyresgäster samt om bostadssökande. I bolagets fastighetssystem Momentum PM (Momentum) finns all grundinformation om bolagets fastigheter och hyresgäster. Möjligheten att skriva i fritext finns i både Vitec och Momentum. I bolagets kundtjänstmanual finns riktlinjer om vad som får antecknas i systemen. Störningsrapporter sparas digitalt i en separat mapp hos bolaget. Bolaget har ingen registrering som grundas på etniskt ursprung. Etniskt ursprung är inte en faktor som efterfrågas eller tas hänsyn till, varken vid fördelning av bostäder eller under hyresförhållandets gång. Personer som vill bli bostadssökande hos bolaget, registrerar sig på bolagets webbplats, hyresbostader.se. De bostadssökandes personnummer, namn, adress, tidigare boendeform, referenser och önskemål om boendeform registreras i Vitec. Lediga hyresrätter presenteras på bolagets webbplats hyresbostader.se, vid vilken de bostadssökande kan göra intresseanmälningar. Efter att intresseanmälningar rörande en hyresrätt har inkommit beslutar bolaget vilka bostadssökande som ska kallas till visning. De fem personer som erbjuds visning väljs ut av bolaget med beaktande av i första hand antalet köpoäng som grundas på tiden man stått i bolagets bostadskö. I vissa fall beslutar bolaget att den som mot bakgrund av antal köpoäng skulle ha erbjudits visning, ändå inte ska kallas till visning. I dessa fall noteras det i systemet som en omprioritering av den bostadssökande. En del av bolagets hyresrätter förmedlas med kort varsel genom en funktion som bolaget kallar för Bostad Direkt. Dessa hyresrätter publiceras tillsammans med andra lediga hyresrätter på bolagets webbplats, men markeras med en svart ikon, vilket innebär att inflyttning till hyresrätten måste ske inom en till två månader. I dessa fall avgör inte köpoäng vem som erbjuds hyresrätten. Innan ett hyresavtal ingås begär bolaget en kreditupplysning avseende den bostadssökande. Bolaget kontrollerar även om den bostadssökande har befintliga skulder till bolaget. Referenser kontrolleras av bolaget i första hand då den bostadssökande själv har uppgett en referensperson. Information om den bostadssökande som bolaget får fram i nämnda kontroller kan föranleda att den bostadssökande nekas det aktuella hyresavtalet. Detta noteras då som Sida 2 av 6

omprioritering av sökande i Vitec. En sådan omprioritering kan till exempel bero på att bolaget bedömer att den bostadssökandes inkomst inte räcker till i förhållande till den aktuella hyresrättens månadskostnad. Skäl till varför en bostadssökande nekats ett hyresavtal noteras inte alltid i systemet. I vissa fall bedömer bolaget att den bostadssökande inte är lämplig för ett hyreskontrakt. Det kan exempelvis bero på att den bostadssökande har en betalningsanmärkning. I dessa fall noteras detta som sökande spärrad i Vitec Marknad. När en bostadssökande är spärrad är denne förhindrad att anmäla sitt intresse för bolagets hyresrätter. En spärr finns kvar olika lång tid beroende på skälet till spärr. I samband med att ett hyresavtal ingås förs grunduppgifter om hyresgästen, som namn, personnummer och telefonnummer, automatiskt över från Vitec till Momentum. Bolaget anlitar SOS Alarm för hantering av störningar i bolagets fastigheter. SOS Alarm tar emot samtal från enskilda om störningar. SOS Alarm meddelar i sin tur en extern störningsjour som åker ut och kontrollerar störningen. Störningsjouren lämnar muntligen information om händelsen till SOS Alarm, som skriver en rapport. Rapporten skickas till bolaget per e-post. Bolaget sparar rapporterna digitalt i en särskild mapp. Bolaget har ingen rutin för gallring av IT-systemen. Datainspektionens kontroller Datainspektionen utförde kontroller i syfte att granska förekomsten av personuppgifter som avslöjar etniskt ursprung. I Vitec finns möjlighet att söka på bland annat namn. Det går inte att genom fritextsökningar fånga upp valfria ord som finns registrerade i Vitec. Vid inspektionen utförde Datainspektionen sökningar i Vitec på 14 namn som är vanligt förekommande bland personer med romskt ursprung. Av de träffar som sökningarna genererade tog Datainspektionen del av innehållet i 54 ärenden. Datainspektionen tog även del av två ärenden rörande bostadssökande som omprioriterats. I ett av ärendena hade den bostadssökande omprioriterats vid två tillfällen utan synlig orsak. I fritextfältet stod fv noterat. Bolaget kunde inte förklara bakgrunden till dessa omprioriteringar. Datainspektionen påträffade inga uppgifter om etniskt ursprung. Sida 3 av 6

