Polismyndighetens behandling av personuppgifter i mappstrukturer vid region Öst

Relevanta dokument
Säkerhetspolisens användning av s.k. misstankemärkning i it-systemet för bearbetning och analys

Polismyndighetens behandling av personuppgifter i underrättelseverksamheten

Dåvarande Rikspolisstyrelsens register över spaningsfilmer.

Postadress Telefon E-post Organisationsnummer Box 22523, Stockholm

Postadress Telefon E-post Organisationsnummer Box 22523, Stockholm

Nämnden är kritisk till att Polismyndigheten inte har genomfört någon logguppföljning avseende de granskade uppgiftssamlingarna.

Uppföljning av Polismyndighetens behandling av personuppgifter i signalementsregistret avseende gallring av och tillgången till uppgifter

Polismyndighetens behandling av personuppgifter i utredningsverksamheten

Postadress Telefon E-post Organisationsnummer Box 22523, Stockholm

Polismyndighetens nya allmänna spaningsregister

Inhämtning av uppgifter om elektronisk kommunikation vid Polismyndigheten (region Stockholm)

Polismyndighetens behandling av personuppgifter i underrättelseverksamheten

Polismyndighetens behandling av känsliga personuppgifter i uppgiftssamling om inhemsk extremism

Postadress Telefon E-post Organisationsnummer Box 22523, Stockholm

Användning av kvalificerade skyddsidentiteter inom Polismyndighetens undercoververksamhet

Säkerhetspolisens behandling av personuppgifter om barn i ett it-system för bearbetning och analys

Polismyndighetens behandling av personuppgifter med anledning av brottslighet kopplad till utsatta EU-medborgare

Bevarande av personuppgifter i Säkerhetspolisens dokument- och ärendehanteringssystem

Nämnden bedömer att den granskade personuppgiftsbehandlingen är förenlig med PDL:s bestämmelser.

Inhämtning av uppgifter om elektronisk kommunikation vid Polismyndigheten (Nationella operativa avdelningen)

Uppföljning av tidigare granskning avseende Rikspolisstyrelsens behandling av personuppgifter i penningtvättsregistret

Postadress Telefon E-post Organisationsnummer Box 22523, Stockholm

Inhämtning av uppgifter om elektronisk kommunikation vid Polismyndigheten, region Syd

Säkerhetspolisens behandling av känsliga personuppgifter i fristående databaser

Postadress Telefon E-post Organisationsnummer Box 22523, Stockholm

Uppföljning av tidigare granskningar avseende Polismyndighetens behandling av personuppgifter i penningtvättsregistret

Behandlingen av personuppgifter i Länskriminalpolisen i Västra Götalands uppgiftssamlingar med spaningsfilmer

Loggning och logguppföljning i Polismyndighetens säkerhetslogg

Nämnden är starkt kritisk till hur ärendet har hanterats.

Polismyndighetens utlämnande av personuppgifter till tredje land

Uppföljning av Polismyndigheten i Skånes behandling av personuppgifter i uppgiftssamlingen benämnd Kringresande

Säkerhetspolisens behandling av känsliga personuppgifter i ett it-system för bearbetning och analys av information

Behandlingen av personuppgifter i Rikskriminalpolisens register över spaningsfilmer

Polismyndigheten i Östergötlands läns behandling av personuppgifter i underrättelseverksamheten

Polismyndighetens behandling av personuppgifter i underrättelseverksamheten

Användning av en kvalificerad skyddsidentitet som upphört att gälla vid Polismyndigheten, region Nord

Granskning av polismyndigheternas användning av centrala säkerhetsloggen

Personuppgiftsansvar för behandling av personuppgifter i det centrala kriminalunderrättelseregistret, KUR

Uppföljning av polismyndigheternas användning av centrala säkerhetsloggen

Polismyndigheten i Västra Götalands behandling av personuppgifter i underrättelseverksamheten

Hanteringen av hemliga tvångsmedel vid Åklagarkammaren i Göteborg

Polismyndigheternas behandling av känsliga personuppgifter

Granskning av underrättelser om beslut om inhämtning av uppgifter enligt inhämtningslagen

Åklagarmyndighetens användning av s.k. postkontroll

SÄKERHETS- OCH. Uttalande med beslut Dnr och

Användning av kvalificerade skyddsidentiteter vid Polismyndigheten, region Nord

Granskning av underrättelser om beslut om inhämtning av uppgifter enligt inhämtningslagen

