Datum Diarienr 2014-12-04 1832-2014 Lulebo AB Köpmangatan 27 972 33 Luleå Tillsyn enligt personuppgiftslagen (1998:204) Lulebo AB Datainspektionens beslut Datainspektionen konstaterar att det vid inspektionen inte framkommit något som visar att Lulebo AB behandlar uppgift om etniskt ursprung i strid med personuppgiftslagen. Datainspektionen avslutar ärendet. Redogörelse för tillsynsärendet Bakgrund Regeringen har uppdragit åt Datainspektionen att genomföra en tillsyn över hur personuppgiftslagen och andra registerförfattningar följs inom socialtjänsten och på bostadsmarknaden, med avseende på behandling av känsliga personuppgifter som avslöjar etniskt ursprung, i första hand med inriktning på uppgifter om romer och i andra hand med inriktning på uppgifter om annat etniskt ursprung. Datainspektionens uppdrag kompletterar det uppdrag som regeringen gett till Kommissionen om åtgärder mot antiziganism. Syftet med kommissionen är att åstadkomma en kraftsamling i arbetet mot antiziganism och att överbrygga den förtroendeklyfta som finns mellan den romska gruppen och samhället i övrigt. Datainspektionen har inom ramen för regeringens uppdrag genomfört en inspektion hos Lulebo AB (bolaget) den 27 augusti 2014. Postadress: Box 8114, 104 20 Stockholm E-post: datainspektionen@datainspektionen.se Besöksadress: Drottninggatan 29, plan 5 Telefon: 08-657 61 00 Webbplats: www.datainspektionen.se Telefax: 08-652 86 52
Protokoll har upprättats och översänts till bolaget för synpunkter. Vid inspektionen framkom bland annat följande. Bolaget är ett av Luleå kommun helägt aktiebolag. Bolagets bostadskö finns i systemet Vitec Marknad. Information om bolagets fastigheter och hyresgäster finns i fastighetssystem Vitec Nova. Möjligheten att skriva i fritext finns i både Vitec Marknad och i Vitec Nova. Bolagets personal har fått information om vad som får skrivas i systemen. Bolaget har ingen registrering som grundas på etniskt ursprung. Etniskt ursprung är inte en faktor som efterfrågas eller tas hänsyn till, varken vid fördelning av bostäder eller under hyresförhållandets gång. Personer som vill bli bostadssökande hos bolaget, registrerar sig på bolagets webbplats, lulebo.se. Personnummer, namn, adress, tidigare boendeform, referenser, antal personer i hushållet och inkomstuppgift förs in i Vitec Marknad. Kötid i bolagets bostadskö avgör vem som erbjuds den aktuella hyresrätten. Innan hyresavtal ingås begär bolaget en kreditupplysning avseende den bostadssökande. Bolaget bedömer den bostadssökandes inkomst i förhållande till hyresrättens månadsavgift. Bolaget kontrollerar även om den bostadssökande har befintliga skulder till bolaget. Bolaget hämtar in referenser i de fall då referenser finns, som exempelvis en tidigare hyresvärd. Information som framkommer vid dessa kontroller, som exempelvis att hyresgästen tidigare har stört, kan leda till att den aktuella bostadssökanden nekas hyresrätten. I vissa fall noterar bolaget skäl till varför en bostadssökande nekats ett hyresavtal. Om den bostadssökande nekas hyresavtalet på grund av den information som framgår av kreditupplysningen så kan bolaget lägga in en spärr i systemet som gör att den bostadssökande fortsättningsvis är förhindrad att anmäla sitt intresse för bolagets tillgängliga hyresrätter. Även i de fall då en bostadssökande har skulder till bolaget, blir den sökande spärrad. Dessa typer av spärrar finns kvar tills den bostadssökandes ekonomiska förhållanden har förändrats och den bostadssökande har uppmärksammat bolaget på det. Utöver spärr på grund av den sökandes ekonomiska förhållanden förekommer det att bolaget lägger in en tidsbestämd spärr när den bostadssökande tidigare har stört eller inte levt upp till sina förpliktelser i förhållande till hyresavtalet. I samband med att ett hyresavtal ingås förs grunduppgifter om hyresgästen, som namn, personnummer och telefonnummer, över från Vitec Marknad till Vitec Nova. Sida 2 av 5
