Beslut efter tillsyn enligt personuppgiftslagen (1998:204)



Relevanta dokument
Beslut efter tillsyn enligt personuppgiftslagen (1998:204)

Beslut efter tillsyn enligt personuppgiftslagen (1998:204)

Beslut efter tillsyn enligt personuppgiftslagen (1998:204)

Yttrande avseende Datainspektionens begäran om upplysningar, diarienummer

Beslut efter tillsyn enligt personuppgiftslagen (1998:204)

Beslut efter tillsyn enligt personuppgiftslagen (1998:204)

Beslut efter tillsyn enligt personuppgiftslagen (1998:204)

Beslut efter tillsyn enligt personuppgiftslagen (1998:204)

Policy för behandling av personuppgifter vid uthyrning av bostäder

Tillsyn enligt personuppgiftslagen (1998:204) socialtjänstens behandling av personuppgifter om etniskt ursprung

Tillsyn enligt personuppgiftslagen (1998:204) Utökat elektroniskt informationsutbyte

Beslut efter tillsyn enligt personuppgiftslagen (1998:204) PuL

Tillsyn patientens rätt till spärr enligt 4 kap. 4 och 6 kap. 2 patientdatalagen

Beslut efter tillsyn enligt personuppgiftslagen (1998:204) PuL

Tillsyn enligt personuppgiftslagen (1998:204) avseende behörighetsstyrning i ParaGå

Tillsyn patientens rätt till spärr enligt 4 kap. 4 och 6 kap. 2 patientdatalagen

Tillsyn enligt personuppgiftslagen (1998:204) hjälpmedelshanteringssystemet Sesam

Tillsyn enligt personuppgiftslagen (1998:204) behandling av personuppgifter vid rutinkontroll av förares innehav av taxiförarlegitimation

Tillsyn enligt personuppgiftslagen (1998:204) - Sammanhållen journalföring 6 kap. patientdatalagen

Beslut efter tillsyn enligt personuppgiftslagen (1998:204)

Tillsyn enligt personuppgiftslagen (1998:204) användning av s.k. elektroniska nycklar hos ett bostadsbolag

Tillsyn enligt personuppgiftslagen (1998:204) Utökat elektroniskt informationsutbyte

Tillsyn enligt personuppgiftslagen (1998:204) registrering av arbetsförmågebedömningar om anställda i rehabiliteringssystem

Tillsyn enligt personuppgiftslagen (1998:204) av Göteborgs universitet (Svensk nationell datatjänst)

Tillsyn enligt personuppgiftslagen (1998:204) avseende den webbaserade tjänsten Squill

Beslut efter tillsyn enligt personuppgiftslagen (1998:204)

Tillsyn enligt personuppgiftslagen (1998:204) VA Syds personuppgiftsbehandling inom avfallshanteringsverksamheten

Tillsyn av behandlingen av personuppgifter i allmänhetens terminal m.m.

Samråd enligt 2 och 3 patientdataförordningen

Tillsyn enligt personuppgiftslagen (1998:204) Bolagsverkets utlämnande av personuppgifter till Bisnode AB

Tillsyn enligt personuppgiftslagen (1998:204)

Tillsyn enligt personuppgiftslagen (1998:204) Barn och grundskolenämnden i Täbys behandling av personuppgifter i VKlass

Tillsyn enligt personuppgiftslagen (1998:204) angående publicering av personuppgifter på Internet

Beslut efter tillsyn enligt inkassolagen (1974:182), kreditupplysningslagen (1973:1173) och personuppgiftslagen (1998:204)

Tillsyn enligt personuppgiftslagen (1998:204) socialtjänstens behandling av personuppgifter om etniskt ursprung

Tillsyn enligt personuppgiftslagen (1998:204) Behandling av personuppgifter i e-post

Återkallelse enligt 15 inkassolagen (1974:182) av tillstånd att bedriva inkassoverksamhet

Tillsyn av behandlingen av personuppgifter i allmänhetens terminal m.m.