Postadress Telefon E-post Organisationsnummer Box 22523, Stockholm

Granskning av ärenden vid Åklagarkammaren i Uppsala där den enskilde inte underrättats om hemlig tvångsmedelsanvändning

Postadress Telefon E-post Organisationsnummer Box 22523, Stockholm

Tilldelning och användning av behörigheter i DurTvå

Användningen av kvalificerade skyddsidentiteter inom det särskilda personsäkerhetsarbetet

Handläggningen av ett tvångsmedelsärende vid City åklagarkammare i Stockholm. Handläggningen har uppvisat bl.a. följande anmärkningsvärda brister.

Hanteringen av hemliga tvångsmedel vid Ekobrottsmyndigheten

Granskning av underrättelser om beslut om inhämtning av uppgifter enligt den s.k. inhämtningslagen

Överskottsinformation från hemlig rumsavlyssning

Hanteringen av hemliga tvångsmedel vid Åklagarkammaren i Kalmar

Förstöring av upptagningar och uppteckningar från vissa hemliga tvångsmedel en granskning av två åklagarkammare och en polismyndighet

Postadress Telefon E-post Organisationsnummer Box 22523, Stockholm

Rikspolisstyrelsens behandling av personuppgifter i penningtvättsregistret

Tillsyn enligt polisdatalagen (2010:361) och personuppgiftslagen (1998:204) av Polismyndighetens personuppgiftsbehandling i fingeravtrycksregistret

Polismyndighetens behandling av personuppgifter i signalementsregistret

Säkerhetspolisens behandling av personuppgifter inom ramen för NCT-samarbetet

Underrättelser till enskilda vid internationell rättslig hjälp vid två internationella åklagarkammare

Rikspolisstyrelsens IT-system OBS-portalen

Polismyndighetens rutiner avseende avlyssningsförbudet i 27 kap. 22 rättegångsbalken

Rikspolisstyrelsens rutiner för och kontroll av behandling av känsliga personuppgifter i det centrala kriminalunderrättelseregistret, KUR

Rättssäkerhetsgarantier och hemliga tvångsmedel (SOU 2018:61) (Ju2018/04023/Å) 2 Synpunkter på författningsförslagen

Beslut efter tillsyn enligt personuppgiftslagen (1998:204)

Svensk författningssamling

Postadress Telefon E-post Organisationsnummer Box 22523, Stockholm

Nämnden konstaterar att det har funnits flera fel och brister i hanteringen av hemliga tvångsmedel vid Åklagarkammaren i Skövde.

Postadress Telefon E-post Organisationsnummer Box 22523, Stockholm

Postadress Telefon E-post Organisationsnummer Box 22523, Stockholm

Postadress Telefon E-post Organisationsnummer Box 22523, Stockholm

Rikspolisstyrelsens rutiner för och kontroll av behandling av känsliga personuppgifter i polisens allmänna spaningsregister, ASP

Postadress Telefon E-post Organisationsnummer Box 22523, Stockholm

Svensk författningssamling

Tillsynsbeslut mot Försvarsmakten avseende behandlingen av personuppgifter i IT-stöden PRIO och ReachMee

DOM Meddelad i Göteborg

Tillsyn enligt personuppgiftslagen (1998:204) registrering av kunduppgifter samt klagomåls- och reklamationshantering

Polismyndigheten i Uppsala län Box UPPSALA. Datainspektionen meddelar följande BESLUT

Tillsyn enligt personuppgiftslagen (1998:204) uppföljning av ärende om Kristdemokraternas medlemsregister

DOM. Meddelad i Stockholm. SAKEN Rätt att ta del av allmän handling KAMMARRÄTTENS AVGÖRANDE. 2. Kammarrätten avslår överklagandet.

Svensk författningssamling

Tillsyn enligt personuppgiftslagen (1998:204) uppföljning av ärende om Socialdemokraternas medlemsregister

Polisens tillgång till signalspaning i försvarsunderrättelseverksamhet (Ds 2011:44)

Tillsyn av behandlingen av personuppgifter i allmänhetens terminal m.m.

Granskning av ärenden vid Åklagarkammaren i Östersund där den enskilde inte underrättats om hemlig tvångsmedelsanvändning

Säkerhetspolisen har i sitt yttrande hit anfört bl.a. följande (vissa namn ersatta med initialer här).