Bolaget anlitar en extern störningsjour för hantering av störningar i bolagets fastigheter. Störningsjouren upprättar störningsrapporter som dagligen skickas till bolaget via e-post. Den person hos bolaget som tar hand om de inkommande störningsrapporterna sparar dessa i en mapp på sitt e-postkonto. Sådana störningar som störningsjouren har bekräftat på plats kallas för konstaterade störningar och sparas i pappersform i särskilda pärmar (sex stycken)hos bolaget. I pärmarna finns förutom störningen även eventuell korrespondens mellan bolaget och den störande hyresgästen. Övriga störningar, som är kopplade till en utpekad hyresgäst, men som inte är konstaterade, sparas i andra pärmar. Konstaterade störningar noteras även i Vitec Nova. Bolaget har ingen rutin för gallring av Vitec Marknad och Vitec Nova. Det finns enligt bolaget inget gallringsbeslut från arkivmyndighet. Datainspektionens kontroller Datainspektionen har utfört kontroller i syfte att granska förekomsten av personuppgifter som avslöjar etniskt ursprung. I Vitec Marknad finns möjlighet att söka på bland annat namn. Det går inte att genom fritextsökningar fånga upp valfria ord som finns registrerade i Vitec Marknad. Vid inspektionen utförde Datainspektionen sökningar i Vitec Marknad på sju namn som är vanligt förekommande bland personer med romskt ursprung. Sökningarna omfattade alla bostadssökande i systemet. Av de 190 träffar som sökningarna genererade tog Datainspektionen del av innehållet i 26 ärenden. Datainspektionen utförde vidare sökningar på personer som är förhindrade att anmäla sitt intresse för bolagets tillgängliga hyresrätter på grund av att de belagts med spärr i Vitec Marknad. Sökningen genererade 144 träffar. Datainspektionen tog del av träffar avseende personer med namn som är vanligt förekommande bland personer med romskt ursprung. I Vitec Nova finns möjlighet att söka på bland annat namn. Det går inte att genom fritextsökningar fånga upp valfria ord som finns registrerade i Vitec Nova. Datainspektionen utförde i Vitec Nova en sökning på 29 namn som är vanligt förekommande bland personer med romskt ursprung. Av de 36 träffar som sökningarna genererade tog Datainspektionen del av innehållet i 17 ärenden. Datainspektionen tog vidare del av två rapporter från mappar med störningsärenden i e-postsystemet som inkommit från störningsjouren. Sida 3 av 5
Datainspektionen gick även igenom samtliga ärenden i bolagets sex pärmar med störningsärenden. Datainspektionen påträffade inga uppgifter om etniskt ursprung. Skäl för beslutet Tillämplig lag Av 9 första stycket i personuppgiftslagen framgår att personuppgifter inte får bevaras under längre tid än vad som är nödvändigt med hänsyn till ändamålen med behandlingen. Fastighetsägarna Sverige och SABO har i samarbete med Hyresgästföreningen tagit fram en branschöverenskommelse, Behandling av personuppgifter, inklusive kameraövervakning, vid uthyrning av bostäder, i syfte att skapa en gemensam god sed för behandling av personuppgifter på bostadshyresmarknaden. Av branschöverenskommelsen framgår att när ett hyresförhållande har upphört bör som huvudregel gälla att gallring av personuppgifter ska ske. För offentligt ägda bostadsföretag kan bestämmelser i författning, till exempel tryckfrihetsförordningen eller arkivlagen, eller beslut från arkivmyndighet innebära att uppgifterna inte får gallras eller att de ska bevaras under längre tid. Det är enligt 13 personuppgiftslagen förbjudet att behandla känsliga personuppgifter, bl.a. uppgifter om etniskt ursprung. Det är trots förbudet i vissa fall tillåtet att behandla känsliga uppgifter, bland annat om den registrerade lämnat sitt uttryckliga samtycke till behandlingen. Datainspektionens bedömning Bolaget har uppgett att det saknas rutiner för gallring i Vitec Marknad och Vitec Nova. För det fall det finns bestämmelser i författning som innebär att personuppgifter inte får gallras behöver bolaget mot bakgrund av vad som framgår ovan inte gallra i systemen. I annat fall gäller bestämmelserna i personuppgiftslagen och riktlinjerna i branschöverenskommelsen. Datainspektionen konstaterar att det vid inspektionen inte framkommit något som visar att bolaget behandlar uppgifter om etniskt ursprung i strid med personuppgiftslagen. Ärendet kan därmed avslutas. Övrigt Efter det att Datainspektionen beslutat i samtliga tillsynsärenden som ingår i projektet kommer uppdraget att redovisas till Regeringskansliet. Datainspektionen kommer i samband därmed att i en skriftlig rapport redovisa sina iakttagelser och även lämna eventuella synpunkter och råd mot Sida 4 av 5
bakgrund av det som framkommit vid tillsynen. Bolaget kommer att få del av rapporten i fråga. Hans Kärnlöf Sida 5 av 5