Datainspektionen Årsredovisning 2014
Datainspektionen. Årsredovisning 2014. Har du frågor om innehållet kontakta Datainspektionen, telefon 08-657 61 00, e-post datainspektionen@datainspektionen.se, eller besök www.datainspektionen.se 2 Datainspektionens årsredovisning 2014 Dnr 231-2015
Innehåll 1. Året som har gått...4 2. Resultatredovisning...6 3. Datainspektionens uppdrag...6 3.1 Återrapporteringskrav...7 3.2 Datainspektionens organisation...7 4. Prestationer...8 5. Tillsyn över behandlingen av personuppgifter...8 5.1 Information, regelgivning och rådgivning...8 5.2 Kommittéarbete och remisser...12 5.3 Tillsynsverksamheten...12 5.4 Klagomål...15 6. Tillsyn och tillståndsgivning inom kreditupplysnings- och inkassoverksamhet...16 6.1 Information, regelgivning och rådgivning...16 6.2 Kreditupplysningslagen...16 6.3 Inkassolagen...18 7. Annan enhetsövergripande verksamhet...20 7.1 Internationell verksamhet...20 7.2 Elektronisk förvaltning...22 7.3 Datainspektionens uppgifter enligt kameraövervakningslagen...23 9. Kvalitet och effektivitet i verksamheten...25 9.1 Återrapporteringskrav...25 9.2 Aktiviteter...25 9.3 Bedömning kvalitet och effektivitet i verksamheten...26 10. Organisationsstyrning...27 10.1 Kompetensförsörjning...27 10.2 Jämställdhet...27 10.3 Lika rättigheter och möjligheter...27 10.4 Arbetsmiljö...27 10.5 Sjukfrånvaro...28 10.6 Ersättningar och andra förmåner...28 11. Resultaträkning...29 12. Balansräkning...30 13. Anslagsredovisning...32 14. Tilläggsupplysningar och noter...33 15. Sammanställning över väsentliga uppgifter...39 16. Generaldirektörens intygande...41 8. Övrig rapportering...25 8.1 Internet...25 Datainspektionens årsredovisning 2014 Dnr 231-2015 3
1. Året som har gått Snabba omprioriteringar med små resurser Jag tänkte inleda Datainspektionens årsredovisning med att låta en enskild händelse illustrera det gångna året. Händelsen inträffade i slutet av året. I mitten av december 2014 avslöjar Dagens Eko att en enhet inom Stockholmspolisen i tio år registrerat mellan 2 000 och 3 000 kvinnor som under perioden anmält att de blivit misshandlade eller hotade av en närstående. Enligt Dagens Eko är registret fyllt av integritetskränkande uppgifter om många av kvinnorna, som psykiatriska diagnoser, trostillhörighet och etniskt ursprung. Polisen har fått ett särskilt förtroende att hantera och registrera väldigt integritetskänslig information. Det är viktigt att det sker en kontroll av att uppgifterna hanteras inom de ramar som lagen tillåter och inte på några andra sätt. Därför beslutade jag redan samma dag som Ekos sändning att omedelbart inleda en granskning för att ta reda på om registret i fråga är lagligt eller inte. Bara tre dagar senare genomförde tre av våra jurister och en it-säkerhetsspecialist en på-platsen-inspektion hos polisen. Den inspektionen följdes upp av ytterligare en inspektion i början av januari och i skrivande stund pågår utvärderingen för fullt. Den här händelsen belyser Datainspektionens vardag. Den visar hur vi ofta på kort tid måste flytta resurser mellan olika granskningar. I det här fallet har flera andra pågående granskningar fått stå tillbaka för att vi snabbt ska kunna bygga upp ett team som kan granska polisens kvinnoregister. Vad gäller verksamheten i stort kan konstateras att många av Datainspektionens siffror pekar uppåt eller ligger på samma höga nivå som tidigare år. Under 2014 har myndigheten yttrat sig över 117 lagförslag. Om man räknar med att ett år har cirka 250 arbetsdagar så innebär det att myndigheten svarade på en ny remiss i princip varannan dag. Ett annat område som krävt mycket resurser är den internationella verksamheten. Det gäller inte minst EU-samarbetet där Datainspektionen deltar i ett flertal arbetsgrupper och det dessutom pågår ett omfattande arbete med att se över EU:s regler. Datainspektionens tillsynsverksamhet har under året bedrivits med hög kvalitet och i enlighet med myndighetens uppdrag främst inriktats på områden som bedömts vara särskilt känsliga ur ett integritetsperspektiv, nya företeelser och användningsområden av teknik samt områden där risk för missbruk eller felaktig användning bedömts vara särskilt stor. På rättsväsendets område kan nämnas att myndigheten granskat behandlingen av personuppgifter i polisens