Ärenden vid åklagarkammaren i Borås i vilka den enskilde inte underrättats om hemlig tvångsmedelsanvändning

Tillsyn enligt personuppgiftslagen (1998:204) socialtjänstens behandling av personuppgifter om etniskt ursprung

HÖGSTA FÖRVALTNINGSDOMSTOLENS DOM

Postadress Telefon E-post Organisationsnummer Box 22523, Stockholm

Beslut efter tillsyn enligt personuppgiftslagen (1998:204)

Beslut efter tillsyn enligt personuppgiftslagen (1998:204)

Polismyndigheten i Skånes behandling av personuppgifter i uppgiftssamlingen benämnd Kringresande

Tillsyn enligt personuppgiftslagen (1998:204) Polismyndighetens behandling av personuppgifter i belastningsregistret och misstankeregistret

Handlägges.Q"(4.e...

Beslut efter tillsyn enligt personuppgiftslagen (1998:204)

Transkript:

SÄKERHETS- OCH INTEGRITETSSKYDDSNÄMNDEN Uttalande med beslut 2018-02-20 Dnr 83-2017 Polismyndighetens behandling av personuppgifter i mappstrukturer vid region Öst 1. SAMMANFATTNING Säkerhets- och integritetsskyddsnämnden har granskat Polismyndighetens behandling av personuppgifter i mappstrukturer inom underrättelseverksamheten vid region Öst. Polismyndigheten synes ha kommit till rätta med de brister som nämnden uppmärksammade vid en tidigare granskning av behandling av personuppgifter i en mappstruktur vid dåvarande Polismyndigheten i Östergötlands län. Under granskningen har Polismyndigheten raderat ett antal mappar och inte besvarat vissa av nämndens frågor. Med anledning av detta har det i två fall inte kunnat klarläggas att myndigheten vid tidpunkten för inspektionen hade rätt att behandla uppgifterna. Postadress Telefon E-post Organisationsnummer Box 22523, 104 22 Stockholm 08-617 98 00 sakint@sakint.se 202100-5703 Besöksadress Telefax Webbplats Bankgiro Norr Mälarstrand 6, Stockholm 08-617 98 88 www.sakint.se 782-4329

2 Innehåll 1. SAMMANFATTNING... 1 2. BAKGRUND... 3 2.1. Inledning... 3 2.2. Rättsliga utgångspunkter... 3 3. UTREDNINGEN... 4 3.1. Genomförande... 4 3.2. Nämndens iakttagelser... 4 3.3. Polismyndighetens remissvar... 4 4. NÄMNDENS BEDÖMNING... 5 5. BESLUT... 6

3 2. BAKGRUND 2.1. Inledning I Polismyndighetens underrättelseverksamhet behandlas personuppgifter dels med hjälp av IT-plattformen Surfa 2, dels i olika dokument som finns i mappstrukturer på åtkomstskyddade servrar. Nämnden har tidigare konstaterat brister avseende behandlingen av personuppgifter i en mappstruktur vid dåvarande Polismyndigheten i Östergötlands län. Nämnden uttalade bl.a. att uppgifter varit tillgängliga för en alltför vid personkrets, att uppgifter behandlats utan att det funnits något konkret behov av dem och att uppgifter inte gallrats i rätt tid. Nämnden uttalade att den avsåg att följa upp vilka åtgärder som vidtagits för att säkerställa att personuppgiftsbehandlingen i underrättelseverksamheten sker i enlighet med polisdatalagen. 1 Den 4 maj 2017 beslutade nämnden att på nytt granska behandlingen av personuppgifter i mappstrukturer inom underrättelseverksamheten vid region Öst. 2.2. Rättsliga utgångspunkter En grundläggande förutsättning för att personuppgifter ska få behandlas enligt polisdatalagen (2010:361) (PDL) är att de behövs i polisens brottsbekämpande verksamhet, exempelvis i underrättelseverksamheten (2 kap. 7 1 PDL). Personuppgifter får samlas in endast för särskilda, uttryckligt angivna och berättigade ändamål (närmare ändamål). Fler uppgifter än vad som är nödvändigt med hänsyn till dessa närmare ändamål får inte behandlas (2 kap. 2 första stycket 3 PDL och 9 första stycket c och f personuppgiftslagen [1998:204]). Om personuppgifter gjorts gemensamt tillgängliga ska det framgå för vilket närmare ändamål de behandlas (3 kap. 3 PDL). Dessutom ska det i vissa fall framgå att personen som uppgifterna kan hänföras till inte är misstänkt (3 kap. 4 PDL). Personuppgifter som behandlas automatiserat och som inte gjorts gemensamt tillgängliga eller behandlas i särskilda register enligt 4 kap. polisdatalagen ska, om de behandlas i ett ärende, gallras senast ett år efter det att ärendet avslutades. Om de inte kan hänföras till ett ärende ska uppgifterna gallras senast ett år efter det att de behandlades automatiserat första gången (2 kap. 13 PDL). 1 Se nämndens uttalande den 11 december 2014 Polismyndigheten i Östergötlands läns behandling av personuppgifter i underrättelseverksamheten (dnr 69-2014).

