Beslut efter tillsyn enligt personuppgiftslagen (1998:204)



Relevanta dokument
Beslut efter tillsyn enligt personuppgiftslagen (1998:204)

Beslut efter tillsyn enligt personuppgiftslagen (1998:204)

Beslut efter tillsyn enligt personuppgiftslagen (1998:204)

Beslut efter tillsyn enligt personuppgiftslagen (1998:204)

Beslut efter tillsyn enligt personuppgiftslagen (1998:204)

Beslut efter tillsyn enligt personuppgiftslagen (1998:204)

Beslut efter tillsyn enligt personuppgiftslagen (1998:204)

Tillsyn enligt personuppgiftslagen (1998:204) socialtjänstens behandling av personuppgifter om etniskt ursprung

Beslut efter tillsyn enligt personuppgiftslagen (1998:204) PuL

Tillsyn enligt personuppgiftslagen (1998:204) av Göteborgs universitet (Svensk nationell datatjänst)

Tillsyn enligt personuppgiftslagen (1998:204) angående publicering av personuppgifter på Internet

Tillsyn enligt personuppgiftslagen (1998:204) socialtjänstens behandling av personuppgifter om etniskt ursprung

Tillsyn enligt personuppgiftslagen (1998:204) - Sammanhållen journalföring 6 kap. patientdatalagen

Beslut efter tillsyn enligt personuppgiftslagen (1998:204)

Tillsyn enligt personuppgiftslagen (1998:204) Behandling av personuppgifter i e-post

Tillsyn enligt personuppgiftslagen (1998:204) behandling av personuppgifter vid rutinkontroll av förares innehav av taxiförarlegitimation

Tillsyn enligt personuppgiftslagen (1998:204) avseende den webbaserade tjänsten Squill

Beslut efter tillsyn enligt inkassolagen (1974:182), kreditupplysningslagen (1973:1173) och personuppgiftslagen (1998:204)

Tillsyn enligt personuppgiftslagen (1998:204) användning av s.k. elektroniska nycklar hos ett bostadsbolag

Beslut efter tillsyn enligt personuppgiftslagen (1998:204) PuL

Tillsyn enligt personuppgiftslagen (1998:204) Kameraövervakning inomhus i skola

Tillsyn enligt kreditupplysningslagen (1973:1173) och personuppgiftslagen (1998:204)

Tillsyn patientens rätt till spärr enligt 4 kap. 4 och 6 kap. 2 patientdatalagen

Tillsyn enligt personuppgiftslagen (1998:204) Kameraövervakning vid Hemköp i Östersund

Tillsyn enligt personuppgiftslagen (1998:204) avseende behörighetsstyrning i ParaGå

Tillsyn enligt personuppgiftslagen (1998:204) Utökat elektroniskt informationsutbyte

Tillsyn enligt personuppgiftslagen (1998:204) Barn och grundskolenämnden i Täbys behandling av personuppgifter i VKlass

Tillsyn enligt personuppgiftslagen (1998:204) 4 kap. patientdatalagen

Tillsyn enligt personuppgiftslagen (1998:204) Behandling av känsliga personuppgifter i mobila enheter

Tillsyn av behandlingen av personuppgifter i allmänhetens terminal m.m.

Tillsyn av behandlingen av personuppgifter i allmänhetens terminal m.m.

Tillsyn enligt personuppgiftslagen (1998:204) Utökat elektroniskt informationsutbyte

Tillsyn patientens rätt till spärr enligt 4 kap. 4 och 6 kap. 2 patientdatalagen

Tillsyn enligt personuppgiftslagen (1998:204) VA Syds personuppgiftsbehandling inom avfallshanteringsverksamheten

Beslut efter tillsyn enligt personuppgiftslagen (1998:204)

Tillsyn enligt personuppgiftslagen (1998:204) Polismyndighetens behandling av personuppgifter i belastningsregistret och misstankeregistret

Tillsyn enligt personuppgiftslagen (1998:204) registrering av arbetsförmågebedömningar om anställda i rehabiliteringssystem

Tillsyn patienternas rätt till spärr enligt 4 kap. 4 och 6 kap. 2 patientdatalagen

Beslut efter tillsyn enligt personuppgiftslagen (1998:204) PuL

Tillsyn enligt personuppgiftslagen (1998:204) Bolagsverkets utlämnande av personuppgifter till Bisnode AB