Tillsyn enligt personuppgiftslagen (1998:204) Hyresbostäder i Norrköping AB

Beslut efter tillsyn behörighetsstyrning och loggkontroll inom kommunal hälso- och sjukvård

Datainspektionens beslut

Tillsyn enligt personuppgiftslagen (1998:204) Behandling av känsliga personuppgifter i mobila enheter

Beslut efter tillsyn behörighetsstyrning och loggkontroll inom kommunal hälso- och sjukvård

Tillsyn enligt personuppgiftslagen (1988:204) - registrering av kunduppgifter samt klagomåls- och reklamationshantering

Polismyndighetens behandling av personuppgifter i signalementsregistret

Tillsyn enligt kreditupplysningslagen (1973:1173) och personuppgiftslagen (1998:204)

Beslut efter tillsyn behörighetsstyrning och loggkontroll inom kommunal hälso- och sjukvård

Tillsyn enligt personuppgiftslagen (1998:204) Kameraövervakning vid Hemköp i Östersund

Datainspektionen informerar. Hur länge får personuppgifter

Tillsyn enligt personuppgiftslagen (1998:204) Kameraövervakning inomhus i skola

Tillsyn patienternas rätt till spärr enligt 4 kap. 4 och 6 kap. 2 patientdatalagen

PM Tillämpning av PUL inom Barn- och utbildningsnämndens verksamheter

Tillsyn enligt personuppgiftslagen (1998:204) 4 kap. patientdatalagen

Beslut efter tillsyn enligt personuppgiftslagen (1998:204)

Postadress Telefon E-post Organisationsnummer Box 22523, Stockholm

Beslut efter tillsyn enligt inkassolagen (1974:182) - elbolags indrivning av elfordringar

Tillsyn enligt personuppgiftslagen (1998:204) Intern åtkomst till personuppgifter hos Migrationsverket

Tillsyn enligt kameraövervakningslagen (2013:460) kameraövervakning av anställda på MQ Retail AB

Vägtrafikregisterutredningens betänkande (SOU 2010:76) Transportstyrelsens databaser på vägtrafikområdet integritet och effektivitet

Tillsyn enligt personuppgiftslagen (1998:204) Kameraövervakning inomhus i skola

Polismyndigheten i Östergötlands läns behandling av personuppgifter i underrättelseverksamheten

Beslut efter tillsyn enligt personuppgiftslagen (1998:204) PuL

Tillsyn enligt kreditupplysningslagen (1973:1173) kreditupplysningsföretagets ansvar att kontrollera beställarens legitima behov

Tillsyn patienternas rätt till spärr enligt 4 kap. 4 och 6 kap. 2 patientdatalagen

Postadress Telefon E-post Organisationsnummer Box 22523, Stockholm

Tillsyn enligt kameraövervakningslagen (2013:460) kameraövervakning av anställda på Hemköpskedjan AB

Tillsyn enligt personuppgiftslagen (1998:204) Polismyndighetens behandling av personuppgifter i belastningsregistret och misstankeregistret

Beslutet/domen har vunnit laga kraft. Fastighetsmäklarinspektionens avgörande

Tillsyn patienternas rätt till spärr enligt 4 kap. 4 och 6 kap. 2 patientdatalagen

Tillsyn enligt kameraövervakningslagen (2013:460) kameraövervakning av anställda på Lindex Sverige AB

Beslut efter tillsyn enligt personuppgiftslagen (1998:204) PuL

Tillsyn enligt personuppgiftslagen (1998:204) AB Svenska Bostäder

Tillsyn enligt personuppgiftslagen (1998:204) personuppgiftsbehandling i anslutning till Pliktverkets e-tjänst för lämplighetsundersökning

Svensk författningssamling

Tillsyn enligt personuppgiftslagen (1998:204) Seamless Payment AB

Regler för behandling av personuppgifter vid Högskolan Dalarna

Information till varje registrerad/anställd enligt personuppgiftslagen (PuL)

Beslut efter tillsyn enligt personuppgiftslagen (1998:204)

Delbetänkande av Jaktlagsutredningen: Vildsvin och viltskador om utfordring, kameraövervakning och arrendatorers jakträtt (SOU 2014:54)

Beslutet/domen har vunnit laga kraft. Fastighetsmäklarinspektionens avgörande

Personuppgiftslagens övergångsbestämmelser upphör; personinformation på webbsidor; m.m.

Beslut efter tillsyn enligt personuppgiftslagen (1998:204)

PERSONUPPGIFTSLAG. Den fysiska person som, efter förordnande av den personuppgiftsansvarige,

Tillsyn enligt personuppgiftslagen (1998:204)- Pensionsmyndighetens webbtjänst Dina Pensionssidor

Förbudet gäller dock inte diskriminering som har samband med ålder.