4 3. UTREDNINGEN 3.1. Genomförande Nämnden har inledningsvis tagit del av översiktlig information om den personuppgiftsbehandling som utförs i mappstruktur inom underrättelseverksamheten vid region Öst. Den 29 augusti 2017 har en inspektion genomförts. Vid inspektionen granskades behandlingen av personuppgifter i ett antal handlingar i nio utvalda uppgiftssamlingar. Vissa handlingar valdes ut slumpmässigt medan andra valdes ut med hjälp av sökbegrepp i form av ord som kan avslöja känsliga personuppgifter. Nämndens iakttagelser finns sammanfattade i nästa avsnitt. Polismyndigheten har besvarat frågor med anledning av de iakttagelser som gjordes vid inspektionen. Polismyndighetens svar återges i erforderliga delar i avsnitt 3.3. 3.2. Nämndens iakttagelser Personuppgifter i mappstrukturen vid region Öst lagras på en åtkomstskyddad server. Av den inhämtade informationen framgår bl.a. att personuppgiftsbehandlingen i mappstrukturen utförs inom ramen för olika uppgiftssamlingar med specifika inriktningar och att antalet tjänstemän med tillgång till uppgiftssamlingarna begränsas. Av de vid inspektionen nio granskade uppgiftssamlingarna är fyra gemensamt tillgängliga. De resterande fem uppgiftssamlingarna är icke gemensamt tillgängliga. De flesta av de granskade handlingarna förefaller ha registrerats mindre än ett år före inspektionen. Två handlingar (exempel 1 och 2) är dock registrerade i januari 2016 respektive i oktober 2015. I beslut som Polismyndigheten fattat om behandling av personuppgifter i fyra icke gemensamt tillgängliga uppgiftssamlingar anges att syftet med respektive behandling är att förebygga och förhindra viss angiven brottslighet samt att hantera operativa ärenden. Vidare anges att gallring av uppgifterna kommer att ske senast ett år efter ärendets avslutande eller senast ett år efter att uppgifter hanterades för första gången. 3.3. Polismyndighetens remissvar Fyra uppgiftssamlingar innehåller både personuppgifter som behandlas i ärenden och personuppgifter som inte behandlas i ärenden. Eftersom personuppgifterna behandlas automatiserat och inte gjorts gemensamt tillgängliga är gallringsbestämmelserna i 2 kap. 13 första stycket polisdatalagen tillämpliga. Uppgifter som kan hänföras till ett ärende gallras senast ett år efter det att