allmänna spaningsregister, i Tullverkets brottsbekämpande verksamhet och i allmänhetens terminal hos domstolar. På hälso- och sjukvårdsområdet har myndigheten granskat hur patienterna i Uppsala län kan ta del av sina patientjournaler via internet. På utbildningsområdet har Datainspektionen granskat personuppgiftsbiträdesavtal rörande så kallade molntjänster för skolor som tecknats mellan en kommun och Google respektive Microsoft. Vidare har Datainspektionen har under året inlett tillsyn mot ett företag som arbetar för att planera och stärka citykärnan i en kommun. Företaget använder en teknik som registrerar enskildas mobiltelefoner vilket möjliggör att enskilda mobiltelefoners rörelse kan följas i citykärnan. Enligt uppgifter i media planerar fler städer att införa och använda tekniken. Datainspektionen har också, inom ramen för ett särskilt regeringsuppdrag, granskat hur personuppgiftslagen och andra registerförfattningar följs inom socialtjänsten och på bostadsmarknaden, med avseende på behandling av känsliga personuppgifter som avslöjar etniskt ursprung, i första hand med inriktning på uppgifter om romer och i andra hand med inriktning på uppgifter om annat etniskt ursprung. E-förvaltning genomsyrar i stort sett all handläggning hos myndigheter, kommuner och vårdgivare. De system som byggs upp för informationsutbyte ger upphov till komplexa juridiska frågeställningar och frågor om hur enskildas personliga integritet bäst ska skyddas. Datainspektionens medverkan i olika projekt och samverkansgrupper är fortsatt efterfrågad. Frågor om kameraövervakning fortsätter att vara i fokus, det gäller inte minst tillämpningen av den nya kameraövervakningslagen. Datainspektionen har periodvis varit ifrågasatt av olika branschföreträdare som hävdat att myndigheten varit väl nitisk i sin roll att överklaga länsstyrelsernas beslut om kameraövervakning. Under året överklagade Datainspektionen 96 sådana beslut. I de av domstolarna hittills avgjorda målen har Datainspektionens talan bifallits utom i något enstaka fall. När det gäller myndighetens uppdrag att säkerställa god sed inom kreditupplysningen kan konstateras att kreditupplysningsföretagen fortsätter att tillhandahålla 4 Datainspektionens årsredovisning 2014 Dnr 231-2015
kreditupplysningstjänster i form av tekniska upptagningar som innebär att reglerna om legitimt behov och kreditupplysningskopia inte behöver beaktas. De lagändringar som genomfördes 2011 har därmed inte haft avsedd verkan. Datainspektionen konstaterar därför att det inte har kunnat skapas förutsättningar för ett integritetsskydd iakttas i kreditupplysningsverksamhet i den omfattning som lagändringarna var avsedda att åstadkomma. När det gäller inkassoverksamheten bedömer Datainspektionen, precis som tidigare år, att branschen i allt väsentligt följer god inkassosed. Datainspektionen syns mycket i massmedia, framför allt på nätet. Det är vidare många som prenumererar på inspektionens pressmeddelanden och på myndighetens tidning Integritet i fokus. Det är också många som per telefon eller e-post vänder sig till myndighetens upplysningstjänst eller deltar i undervisningsverksamheten. Under året anordnade eller deltog Datainspektionen i 52 föreläsningar. Antalet personuppgiftsombud har ökat från cirka 7 000 till cirka 7 300 stycken. Som siffrorna ovan visar kan Datainspektionen se tillbaka på ett mycket intensivt arbetsår. Tack vare medarbetare med hög kompetens och stort engagemang bedömer jag att myndigheten har hanterat sitt uppdrag mycket väl. Kristina Svahn Starrsjö Generaldirektör Datainspektionens årsredovisning 2014 Dnr 231-2015 5
2. Resultatredovisning Under avsnitten tre och fyra finns myndighetens resultatredovisning för år 2014. 