Granskningar avseende Upphandling och Personuppgiftslagen

Central statsförvaltning m.m.

ALLMÄNNA ANVÄNDARVILLKOR FÖR

Klagande Datainspektionen, Box 8114, Stockholm. Motpart MarknadsTing i Gånarp AB, Munka Ljungby

Svar över vidtagna åtgärder önskas före februari månads utgång 2009.

Tillsyn enligt personuppgiftslagen (1998:204) användning av s.k. elektroniska nycklar hos ett bostadsbolag

Beslut efter tillsyn enligt inkassolagen (1974:182) indrivning mot omyndiga

Utredningsförslag om vissa frågor om hyra och bostadsrätt

Säkerhetsåtgärder vid kameraövervakning

Tillsyn enligt personuppgiftslagen (1998:204) registrering av kunduppgifter samt klagomåls- och reklamationshantering

Information till registrerade enligt personuppgiftslagen

Beslut efter tillsyn enligt inkassolagen (1974:182) indrivning mot omyndiga

Patientdatalag (2008:355)

Kvalitetsregister & legala förutsättningar. Moa Malviker Wellermark, Jurist SKL, Landstingsjurist LiÖ

Yttrande över departementspromemorian Domstolsdatalag (Ds 2013:10)

Transkript:

Datum Diarienr 2014-05-21 1080-2013 AB Landskronahem Box 4026 261 04 Landskrona Beslut efter tillsyn enligt personuppgiftslagen (1998:204) Datainspektionens beslut AB Landskronahem har behandlat känsliga personuppgifter i strid med 13 personuppgiftslagen. AB Landskronahems personuppgiftsbehandling har stått i strid med kravet på god sed i 9 punkt b) personuppgiftslagen genom att behandlingen av känsliga personuppgifter inte stått i överensstämmelse med vad som föreskrivs i branschöverenskommelsen Behandling av personuppgifter, inklusive kameraövervakning, vid uthyrning av bostäder. Datainspektionen förutsätter att AB Landskronahem fortsätter det arbete som påbörjats i syfte att förhindra att personuppgifter fortsättningsvis behandlas i strid med 13 personuppgiftslagen och branschöverenskommelsen. Ärendet avslutas. Redogörelse för tillsynsärendet Datainspektionen har via media fått indikationer på att kommunala bostadsbolag, bl.a. AB Landskronahem (bolaget), behandlar personuppgifter om hyresgäster på ett sätt som strider mot bestämmelserna i personuppgiftslagen. De uppgifter som bolaget registrerat om hyresgästerna har enligt uppgift varit känsliga personuppgifter, enligt 13 personuppgiftslagen. Datainspektionen har inlett tillsyn mot bolaget, som har yttrat sig. I yttrandet anförs i huvudsak följande: Postadress: Box 8114, 104 20 Stockholm E-post: datainspektionen@datainspektionen.se Besöksadress: Drottninggatan 29, plan 5 Telefon: 08-657 61 00 Webbplats: www.datainspektionen.se Telefax: 08-652 86 52