Datainspektionen utförde vidare sökningar på personer som är förhindrade att anmäla sitt intresse för bolagets tillgängliga hyresrätter på grund av att de belagts med spärr i Vitec. Sökningen genererade 166 träffar. Datainspektionen tittade översiktligt på listan med spärrade bostadssökande och tog del av några ärenden avseende personer med namn som är vanligt förekommande bland personer med romskt ursprung. Datainspektionen påträffade inga uppgifter om etniskt ursprung. I Momentum finns möjlighet att söka på bland annat namn. Det går inte att genom fritextsökningar fånga upp valfria ord som finns registrerade i Momentum. Bolaget förevisade en profil avseende en hyresgäst. Datainspektionen påträffade inga uppgifter om etniskt ursprung. Datainspektionen tog del av samtliga störningsärenden där bolaget vidtagit åtgärder. Datainspektionen tog i samband därmed del av fyra störningsärenden avseende personer med namn som är vanligt förekommande bland personer med romskt ursprung. Datainspektionen påträffade inga uppgifter om etniskt ursprung. Skäl för beslutet Tillämplig lag Det är enligt 13 personuppgiftslagen förbjudet att behandla känsliga personuppgifter, bl.a. uppgifter om etniskt ursprung. Det är trots förbudet i vissa fall tillåtet att behandla känsliga uppgifter, bland annat om den registrerade lämnat sitt uttryckliga samtycke till behandlingen. Den personuppgiftsansvarige ska enligt 9 första stycket e personuppgiftslagen se till att de personuppgifter som behandlas är adekvata och relevanta i förhållande till ändamålen med behandlingen. Den personuppgiftsansvarige ska vidare enligt 9 första stycket h vidta alla rimliga åtgärder för att rätta, blockera eller utplåna sådana personuppgifter som är felaktiga eller ofullständiga med hänsyn till ändamålen med behandlingen. Den personuppgiftsansvarige har således ålagts ett aktivitetskrav som innebär att den personuppgiftsansvarige självmant måste vidta åtgärder för att säkerställa uppgifternas kvalitet. Av 9 första stycket i personuppgiftslagen framgår att personuppgifter inte får bevaras under längre tid än vad som är nödvändigt med hänsyn till ändamålen med behandlingen. Fastighetsägarna Sverige och SABO har i samarbete med Hyresgästföreningen tagit fram en branschöverenskommelse, Behandling av personuppgifter, inklusive kameraövervakning, vid uthyrning Sida 4 av 6

av bostäder, i syfte att skapa en gemensam god sed för behandling av personuppgifter på bostadshyresmarknaden. Av branschöverenskommelsen framgår att när ett hyresförhållande har upphört bör som huvudregel gälla att gallring av personuppgifter ska ske. För offentligt ägda bostadsföretag kan bestämmelser i författning, till exempel tryckfrihetsförordningen eller arkivlagen, eller beslut från arkivmyndighet innebära att uppgifterna inte får gallras eller att de ska bevaras under längre tid. Datainspektionens bedömning Datainspektionen konstaterar att bolaget har utarbetade rutiner för förmedling av hyresrätter och den personuppgiftsbehandling som är nödvändig för att utföra detta arbete. Någon förklaring till varför bolaget i två fall gjort markeringen fv i fritextfältet intill rubriken omprioritering av sökande har bolaget dock inte kunnat ge. Det har i ärendet inte gått att få fram i vad mån uppgiften fv är en personuppgift eller inte. Datainspektionen nöjer sig därför med att erinra om att för det fall uppgiften fv innebär någon form av förklaring till varför sökanden omprioriterats i bostadskön så kan uppgiften anses ofullständig i den mening som avses i 9 första stycket h personuppgiftslagen. Om så är fallet är bolaget skyldigt att vidta rimliga åtgärder för att rätta eller utplåna uppgiften i fråga i enlighet med den bestämmelsen. Bolaget har uppgett att det saknas rutiner för gallring i Vitec och Momentum. För det fall det finns bestämmelser i författning som innebär att personuppgifter inte får gallras behöver bolaget mot bakgrund av vad som framgår ovan inte gallra i systemen. I annat fall gäller bestämmelserna i personuppgiftslagen och riktlinjerna i branschöverenskommelsen. Datainspektionen konstaterar att det vid inspektionen inte framkommit något som visar att bolaget behandlar uppgifter om etniskt ursprung i strid med personuppgiftslagen. Ärendet kan därmed avslutas. Övrigt Efter det att Datainspektionen beslutat i samtliga tillsynsärenden som ingår i projektet kommer uppdraget att redovisas till Regeringskansliet. Datainspektionen kommer i samband därmed att i en skriftlig rapport redovisa sina iakttagelser och även lämna eventuella synpunkter och råd mot bakgrund av det som framkommit i tillsynsärendena. Bolaget kommer att få del av rapporten i fråga. Detta beslut har fattats av generaldirektören Kristina Svahn Starrsjö efter föredragning av avdelningsdirektören Hans Kärnlöf. Vid den slutliga Sida 5 av 6

handläggningen har även chefsjuristen Hans-Olof Lindblom och enhetschefen Catharina Fernquist deltagit. Kristina Svahn Starrsjö Hans Kärnlöf Sida 6 av 6