3. Datainspektionens uppdrag Enligt förordningen (2007:975) med instruktion för Datainspektionen ska inspektionen verka för att människor skyddas mot att deras personliga integritet kränks genom behandling av personuppgifter och för att god sed iakttas i kreditupplysnings- och inkassoverksamhet. Myndigheten ska särskilt inrikta sin verksamhet på att informera om gällande regler samt ge råd och hjälp åt personuppgiftsombud enligt personuppgiftslagen. Myndigheten ska följa och beskriva utvecklingen på it-området när det gäller frågor som rör integritet och ny teknik. Datainspektionen är tillsynsmyndighet enligt personuppgiftslagen (1998:204) och tillstånds- och tillsynsmyndighet enligt kreditupplysningslagen (1973:1173) och inkassolagen (1974:182). Datainspektionen har det centrala ansvaret för tillsynen enligt kameraövervakningslagen (2013:460). I detta ingår att utvärdera rättstillämpningen utvärdera, följa upp och samordna den operativa tillsynen ge råd och stöd till länsstyrelserna ge information och råd till allmänheten och till dem som tillhandahåller och använder övervakningsutrustning. Datainspektionen får överklaga länsstyrelsernas beslut om kameraövervakning av en plats dit allmänheten har tillträde för att ta tillvara allmänna intressen. Datainspektionen har också i uppdrag att utöva tillsyn över kameraövervakning av platser dit allmänheten inte har tillträde. Myndigheten är tillsynsmyndighet enligt artikel 28 i Europaparlamentets och rådets direktiv 95/46/EG av den 24 oktober 1995 om skydd för enskilda personer med avseende på behandling av personuppgifter och om det fria flödet avsådana uppgifter, ändrat genom Europaparlamentets och rådets förordning (EG) nr 1882/2003. Myndigheten fullgör de förpliktelser som nämns i artikel 13 i Europarådets konvention om skydd för enskilda vid automatisk databehandling av personuppgifter när det gäller att lämna uppgifter till behörig myndighet i en stat som är ansluten till konventionen. Myndigheten är nationell tillsynsmyndighet enligt artikel 114 i konventionen om tillämpning av Schengenavtalet av den 14 juni 1985 (Schengenkonventionen), artikel 24 i rådets beslut 2009/917/RIF av den 30 november 2009 om användning av informationsteknik för tulländamål (TIS-rådsbeslutet), artikel 33 i rådets beslut av den 6 april 2009 om inrättande av Europeiska polisbyrån (Europol), artikel 30.5 i rådets beslut 2008/615/RIF av den 23 juni 2008 om ett fördjupat gränsöverskridande samarbete, särskilt för bekämpning av terrorism och gränsöverskridande brottslighet (Prümrådsbeslutet), artikel 41 i Europaparlamentets och rådets förordning (EG) nr 767/2008 av den 9 juli 2008 om informationssystemet för viseringar (VIS) och utbytet mellan medlemsstaterna av uppgifter om viseringar för kortare vistelse (VIS-förordningen), och artikel 7.1 och 7.2 i Europaparlamentets och rådets direktiv 2011/82/EU av den 25 oktober 2011 om underlättande av ett gränsöverskridande informationsutbyte om trafiksäkerhetsrelaterade brott (CBE-direktivet). Myndigheten är behörig myndighet för kontroll och intygande av att sådana system för insamling av stödförklaringar via internet som används för lagring i Sverige 6 Datainspektionens årsredovisning 2014 Dnr 231-2015
uppfyller de krav som följer av Europaparlamentets och rådets förordning (EU) nr 211/2011 av den 16 februari 2011 om medborgarinitiativet. Myndigheten ska fullgöra de uppgifter som avses i artiklarna 15 och 16 i avtalet mellan Europeiska unionen och Amerikas förenta stater om behandling och överföring av uppgifter om finansiella betalningsmeddelanden från Europeiska unionen till Förenta staterna i enlighet med programmet för att spåra finansiering av terrorism (TFTP). Enligt regleringsbrevet för 2014 ska Datainspektionen upptäcka och förebygga hot mot den personliga integriteten. Verksamheten ska främst inriktas på områden som bedöms vara särskilt känsliga ur ett integritetsperspektiv, nya företeelser och användningsområden av teknik samt områden där risk för missbruk eller felaktig användning bedöms vara särskilt stor. 3.1 Återrapporteringskrav Allmänt Datainspektionen ska redovisa och kommentera verksamhetens resultat i förhållande till de uppgifter som framgår av förordningen (2007:975) med instruktion för Datainspektionen samt annan författning. Återrapporteringen ska innehålla en samlad beskrivning och analys av verksamhetens utveckling. Redovisningen ska göras enligt den indelning som myndigheten använder. E-förvaltning Datainspektionen ska redovisa vilka insatser myndigheten har gjort för att värna den personliga integriteten i samband med utvecklingen av en elektronisk förvaltning inom den offentliga förvaltningen. Internationell verksamhet Datainspektionen ska redovisa myndighetens deltagande i internationellt arbete. Av redovisningen ska även framgå den tid och de resurser som myndigheten använder till denna verksamhet. Kvalitet och effektivitet i verksamheten Datainspektionen ska redovisa de åtgärder som myndigheten har vidtagit för att utveckla kvaliteten och effektiviteten i verksamheten. 3.2 Datainspektionens organisation Generaldirektör Chefsjurist Verksjurist Administrativa enheten Enheten för rättsväsendet, försvar och kameraövervakning Enheten för näringsoch arbetsliv Enheten för myndigheter, vård och utbildning Datainspektionens årsredovisning 2014 Dnr 231-2015 7