Allmänt Bolaget äger och förvaltar ca 4 000 bostadshyreslägenheter. Bolaget använder sig sedan 2005 av fastighetssystemet Fast2 för att kunna fullgöra de hyresavtal som ingåtts med hyresgästerna. Systemet utgör ett verktyg för administration av uthyrning, hyresdebitering, hyresbetalning samt teknisk förvaltning av lägenheterna. Genom den senaste versionen av Fast2 möjliggörs gallring av uppgifter. Bolaget har ett utsett personuppgiftsombud och har som rutin att samtlig nyanställd personal som utbildas i datasystemet samtidigt även utbildas i frågor som rör bland annat hantering av personuppgifter. Bolaget har en policy som innebär att bolaget kontinuerligt gör en uppföljning av de anställdas kompetens vad gäller behandling av information. Känsliga personuppgifter Bolaget är av uppfattningen att man i stort behandlar personuppgifter i enlighet med gällande lagstiftning. Det har dock framkommit att man behandlat känsliga personuppgifter i några enstaka fall. Dessa uppgifter har rört personer som är boende hos bolaget, registreringar kring bostadssökande har inte förekommit. Samtliga uppgifter som registrerats har varit av betydelse för bolagets möjlighet att ha en god servicenivå gentemot sina boende samt bedriva en bra förvaltning av sina bostadslägenheter. De känsliga personuppgifter som registrerats avser i de allra flesta fall noteringar om orsak till sen hyresbetalning, exempelvis att utebliven hyresbetalning har orsakats av hälsoskäl. Uppgiften har registrerats i syfte att skydda den enskilde från att exempelvis bli uppsagd, få en betalningsanmärkning eller riskera avhysning samt i syfte att uppmärksamma bolagets handläggare på den enskilde hyresgästens särskilda behov och boendesituation. Registreringarna har i samtliga fall föregåtts av ett samtal från den boende själv eller från någon till den boende närstående person. För handläggning av ärenden där en hyresgäst, hos vilken det förekommer sena hyresbetalningar, önskar att få byta lägenhet eller vill beställa tillval till sin lägenhet är det av betydelse att känna till orsaken till den sena hyresbetalningen. I sådana fall har notering om orsak till sen hyresbetalning skett i syfte att underlätta för den enskilde att kunna få igenom sin önskan. Bolaget har som policy att informera den enskilde om att man önskar göra en notering kring uppgiften, innan registrering sker. Något formaliserat samtycke från den enskilde har dock inte funnits. Bolaget har registrerat känsliga personuppgifter för att exempelvis skydda hyresgästen från juridiska åtgärder vid sen hyresbetalning. I huvudsak har Sida 2 av 7

noteringarna avsett två typer av kategorier: antingen noteringar kring hyresgästs hyresbetalningar eller noteringar kring hyresgästs störningar i boendet. Det har varit nödvändigt för bolaget att behandla uppgifterna för att bolaget ska kunna fullgöra sina hyresavtal med de boende samt för att fastställa och göra gällande rättsliga anspråk. Bolaget har därmed gjort bedömningen att noteringarna varit nödvändiga och att de gjorts med stöd av 16 c) personuppgiftslagen. Bolaget avser att vidta nödvändiga åtgärder för det fall att stödet i 16 c) personuppgiftslagen inte anses vara tillräckligt. Bolaget har konstaterat att det inte ges några klara direktiv för var gränsen går för att kravet på nödvändighet ska vara uppfyllt. Mot bakgrund av detta har bolaget således gjort en bedömning i det enskilda fallet och har då, vid registreringstillfällena för de uppgifter som påträffats, bedömt att uppgifterna varit nödvändiga och att kravet enligt 16 c) personuppgiftslagen således har varit uppfyllt. Noteringar kring hyresbetalningar har uteslutande syftat till att ange orsaken till sen hyresbetalning. Bolagets syfte med dessa noteringar har dels varit att kunna undvika situationer där hyresgästen riskerar att bli föremål för onödiga kravåtgärder eller uppsägning, men även för att ha ett relevant underlag för att kunna driva in en hyresfordran eller gå vidare med en uppsägning. Registreringen har således haft betydelse för bolagets möjligheter att kunna fastställa, göra gällande eller försvara rättsliga anspråk. Noteringar som avser en hyresgästs störningar i boendet har gjorts för att ha ett relevant underlag för att eventuellt kunna gå vidare med rättelseanmaning och uppsägning av hyresavtalet. Även dessa noteringar har gjorts i syfte att kunna fastställa, göra gällande eller försvara rättsliga anspråk. Bolaget har i dessa fall tillämpat branschöverenskommelsen och gjort beskrivningar av händelser och iakttagelser. Några kränkande formuleringar har inte förekommit. Behörighet Bolaget har 55 fast anställda, vilka alla bedömts ha behov av att ha tillgång till Fast2 för att kunna fullgöra sina arbetsuppgifter. Enligt bolaget har man inte begränsat åtkomsten till uppgifterna på så sätt som borde skett, dvs. att endast de som behöver uppgiften för att fullgöra sin arbetsuppgift ska ha åtkomst till uppgiften. Sådan åtkomstbegränsning har nu genomförts. I övrigt pågår alltjämt en omfattande översyn av behörigheten och säkerheten där man går igenom samtlig personals arbetsuppgifter och de program som används, för att utreda hur behörigheter på bästa sätt kan begränsas. Sida 3 av 7