Tillsyn enligt personuppgiftslagen (1998:204) Kameraövervakning inomhus i skola

Tillsyn enligt personuppgiftslagen (1988:204) - registrering av kunduppgifter samt klagomåls- och reklamationshantering

Beslut efter tillsyn enligt personuppgiftslagen (1998:204)

Tillsyn enligt personuppgiftslagen (1998:204)

Datainspektionens beslut

Tillsyn patienternas rätt till spärr enligt 4 kap. 4 och 6 kap. 2 patientdatalagen

Tillsyn enligt personuppgiftslagen (1998:204) hjälpmedelshanteringssystemet Sesam

Beslut efter tillsyn behörighetsstyrning och loggkontroll inom kommunal hälso- och sjukvård

Policy för behandling av personuppgifter vid uthyrning av bostäder

Samråd enligt 2 och 3 patientdataförordningen

Beslut efter tillsyn behörighetsstyrning och loggkontroll inom kommunal hälso- och sjukvård

Återkallelse enligt 15 inkassolagen (1974:182) av tillstånd att bedriva inkassoverksamhet

Tillsyn enligt kameraövervakningslagen (2013:460) kameraövervakning av anställda på MQ Retail AB

Vägtrafikregisterutredningens betänkande (SOU 2010:76) Transportstyrelsens databaser på vägtrafikområdet integritet och effektivitet

Tillsyn patienternas rätt till spärr enligt 4 kap. 4 och 6 kap. 2 patientdatalagen

Tillsyn enligt personuppgiftslagen (1998:204) Hyresbostäder i Norrköping AB

Beslut efter tillsyn enligt inkassolagen (1974:182) - elbolags indrivning av elfordringar

Tillsyn enligt personuppgiftslagen (1998:204)- Pensionsmyndighetens webbtjänst Dina Pensionssidor

Beslut efter tillsyn behörighetsstyrning och loggkontroll inom kommunal hälso- och sjukvård

Beslut efter tillsyn enligt personuppgiftslagen (1998:204)

Tillsyn enligt kreditupplysningslagen (1973:1173) kreditupplysningsföretagets ansvar att kontrollera beställarens legitima behov

Tillsyn enligt personuppgiftslagen (1998:204) AB Svenska Bostäder

Tillsyn enligt personuppgiftslagen (1998:204) Intern åtkomst till personuppgifter hos Migrationsverket

Tillsyn enligt personuppgiftslagen (1998:204) bankers användning av s.k. appar

Tillsyn enligt personuppgiftslagen (1998:204) personuppgiftsbehandling i anslutning till Pliktverkets e-tjänst för lämplighetsundersökning

Tillsyn enligt kameraövervakningslagen (2013:460) kameraövervakning av anställda på Lindex Sverige AB

Beslut efter tillsyn enligt personuppgiftslagen (1998:204)

Beslutet/domen har vunnit laga kraft. Fastighetsmäklarinspektionens avgörande

Beslut efter tillsyn enligt inkassolagen (1974:182) indrivning mot omyndiga

Tillsyn enligt personuppgiftslagen (1998:204) socialtjänstens behandling av personuppgifter om etniskt ursprung

Polismyndigheten i Östergötlands läns behandling av personuppgifter i underrättelseverksamheten

Datainspektionen informerar. Hur länge får personuppgifter

Rikspolisstyrelsens IT-system OBS-portalen

Tillsyn enligt personuppgiftslagen (1998:204) socialtjänstens behandling av personuppgifter om etniskt ursprung

Tillsyn enligt personuppgiftslagen (1998:204) användning av s.k. elektroniska nycklar hos ett bostadsbolag

Beslutet/domen har vunnit laga kraft. Fastighetsmäklarinspektionens avgörande

Tillsyn enligt kameraövervakningslagen (2013:460) kameraövervakning av anställda på Hemköpskedjan AB

Beslut efter tillsyn enligt personuppgiftslagen (1998:204) registrering av icke kyrkotillhöriga barn

Tillsyn enligt personuppgiftslagen (1998:204) - Sammanhållen journalföring 6 kap. patientdatalagen

Tillsyn enligt personuppgiftslagen (1998:204) Seamless Payment AB

Beslut efter tillsyn enligt personuppgiftslagen (1998:204) PuL

Personuppgiftslagens övergångsbestämmelser upphör; personinformation på webbsidor; m.m.