4. Prestationer Myndigheten har valt att redovisa prestationer inom de områden som utgör en betydande andel av myndighetens totala verksamhet eller bedöms vara av intresse för omvärlden. Prestationerna uttrycks vanligen som volym i förhållande till nedlagda kostnader och tidsåtgång. Uträkningen görs genom att multiplicera tidsåtgången med den procentuella andelen av myndighetens totalkostnad (inklusive lokal-, drifts- och finansiella kostnader). Prestationsredovisningen återfinns under följande avsnitt i årsredovisningen. 5 Tillsyn över behandlingen av personuppgifter 5.3 Kommittéarbete och remisser 5.4 Tillsynsverksamheten 5.5 Klagomål 6 Tillsyn och tillståndsgivning inom kreditupplysnings- och inkassoverksamhet 7.1 Internationell verksamhet 7.3 Datainspektionens uppgifter enligt kameraövervakningslagen 5. Tillsyn över behandlingen av personuppgifter Kostnader och intäkter för området tillsyn över behandlingen av personuppgifter Kostnader 41 499 803 38 334 759 34 871 568 Intäkter, övriga Intäkter, anslag 2 943 353 2 843 874 2 456 721 38 556 450 35 490 885 32 414 847 Kostnaden avseende år 2013 är korrigerad på grund av felaktigt beräknad år 2013. 5.1 Information, regelgivning och rådgivning 5.1.1 Informationsmaterial Webbplatsen är Datainspektionens viktigaste kommunikationskanal och används av samtliga målgrupper. Av tidigare års besöksstatistik framgår att sidor med frågor och svar och faktasidor om personuppgiftslagen är mest besökta. Webbplatsen får många besökare från söktjänster, över hälften av besökarna kommer därifrån. Informationsmaterialet kring ett antal ämnen har uppdaterats eller nyproducerats och publicerats som webbsidor, pdf-dokument eller trycksaker: Kameraövervakning, Integriteten på apoteksmarknaden, Molntjänster i skolan, Personuppgifter i sociala medier, Personuppgifter i arbetslivet, Mobila enheter, Kompetensdatabaser och personuppgiftslagen, Positioneringsteknik samt frågor och svar om kameraövervakning. Webbplatsens beställningstjänst fungerar som en webbutik för att beställa eller ladda ner myndighetens layoutade informationsmaterial. Under året har beställningstjänsten uppgraderats och utvecklats. Även ungdomssajten Kränkt.se har uppgraderats och en uppdatering av innehållet har inletts. Datainspektionens tidning Integritet i fokus produceras på myndigheten och har under året kommit ut med fyra nummer. Integritet i fokus är en gratis, periodisk skrift med reportage, nyheter och kommentarer. Innehållet speglar de olika områden som omfattas av Datainspektionens uppdrag och tidningen vänder sig till samtliga målgrupper. Antalet prenumeranter på den tryckta utgåvan har ökat till drygt 7 800. Prenumeranter på Integritet i fokus 7 823 7 415 7 069 8 Datainspektionens årsredovisning 2014 Dnr 231-2015
5.1.2 Mediekontakter Artiklar i tryckt media 2 407 3 314 3 255 Artiklar i digital media 5 141 5 220 5 001 Pressmeddelanden 50 53 69 Prenumeranter på myndighetens pressmeddelanden 4 105 4 288 3 912 5.1.3 Telefon- och e-postfrågor Kostnad 11 640 936 10 754 448 11 195 145 Timmar 11 452 10 769 11 666 Kostnaden avseende år 2013 är korrigerad på grund av felaktigt beräknad år 2013. Prestation: Telefon- och e-postfrågor Telefonfrågor 5 900 7 100 8 000 E-postfrågor 5 600 6 100 5 600 Datainspektionens upplysningstjänst är bemannad av två jurister som alla arbetsdagar besvarar frågor och klagomål per telefon, vanlig post och e-post. I upplysningstjänsten besvaras frågor och klagomål som varken kräver särskild utredning eller föranleder någon annan åtgärd än ett svar från myndigheten. Målsättningen är att dessa frågor och klagomål ska vara besvarade inom tre arbetsdagar. Övriga frågor och klagomål tas om hand inom ramen för enheternas ordinarie ärendehandläggning. Frågeställaren eller klaganden