Gallring Bolaget har vidtagit en rad åtgärder för att säkerställa att personuppgifter fortsättningsvis behandlas i enlighet med lagens bestämmelser och branschöverenskommelsen. Efter att man erhållit beslut om gallring från arkivmyndigheten har bolaget, den 27 september 2013, genomfört gallring av de kunder som inte varit aktuella de senaste 24 månaderna. Enligt bolagets nya rutiner kommer sådan gallring att genomföras två gånger per år. Nya rutiner har också införts avseende noteringar om aktuella kunder. De nya rutinerna innebär att Fast2 automatiskt rensar bort uppgift om orsak till betalningsanstånd och iakttagelser om störningar avseende en aktuell kund om uppgiften är äldre än 24 månader. Samtycke Noteringar angående hälsotillstånd kommer fortsättningsvis endast att ske efter uttryckligt samtycke från den enskilde. En arbetsgrupp har tagits fram för att säkerställa att behandlingen sker med den registrerades samtycke och att detta formaliseras på ett bättre sätt. Utbildning och information till personal Bolaget arbetar fram nya rutiner och förtydligande riktlinjer för hur personalen på ett rättssäkert sätt ska hantera känslig information i enlighet med gällande lagstiftning. Bolaget kommer att ha en muntlig genomgång med sina anställda under 2014. Genom utbildning av personalen och kontinuerlig uppföljning och utvärdering kommer bolaget att säkerställa personalens kunskap och kompetens. Personuppgifter om lagöverträdelser Uppgifter om lagöverträdelser har inte registrerats om de boende eller de bostadssökande i den mening som avses i 21 personuppgiftslagen. Även denna aspekt kommer dock att belysas vid bolagets fortsatta arbete för att säkerställa att registrering av uppgifter sker i enlighet med gällande lagstiftning och branschöverenskommelsen. Skäl för beslutet Sammanfattning Bolaget har behandlat känsliga personuppgifter i strid med personuppgiftslagen och branschöverenskommelsen. Bolaget har därefter infört nya rutiner i syfte att motverka felaktig personuppgiftsbehandling. Utbildning av personalen i frågor om känsliga personuppgifter kommer att fortsätta och uppföljning av detta kommer att ske. En arbetsgrupp har tillsatts för att säkerställa att behandling av känsliga personuppgifter sker med den registrerades samtycke. Dialog förs med leverantören av Fast2 för att se över tekniska möjligheter för gallring och behörighetsstyrning. Med hänsyn till detta finner Datainspektio- Sida 4 av 7

nen anledning att anta att bolaget fortsättningsvis kommer att behandla uppgifter i enlighet med personuppgiftslagen och branschöverenskommelsen. Datainspektionen kan komma att följa upp ärendet vid senare tillfälle. Känsliga personuppgifter Det är enligt 13 personuppgiftslagen förbjudet att behandla känsliga personuppgifter, bl.a. uppgift om hälsa och etnicitet. Det är trots förbudet i vissa fall tillåtet att behandla känsliga personuppgifter, bl.a. om den registrerade lämnat sitt uttryckliga samtycke till behandlingen, enligt 15 personuppgiftslagen. Att hyresgästen har lämnat information om sin hälsa till bolaget innebär inte att hyresgästen därmed har lämnat sitt uttryckliga samtycke till att denna uppgift registreras. Bolaget har vidare anfört att man registrerat känsliga personuppgifter med stöd av undantaget i 16 punkt c) personuppgiftslagen. Enligt detta undantag får känsliga personuppgifter behandlas om behandlingen är nödvändig för att rättsliga anspråk ska kunna fastställas, göras gällande eller försvaras. Bolaget har angett att syftet med att registrera känsliga personuppgifter bl.a. har varit att undvika onödiga kravåtgärder eller uppsägning, men även för att ha ett relevant underlag för att kunna driva in en hyresfordran eller gå vidare med en uppsägning. Datainspektionen har tidigare uttalat att höga krav måste ställas på de situationer i vilka undantagen tillämpas från de principiella förbud som finns mot att behandla känsliga personuppgifter och brottsuppgifter. Uppgifterna måste då vara hänförliga till ett konkret rättsligt anspråk och all behandling som sker måste vara nödvändig i förhållande till detta anspråk. Enligt Datainspektionens uppfattning är det inte nödvändigt att behandla en uppgift om en hyresgästs hälsa när exempelvis en fordran drivs in. Datainspektionen konstaterar att bolaget har registrerat känsliga personuppgifter om sina hyresgäster utan den registrerades samtycke. Inte heller anses bolaget ha stöd för sin registrering av känsliga personuppgifter i 16 c) personuppgiftslagen. Bolaget har därmed behandlat känsliga personuppgifter i strid med 13 personuppgiftslagen. Krav på god sed Av 9 punkt b) personuppgiftslagen framgår att all behandling av personuppgifter ska ske i enlighet med god sed. Lagen ger utrymme för branschorganisationer att närmare utforma sådana seder. I syfte att skapa en gemensam Sida 5 av 7