Tillsyn enligt personuppgiftslagen (1998:204) socialtjänstens behandling av personuppgifter om etniskt ursprung

Beslut efter tillsyn enligt inkassolagen (1974:182) indrivning mot omyndiga

Säkerhetsåtgärder vid kameraövervakning

Tillsyn mot Wihlborgs Fastigheter AB avseende användning av positioneringssystemet ABAX

Polismyndighetens behandling av personuppgifter i signalementsregistret

PM Tillämpning av PUL inom Barn- och utbildningsnämndens verksamheter

Tillsyn enligt personuppgiftslagen (1998:204) uppföljning av ärende om Kristdemokraternas medlemsregister

Ansökan om undantag från förbudet i 21 personuppgiftslagen (1998:204)

Tillsyn enligt personuppgiftslagen (1998:204) uppföljning av ärende om Vänsterpartiets medlemsregister

Svar över vidtagna åtgärder önskas före februari månads utgång 2009.

Beslut efter tillsyn enligt inkassolagen (1974:182) indrivning mot omyndiga

Datainspektionens författningssamling

Tillsyn enligt personuppgiftslagen (1998:204) socialtjänstens behandling av personuppgifter om etniskt ursprung

Intresseavvägning enligt personuppgiftslagen

Tillsyn enligt personuppgiftslagen (1998:204) registrering av kunduppgifter samt klagomåls- och reklamationshantering

Tillsyn enligt personuppgiftslagen

Tillsyn enligt personuppgiftslagen (1998:204) hantering av personnummer i samband med prisförfrågan

Tillsyn enligt personuppgiftslagen (1998:204) registrering av känsliga personuppgifter om anställda

Transkript:

Datum Diarienr 2014-05-21 1073-2013 AB Alingsåshem Box 146 441 23 Alingsås Beslut efter tillsyn enligt personuppgiftslagen (1998:204) Datainspektionens beslut AB Alingsåshem har behandlat känsliga personuppgifter i strid med 13 personuppgiftslagen. AB Alingsåshems personuppgiftsbehandling har stått i strid med kravet på god sed i 9 punkt b) personuppgiftslagen genom att behandlingen av känsliga personuppgifter inte stått i överensstämmelse med vad som föreskrivs i branschöverenskommelsen Behandling av personuppgifter, inklusive kameraövervakning, vid uthyrning av bostäder. Datainspektionen förutsätter att AB Alingsåshem fortsätter det arbete som påbörjats i syfte att förhindra att personuppgifter fortsättningsvis behandlas i strid med 13 personuppgiftslagen och branschöverenskommelsen. Ärendet avslutas. Redogörelse för tillsynsärendet Datainspektionen har via media fått indikationer på att kommunala bostadsbolag, bl.a. AB Alingsåshem (bolaget), behandlar personuppgifter om hyresgäster på ett sätt som strider mot bestämmelserna i personuppgiftslagen. De uppgifter som bolaget registrerat om hyresgästerna har enligt uppgift varit känsliga personuppgifter, enligt 13 personuppgiftslagen. Datainspektionen har inlett tillsyn mot bolaget, som har yttrat sig. I yttrandet anförs i huvudsak följande: Postadress: Box 8114, 104 20 Stockholm E-post: datainspektionen@datainspektionen.se Besöksadress: Drottninggatan 29, plan 5 Telefon: 08-657 61 00 Webbplats: www.datainspektionen.se Telefax: 08-652 86 52