får då en mottagningsbekräftelse med ett diarienummer inom tre arbetsdagar. Antalet frågor och klagomål till Datainspektionens upplysningstjänst har ökat stadigt de senaste åren. Under 2014 har dock antalet frågor och klagomål som besvarats av upplysningstjänsten minskat. Antalet frågor per vanlig post eller e-post som rörde tilllämpningen av personuppgiftslagen, inkassolagen eller kreditupplysningslagen och som besvarades av juristerna i upplysningstjänsten 2014 var cirka 5 600 jämfört med cirka 6 100 för 2013. Antalet besvarade frågor och klagomål per telefon som rörde samma lagar har minskat till cirka 5 900 jämfört med cirka 7 100 för 2013. Uppgifterna i tabellen är avrundade till närmaste hundratal. Datainspektionens årsredovisning 2014 Dnr 231-2015 9
5.1.4 Föreläsningar, seminarier och konferenser Kostnad 2 064 508 3 214 650 2 893 311 Timmar 2 031 3 219 3 015 Kostnaden avseende år 2013 är korrigerad på grund av felaktigt beräknad år 2013. Prestation: Föreläsningar, seminarier och konferenser 52 62 52 Datainspektionens utbildningsverksamhet har bestått av elva egna arrangerade utbildningsdagar och 40 uppdragsföreläsningar. Datainspektionen har också arrangerat en Nordisk dataskyddskonferens. Konferensen pågick under två dagar med deltagare från Danmark, Norge, Finland, Island, Åland och Färöarna. Av utbildningsdagarna har alla utom en gällt personuppgiftslagen. Deltagarantalet har varierat mellan 50 120 personer. Grundutbildning i personuppgiftslagen har skett vid fyra tillfällen. Personuppgiftsombuden har erbjudits att delta i grundutbildningen och i en särskild fördjupningsdag för personuppgiftsombud. Även fördjupningsdagen för personuppgiftsombuden har ägt rum vid fyra tillfällen. Utbildning i it-säkerhet, utifrån de krav som ställs i personuppgiftslagen, har hållits vid två tillfällen. Datainspektionen har också anordnat en konferens om kameraövervakning och den nya kameraövervakningslagen. Även merparten av uppdragsföreläsningarna har rört personuppgiftslagen. Många föreläsningar har varit inriktade mer specifikt på så kallade molntjänster. Föreläsningar har också hållits om patientdatalagen, polisdatalagen, inkassolagen, kameraövervakningslagen och den dataskyddsförordning som för närvarande förhandlas inom EU. Uppdragsgivare har varit både privata och offentliga aktörer. Föreläsningarna har skett såväl i samband med större konferenser som direkt till specifika grupper. Datainspektionen får betydligt fler förfrågningar om föreläsningar än myndigheten kan tacka ja till. Urvalet sker utifrån bedömningen i vilken grad föreläsningen kan bidra till en ökad regelefterlevnad på det för föreläsningen aktuella området. Avgörande för myndighetens deltagande är därför såväl målgrupp, antal åhörare och ämne i förhållande till resurser. 5.1.5 Personuppgiftsombud Vid ingången av året hade 7 047 personuppgiftsombud anmälts. Vid årets slut var antalet 7 276, en ökning med 229 personuppgiftsombud. Antalet personer som är anmälda som personuppgiftsombud har ökat från 4 371 till 4 548. (En person kan vara ombud åt flera personuppgiftsansvariga. En personuppgiftsansvarig kan också anmäla flera personuppgiftsombud). 5.1.6 Samråd Antalet begäran om samråd från personuppgiftsombud i fråga om tolkning av personuppgiftslagens bestämmelser och annan registerlagstiftning uppgick under året till 61 ärenden. Under 2013 uppgick antalet samrådsärenden till 64. Inom den offentliga verksamheten har många samråd rört frågor kring e-förvaltning. Exempelvis har Datainspektionen deltagit i samrådsmöten gällande en e-arkivtjänst som Statens servicecenter planerar och avgett samrådsyttrande till Centrala studiestödsnämnden avseende personuppgiftsansvaret i en sammansatt bastjänst. Enligt 2 polisdataförordningen (2010:1155) ska polisen samråda med Datainspektionen när polisen planerar nya it-system av större omfattning som kan innebär särskilda risker för intrång i den personliga integriteten. Samråd ska också ske när befintliga it-system ska genomgå betydande förändringar. Samråden är ofta omfattande och kräver en stor arbetsinsats. Under 2014 har Säkerhetspolisen och den öppna polisen samrått med Datainspektionen vid tre tillfällen. I ett fall samrådde den öppna polisen om polisens så kallade e-arkiv. Säkerhetspolisen har under året samrått med Datainspektionen angående bland annat tillämplig lagstiftning för personuppgiftsbehandlingen i en central säkerhetslogg. 