god sed för behandling av personuppgifter på bostadshyresmarknaden har Fastighetsägarna Sverige och SABO i samarbete med Hyresgästföreningen tagit fram en branschöverenskommelse, Behandling av personuppgifter, inklusive kameraövervakning, vid uthyrning av bostäder. Branschöverenskommelsen i sin nuvarande lydelse gäller sedan april 2010. Det framgår av branschöverenskommelsen (s.7) att undantag från förbudet mot att behandla känsliga personuppgifter får göras om behandlingen sker med den registrerades samtycke. Vad sedan gäller sättet för inhämtande av samtycket sägs följande: Endast den omständigheten att den registrerade har lämnat en uppgift innebär inte att samtycke finns. Samtycket ska vara uttryckligt. I en fastighetsförvaltning bör generellt tillämpas den ordningen att en känslig uppgift aldrig registreras utan skriftligt samtycke. Av 15 personuppgiftslagen framgår att ett samtycke ska vara uttryckligt. Ett uttryckligt samtycke kan vara såväl skriftligt som muntligt. Branschöverenskommelsens krav på att ett samtycke ska vara skriftligt går således längre än kraven i 15 personuppgiftslagen. Datainspektionen konstaterar att bolaget har behandlat känsliga personuppgifter utan att inhämta de registrerades skriftliga samtycke. Bolaget har därmed behandlat personuppgifter på ett sätt som avviker från vad som föreskrivs om inhämtande av samtycke i branschöverenskommelsen. Vad branschöverenskommelsen innehåller om inhämtande av samtycke får anses ge uttryck för vad som betraktas som god sed. Bolaget får därmed anses ha behandlat personuppgifter i strid med god sed enligt 9 första stycket punkt b) personuppgiftslagen. Slutsatser Bolaget har behandlat personuppgifter i strid med personuppgiftslagen och branschöverenskommelsen. Bolaget har därefter infört nya rutiner i syfte att motverka felaktig personuppgiftsbehandling. Utbildning av personalen i frågor om känsliga personuppgifter kommer att fortsätta och uppföljning och utvärdering av detta kommer att ske. En arbetsgrupp har tillsatts för att säkerställa att behandling av känsliga personuppgifter sker med den registrerades samtycke. Utöver detta förs dialog med leverantören av Fast2 för att se över möjligheten att löpande gallra inaktuella uppgifter samt att se över möjligheten att begränsa de olika behörigheterna på lämpligt sätt. Sida 6 av 7

Datainspektionen förutsätter att bolagets åtgärder kommer att förhindra att personuppgifter fortsättningsvis behandlas i strid med personuppgiftslagen och branschöverenskommelsen. Därmed saknas anledning att vidta ytterligare åtgärder med anledning av det inträffade. Ärendet avslutas, men kan komma att följas upp. Hur man överklagar Om ni vill överklaga beslutet skall ni skriva till Datainspektionen. Ange i skrivelsen vilket beslut som överklagas och den ändring som ni begär. Inspektionen måste ha fått ert överklagande inom tre veckor från den dag ni fick ta del av beslutet, annars kan överklagandet inte prövas. Datainspektionen sänder överklagandet vidare till Förvaltningsrätten i Stockholm för prövning om inspektionen inte själv ändrar beslutet på det sätt ni har begärt. Camilla Sparr Sida 7 av 7

2024 © DocPlayer.se Sekretesspolicy | Användarvillkor | Kontakta oss