I ett fåtal fall har det förekommit att bolaget har antecknat personuppgifter som rör de boendes hälsa. Dessa uppgifter har antecknats när hyresgästen eller en närstående ringt eller mejlat och bett hyresvärden att notera detta. Noteringarna har förts i sammanhang som exempelvis har att göra med förturer, uteblivna hyresinbetalningar, störningsärenden eller då anhöriga ber om nya rutiner för kontakt. Bolaget anser sig ha stöd i det muntliga medgivandet då bolaget uppfattat det som att hyresgästen vill att noteringen ska göras eftersom syftet är att meddela bolaget något som hyresgästen vill ska tas i beaktande vid vidare åtgärder. Bolaget har dock inte uttryckligen frågat efter medgivande att anteckna den känsliga uppgiften. Även i de fall då hyresgästen skickat uppgifter per mejl till bolaget, anser bolaget att hyresgästen lämnat sitt medgivande till att uppgiften noteras, även om hyresgästen inte lämnat något formellt, uttryckligt medgivande i texten. I samband med att en bostadssökande registrerar sig i bostadskön via bolagets hemsida inhämtar bolaget den sökandes samtycke till att behandla personuppgifter. Detsamma gäller i samband med att bolaget skriver kontrakt med hyresgästen. Det finns inte någon begränsning för att få åtkomst till registrerade uppgifter för de medarbetare som har tillgång till fastighetssystemet Fast2 (Fast2 innehåller uppgifter om fastigheter, hyresgäster och de som står i bostadskön). För att ha åtkomst till de registrerade uppgifterna måste man vara inloggad på en av bolagets datorer, ha tillgång till Fast2 samt ha ett lösenord. Bland de som har tillgång till Fast2 saknas dock ofta rutin och kunskap att leta bland uppgifterna, eftersom olika yrkeskategorier har användning av olika funktioner i programmet. Uppgifter om lagöverträdelser finns i enstaka fall i pågående störningsärenden. I hyreslagen finns en skyldighet att följa upp störningsärenden. Bolaget anser sig ha stöd i 1 punkten d) i DIFS 2010:1 för att få behandla dessa uppgifter. Uppgifterna är av sådan art att bolaget ansett det vara nödvändigt att registrera dem för att kunna göra gällande eller försvara rättsliga anspråk i ett enskilt fall. Bolaget har anteckningar om att incidenter i bostadsområdet har polisanmälts eller att polisen har varit på plats vid enskilda händelser. För att bolaget ska kunna göra uppföljningar i enlighet med de skyldigheter som man har enligt hyreslagen angående störningar så måste bolaget ha tillgång till denna information. Störningsanmälningar och störningsrapporter, där uppgifter om lagöverträdelser ingår, kan endast ses av administratör och marknadsavdelning. Det är dessa personer som arbetar med störningsfrågor. Bolaget utreder nu en gallringsordning. Ett gallringsförslag ska godkännas av bolagsstyrelsen och sedan sändas till kommunens arkivarie för att ett nytt Sida 2 av 5

gallringsbeslut ska fattas. En medarbetare kommer att utses som ansvarig för gallring. En tidigare gallringsplan kommer att revideras och förtydligas. Bolaget kommer att se mer restriktivt på vilka uppgifter som antecknas. Den som ringer till bolaget och lämnar uppgifter kommer muntligen att informeras om att uppgiften kommer att antecknas. Han eller hon har då tillfälle att protestera mot noteringen. Bolaget ser det som en rimlig och enkel åtgärd att införa restriktioner i systemet så att tillgång till Fast2:s olika delar ges efter olika ansvarsroller. Det skulle betyda att ett fåtal medarbetare skulle ha tillgång till känsliga registreringar. Ett preliminärt beslut om en sådan åtgärd har fattats. Bolaget kommer att fortsätta följa branschöverenskommelsen i sin verksamhet. Skäl för beslutet Sammanfattning Bolaget har behandlat känsliga personuppgifter i strid med personuppgiftslagen och branschöverenskommelsen. Bolaget kommer fortsättningsvis att se mer restriktivt på vilka uppgifter som noteras i fastighetssystemet. Ett preliminärt beslut om behörighetsstyrning har tagits. Bolaget kommer att se över sina rutiner för gallring och utse en gallringsansvarig medarbetare. I sin verksamhet kommer bolaget att följa branschöverenskommelsen. Med hänsyn till detta finner Datainspektionen anledning att anta att bolaget fortsättningsvis kommer att behandla personuppgifter i enlighet med personuppgiftslagen och branschöverenskommelsen. Datainspektionen kan komma att följa upp ärendet vid senare tillfälle. Känsliga personuppgifter Det är enligt 13 personuppgiftslagen förbjudet att behandla känsliga personuppgifter, bl.a. uppgift om hälsa och etnicitet. Det är trots förbudet i vissa fall tillåtet att behandla känsliga personuppgifter, bl.a. om den registrerade lämnat sitt uttryckliga samtycke till behandlingen, enligt 15 personuppgiftslagen. Att hyresgästen lämnat information om sin hälsa till bolaget innebär inte att hyresgästen därmed har lämnat sitt uttryckliga samtycke till att denna uppgift registreras. Datainspektionen konstaterar att bolaget i flera fall registrerat känsliga personuppgifter om sina hyresgäster utan den registrerades samtycke. Bolaget har därmed behandlat känsliga personuppgifter i strid med 13 personuppgiftslagen. Sida 3 av 5