5.1.7 Samverkan med andra myndigheter och organisationer För att öka effektiviteten i verksamheten har Datainspektionen som mål att nationellt samverka med andra myndigheter och organisationer. Syftet med samverkan har varit att åstadkomma samsyn i integritetsfrågor, att utbyta information om handläggning av ärenden och att klargöra gränserna mellan myndigheternas tillsynsansvar. Genom denna samverkan har myndigheten även kunnat sprida information, fånga upp utvecklingstendenser, följa it-utvecklingen och sprida medvetande om integritetsrisker. 10 Datainspektionens årsredovisning 2014 Dnr 231-2015
krav på kundkännedom anser sig bolagen ha behov av att kontrollera sina kunder mot olika sanktionslistor, framför allt den amerikanska så kallade SDN-listan som utfärdas av den amerikanska myndigheten OFAC. Antalet ansökningar om undantag från förbudet i 21 personuppgiftslagen har under de senaste åren ökat markant. Under 2014 avgjordes 46 ärenden om sådana undantag vilket ska jämföras med 25 ärenden under 2013. Samverkan har bland annat skett med Post- och telestyrelsen och Myndigheten för samhällsskydd och beredskap. Samverkan har även skett med nätverket SMID, en samverkansgrupp mot identitetitetsintrång och Myndighetsnätverket för barns och ungas rättigheter som syftar till att samverka kring frågor som rör barn och ungdomar. Samverkan har också skett med Statens inspektion för försvarsunderrättelseverksamhet, Rikspolisstyrelsen samt med tillverkare och tillhandahållare av kameraövervakningsutrustning. 5.1.8 Undantag enligt 21 personuppgiftslagen Under året har det kommit in 27 ansökningar om undantag från förbudet i 21 personuppgiftslagen att behandla personuppgifter om lagöverträdelser. Av de 46 ärenden om sådana undantag som har avgjorts under året avsåg 26 ansökningar från banker som samarbetar för att förhindra att det svenska betalsystemet används för köp och försäljning av sexuella övergreppsbilder på barn. Av övriga ärenden var huvuddelen ansökningar från finansiella företag som är skyldiga att tillämpa lagen (2009:62) om åtgärder mot penningtvätt och finansiering av terrorism. För att leva upp till lagens 5.1.9 Bedömning information, regelgivning och rådgivning Under året har frågorna från allmänheten som kommer in till myndighetens upplysningstjänst via post och e-post minskat jämfört med föregående år. Minskningen av antalet telefonsamtal är en önskad och logisk konsekvens av att myndigheten under slutet av 2013 införde förkortade telefontider för upplysningstjänsten i syfte att mer målmedvetet styra över frågeställare med frågor av enklare karaktär till Datainspektionens webbplats för att på ett mer effektivt sätt ta tillvara myndighetens resurser. Myndigheten bedömer att de frågor som numera ställs är av mer kvalificerad art än tidigare. Arbetet med att besvara frågor från allmän heten hanteras således alltmer effektivt och myndigheten kan konstatera att genomförda ändringar gett avsett resultat. Under året har exponeringen av myndigheten i media (framför allt i tryckt media) minskat något i jämförelse med föregående år. Samtidigt har myndigheten under året haft två helsides debattartiklar i dagspressen (i januari i DN/Debatt om utgivningsbevis och i maj i SvD/Brännpunkt om kameraövervakning). Antalet prenumeranter på myndighetens tidning har ökat något. Myndighetens utbildningar har under året varit fulltecknade, deltagarna har överlag varit nöjda och myndigheten anser därför att målet med utbildningsverksamheten har nåtts. Datainspektionen anser att det är väsentligt att i förebyggande syfte ha kontakter med myndigheter, för att ge dem vägledning i deras hantering av personuppgifter och för att i förlängningen minska myndigheternas kostnader vid uppbyggnaden av nya it-system. Sådan vägledning ges såväl i form av samverkan med andra myndigheter som genom samrådsyttranden. Datainspektionens årsredovisning 2014 Dnr 231-2015 11