5 ärendet har avslutats. Gallring av uppgifter som inte kan hänföras till ett ärende gallras kontinuerligt genom handläggares försorg, dock senast ett år efter det att de behandlades första gången. Vad gäller exempel 1 och 2 utgör uppgifterna i handlingarna en viktig del av kartläggningen av kriminella nätverk i pågående ärenden. Enligt Polismyndigheten har uppgifterna därför inte behövt gallras. Med anledning av Polismyndighetens svar har nämnden ställt ytterligare ett antal frågor och begärt tillgång till dokumentation om alla ärenden i de fyra uppgiftssamlingarna som innehåller personuppgifter både i och utanför ärenden. Polismyndigheten har härvid anfört i huvudsak följande. Mapparna till de fyra uppgiftssamlingarna är nu borttagna då en ny nationellt enhetlig mappstruktur har införts inom Polismyndigheten. I de borttagna mapparna har uppgifter hänförliga till ärenden tidigare behandlats i särskilda undermappar som har varit namngivna efter respektive ärende. I respektive ärendemapp har det endast funnits uppgifter som kan hänföras till det ärendet. Samtliga behöriga tjänstemän har haft kännedom om att personuppgifter i respektive ärende behandlas i mapp med motsvarande namn. Den av nämnden begärda dokumentationen kan inte tillhandahållas eftersom mapparna till de fyra uppgiftssamlingarna har tagits bort och nämndens begäran inte preciserats ned på ärendenivå. 4. NÄMNDENS BEDÖMNING Personuppgifterna i mappstrukturen behandlas inom ramen för olika uppgiftssamlingar med specifika inriktningar och ändamål. Det förefaller finnas behov av de personuppgifter som behandlas i uppgiftssamlingarna och nämnden har inte iakttagit att myndigheten behandlar fler uppgifter än vad som framstår som nödvändigt med hänsyn till de närmare ändamålen. Antalet personer med tillgång till uppgiftssamlingarna är begränsat och nämnden har inte funnit fall där uppgifter borde ha försetts med sådana särskilda upplysningar som krävs enligt 3 kap. 3 och 4 PDL. Vidare har den granskade behandlingen av känsliga personuppgifter varit rättsenlig. Mot denna bakgrund synes Polismyndigheten ha kommit till rätta med sådana brister som nämnden uppmärksammade vid sin tidigare granskning av personuppgiftsbehandling i mappstrukturen vid dåvarande Polismyndigheten i Östergötlands län. Vad gäller exempel 1 och 2 gör nämnden följande bedömning.

6 Huruvida uppgifterna behandlas inom ramen för ett ärende eller inte påverkar gallringsfristens längd. Med ett ärende i polisdatalagens mening avses enligt förarbetena en serie åtgärder som är avsedda att leda fram till ett bestämt slut. Ett särskilt underrättelseprojekt kan till exempel utgöra ett sådant ärende. Underrättelseprojekt med en obestämd varaktighet, exempelvis ett projekt som syftar till att fortlöpande undersöka ungdomsbrottsligheten på en viss ort, kan dock inte anses som ett ärende i den mening som avses i polisdatalagen. 2 Vid inspektionstillfället framgick det inte om uppgifterna i handlingarna ingick i ärenden eller inte. Polismyndigheten har i sitt remissvar hävdat att uppgifterna ingick i pågående ärenden utan att ange vilka ärenden som åsyftades. Nämnden har därefter begärt besked om vilka ärenden det var fråga om. Polismyndigheten har då uppgett att någon dokumentation om ärendena inte kan tillhandahållas eftersom ärendemapparna är raderade och nämndens begäran inte närmare preciserats. Polismyndigheten har alltså inte kunnat besvara nämndens frågor. Mot den angivna bakgrunden är Polismyndighetens begäran om precisering svårförståelig. Den av nämnden efterfrågade informationen borde naturligtvis kunna tillhandahållas under den tid som granskningsärendet pågår. Polismyndighetens hantering väcker frågan om behandlingen av uppgifterna i exempel 1 och 2 har varit rättsenlig. Det är Polismyndigheten som har förklaringsbördan för att behandlingen skett inom ramen för pågående ärenden. I detta ligger att det ankommer på Polismyndigheten att kunna lägga fram kontrollerbara omständigheter till stöd för påståendet. Polismyndigheten har i dessa fall inte uppfyllt sin förklaringsbörda. Det har alltså inte genom utredningen i detta ärende kunnat klarläggas att Polismyndigheten vid tidpunkten för inspektionen hade rätt att behandla uppgifterna i exempel 1 och 2. Vad som i övrigt förekommit ger inte anledning till något uttalande från nämndens sida. 5. BESLUT Med den kritik som ligger i det sagda avslutas ärendet. 2 A. prop. s. 328.

7 På Säkerhets- och integritetsskyddsnämndens vägnar Gunnel Lindberg I avgörandet har deltagit: Gunnel Lindberg (ordförande), Cecilia Dalman Eek, Linnéa Darell, Berit Jóhannesson, Zayera Khan, Christina Linderholm, Ewa Samuelsson, Mats Sander och Jonas Åkerlund (enhälligt). Föredragande: Karin Tollbäck Expedition till: Polismyndigheten, Rättsavdelningen, enheten för rättslig styrning och stöd (A221.855/2017) Kopia för kännedom till: Datainspektionen

2025 © DocPlayer.se Sekretesspolicy | Användarvillkor | Kontakta oss