Uppgifter om lagöverträdelser Det är enligt 21 personuppgiftslagen förbjudet för andra än myndigheter att behandla personuppgifter om lagöverträdelser. Datainspektionen får besluta om undantag från förbudet i enskilda fall. Det finns även föreskrivet vissa generella undantag från förbudet i Datainspektionens författningssamling (DIFS 2010:1). Datainspektionen konstaterar att bolaget har stöd av 1 punkten d) i DIFS 2010:1 för att behandla personuppgifter om lagöverträdelser eftersom det är fråga om enstaka uppgifter som är nödvändiga för att rättsliga anspråk ska kunna fastställas, göras gällande eller försvaras i ett enskilt fall. Krav på god sed Av 9 punkt b) personuppgiftslagen framgår att all behandling av personuppgifter ska ske i enlighet med god sed. Lagen ger utrymme för branschorganisationer att närmare utforma sådana seder. I syfte att skapa en gemensam god sed för behandling av personuppgifter på bostadshyresmarknaden har Fastighetsägarna Sverige och SABO i samarbete med Hyresgästföreningen tagit fram en branschöverenskommelse, Behandling av personuppgifter, inklusive kameraövervakning, vid uthyrning av bostäder. Branschöverenskommelsen i sin nuvarande lydelse gäller sedan april 2010. Det framgår av branschöverenskommelsen att undantag från förbudet mot att behandla känsliga personuppgifter får göras om behandlingen sker med den registrerades samtycke. Vad sedan gäller sättet för inhämtande av samtycket sägs följande: Endast den omständigheten att den registrerade har lämnat en uppgift innebär inte att samtycke finns. Samtycket ska vara uttryckligt. I en fastighetsförvaltning bör generellt tillämpas den ordningen att en känslig uppgift aldrig registreras utan skriftligt samtycke. Av 15 personuppgiftslagen framgår att ett samtycke ska vara uttryckligt. Ett uttryckligt samtycke kan vara såväl skriftligt som muntligt. Branschöverenskommelsens krav på att ett samtycke ska vara skriftligt går således längre än kraven i 15 personuppgiftslagen. Datainspektionen konstaterar att bolaget har behandlat känsliga personuppgifter utan att inhämta de registrerades skriftliga samtycke. Bolaget har därmed behandlat personuppgifter på ett sätt som avviker från vad som föreskrivs om inhämtande av samtycke i branschöverenskommelsen. Sida 4 av 5

Vad branschöverenskommelsen innehåller om inhämtande av samtycke får anses ge uttryck för vad som betraktas som god sed. Bolaget får därmed anses ha behandlat personuppgifter i strid med god sed enligt 9 punkt b) personuppgiftslagen. Slutsatser Bolaget har behandlat personuppgifter i strid med personuppgiftslagen och branschöverenskommelsen. Bolaget kommer nu att följa branschöverenskommelsen i sin verksamhet och man kommer att se mer restriktivt på vilka uppgifter som noteras i fastighetssystemet. Ett preliminärt beslut om behörighetsstyrning har tagits för att se till att medarbetarnas behörighet anpassas till deras olika tjänster. Bolaget kommer att se över sina rutiner för gallring och utse en gallringsansvarig medarbetare. Datainspektionen förutsätter att bolagets åtgärder kommer att förhindra att personuppgifter fortsättningsvis behandlas i strid med personuppgiftslagen och branschöverenskommelsen. Därmed saknas anledning att vidta ytterligare åtgärder med anledning av det inträffade. Ärendet avslutas, men kan komma att följas upp. Hur man överklagar Om ni vill överklaga beslutet skall ni skriva till Datainspektionen. Ange i skrivelsen vilket beslut som överklagas och den ändring som ni begär. Inspektionen måste ha fått ert överklagande inom tre veckor från den dag ni fick ta del av beslutet, annars kan överklagandet inte prövas. Datainspektionen sänder överklagandet vidare till Förvaltningsrätten i Stockholm för prövning om inspektionen inte själv ändrar beslutet på det sätt ni har begärt. Camilla Sparr Sida 5 av 5

2024 © DocPlayer.se Sekretesspolicy | Användarvillkor | Kontakta oss