5.2 Kommittéarbete och remisser Kostnad 4 832 432 3 536 215 2 542 083 Timmar 4 754 3 541 2 649 Kostnaden avseende år 2013 är korrigerad på grund av felaktigt beräknad år 2013. 5.2.1 Kommittéarbete Företrädare för Datainspektionen har under året deltagit som experter i E- delegationen (i referensgrupp respek tive rättslig grupp till delegationen) (N Fi 2009:01), Informationshanteringsutredningen (Ju 2011:11), Utredningen Rätt information i vård och omsorg (S 2011:13), Läkemedels- och apoteksutredningen (S 2011:07), Uppgiftslämnarutredningen (N 2012:01), referensgrupp till Samordningsrådet med kunskapsplattform för smarta elnät (N 2012:03), PSIutredningen (S 2013:01), Utredningen om behandling av personuppgifter inom verksamheten för Inspektionen för socialförsäkringen (S 2013:13), Utredningen om registerbaserad forskning (U 2013:01), Utredningen om uppgifter om offentligrättsliga krav vid kreditupplysning (Ju 2013:14), i referensgrupp till E-hälsokommittén (S 2013:17), Utredningen om åtgärder mot fakturabedrägerier (Ju 2014:03), Kommittén om den personliga integriteten (Ju 2014:09), Utredningen om ett modernt och starkt straffrättsligt skydd för den personliga integriteten (Ju 2014:10), Medie grundlagskommittén (Ju 2014:17), samt i Utredningen om behandlingen av personuppgifter i verksamhet enligt utlännings- och medborgarskapslagstiftningen (Ju 2014:11). 5.2.2 Remissarbete Prestation: Avgivna remissyttranden 117 116 115 Kommentar Under 2014 har 117 remissyttranden lämnats. Därtill kommer mer än ett hundratal delningar, det vill säga begäran om synpunkter på bland annat utkast till författningar, lagrådsremisser, propositioner och instruktioner inför förhandlingar om föreslagna EUrättsakter. Remissynpunkterna har huvudsakligen avsett personuppgiftslagen. 5.2.3 Bedömning kommittéarbete och remisser Datainspektionen lägger årligen ner ett omfattande arbete på att delta i kommittéarbete, läsa in remissförslag och lämna remissynpunkter. Detta följer redan av att antalet remisser är stort i förhållande till inspektionens begränsade storlek och att inspektionen är skyldig att besvara remisser från Regeringskansliet men beror också på att inspektionen anser att det är väsentligt att påverka utformningen av regelverk som har betydelse för enskildas integritet. Efterfrågan på Datainspektionens medverkan i kommittéarbete är konstant större än vad inspektionen har möjlighet att bidra med. Företrädare för myndigheten har under året deltagit i 17 olika statliga utredningar och kommitttéer. Detta är en markant ökning jämfört med verksamhetsåret 2013 då myndigheten deltog i elva statliga utredningar. Inspektionen har därmed fått ägna än mer tid åt sådant arbete än tidigare år. Inspektionen bedömer att det varit fråga om ett för uppdraget viktigt arbete. Antalet besvarade remisser ligger på en fortsatt hög nivå och uppgick under året till 117 vilket i princip motsvarar antalet under 2013 (116). Datainspektionen har under 2014 även besvarat ett ovanligt stort antal delningar. Den nedlagda tiden på kommitté- och remissarbete har i konsekvens med deltagandet i fler utredningar och det sammantaget högre antalet hanterade remisser och delningar ökat väsentligt. Som föregående år har kommitté- och remissarbetet således sammantaget medfört en betydande resursåtgång. Så är fallet trots att inspektionen medvetet begränsat arbetet och synpunkterna till sådant som berör integritetsskyddet. Inspektionen har heller inte haft som ambition att ge utformade alternativa förslag när problem uppmärksammats. Inspektionen bedömer dock att prestationen ligger i nivå med den förutsatta rollen. 5.3 Tillsynsverksamheten Kostnad 7 843 299 11 565 351 10 816 087 Timmar 7 716 11 581 11 271 Kostnaden avseende år 2013 är korrigerad på grund av felaktigt beräknad år 2013. 12 Datainspektionens årsredovisning 2014 Dnr 231-2015
Totalt antal påbörjade ärenden Totalt antal avslutade ärenden Totalt antal ärenden ingående balans Totalt antal ärenden utgående balans 85 214 199 164 202 267 139 127 195 60 139 127 Uppgiften Totalt antal ärenden utgående balans för år 2013 är korrigerad på grund av felaktig beräkning i 2013 års årsredovisning. 5.3.1 Tillsynsärenden En inspektion kan ske genom fältinspektion, enkätinspektion, skrivbordsinspektion eller genom så kallad förenklad tillsyn. Datainspektionen har i varje tillsynsärende valt den inspektionstyp som bedömts vara mest effektiv för att nå syftet med tillsynen. Datainspektionen har genomfört ett större tillsynsärende mot polisens allmänna spaningsregister (ASP). Syftet med granskningen var att skapa en god överblick över den behandling av personuppgifter som sker i ASP och som sedan den 1 mars 2012 regleras av en ny lagstiftning. Granskningen visade att det fanns brister i polisens behandling av personuppgifter i ASP, bland annat avseende kraven på särskilt spaningsvärde och känsliga personuppgifter. Med anledning av Datainspektionens beslut har Rikspolisstyrelsen fattat beslut om en rad åtgärder beträffande behandlingen av personuppgifter i ASP. Datainspektionen har genomfört ett tillsynsärende mot Tullverket. Syftet med granskningen var att kontrollera om Tullverkets behandling av personuppgifter i den brottsbekämpande verksamheten var förenlig med det gällande regelverket. I sitt beslut riktade Datainspektionen kritik mot Tullverket, bland annat avseende verkets behandling av personuppgifter i så kallade särskilda ärenden i underrättelseverksamheten. Granskningen visade också att Tullverket inte hade åtgärdat flera av de brister som Datainspektionen upptäckte vid sin granskning fyra år tidigare. Datainspektionen har, som en uppföljning av ett tidigare projekt, genomfört ett tillsynsärende mot allmänhetens terminal hos fyra domstolar. Syftet med granskningen var att kontrollera om domstolarna behandlar personuppgifter i terminalerna i enlighet med det gällande regelverket. I sitt beslut riktade Datainspektionen kritik mot de fyra granskade domstolarna, bland annat avseende frågor om grundläggande krav på behandling av personuppgifter. Datainspektionen har inom hälso- och sjukvårdsområdet bland annat granskat hur 18 kommuner arbetar med behovs- och riskanalyser för att hindra obefogad och okontrollerad spridning av patientuppgifter. Granskningen visade på brister hos samtliga kommuner. Motsvarande granskning pågår avseende samtliga landsting. Datainspektionen har även granskat möjligheten i Uppsala län för patienterna att ta del av sina patientjournaler via internet. Datainspektionen har genom tillsyn kunnat konstatera att säkerheten i lösningen är bra, men att landstinget måste införa en funktion som loggar varje gång en patient går in och läser sina journaluppgifter. Datainspektionen har också förelagt landstinget att stänga en funktion som tillåter ombud att ta del av journaluppgifterna. Datainspektionens beslut är överklagat. På utbildningsområdet har Datainspektionen granskat personuppgiftsbiträdesavtal rörande så kallade molntjänster för skolor som tecknats mellan kommun och Google respektive Microsoft. Datainspektionen har därvid konstaterat att Googles avtal ger Google utrymme att behandla personuppgifter för egna ändamål, vilket inte är förenligt med personuppgifts- Datainspektionens årsredovisning 2014 Dnr 231-2015 13
biträdets roll. Förvaltningsrätten i Stockholm har gett Datainspektionen stöd för denna uppfattning i en dom i vilken Salems kommuns överklagande av Datainspektionens beslut avslås. Granskningen av kommunerna har resulterat i ett informationsblad Personuppgifter och molntjänster i skolan. Vidare har Google ändrat utformningen på sin tjänst och Datainspektionen har därför inlett en ny tillsyn avseende Simrishamns kommun som tecknat ett nytt avtal med Google gällande molntjänsten Google Apps for Education. Datainspektionen har under 2014 inlett tillsyn mot ett företag som arbetar för att planera och stärka citykärnan i en kommun. Företaget använder en teknik som registerar enskildas mobiltelefoner vilket möjliggör att enskilda mobiltelefoners rörelse kan följas i citykärnan. Enligt uppgifter i media planerar fler städer att införa och använda tekniken. Ärendet kommer att avslutas under våren 2015. Under 2014 genomfördes tillsyn mot ett lokaltrafikbolag och ett av lokaltrafikbolaget anlitat väktarbolag. Tillsynen inleddes efter att Datainspektionen fått uppgift om att väktarbolaget skulle ha upprättat ett hemligt register över misstänkta klottrare. Datainspektionen fann vid tillsynen inte några belägg för att ett sådant register förekommer. 5.3.2 Regeringsuppdraget 2014 Den 20 mars 2014 fick Datainspektionen regeringens uppdrag att inom ramen för sin tillsynsverksamhet genomföra en tillsyn över hur personuppgiftslagen och andra registerförfattningar följs inom socialtjänsten och på bostadsmarknaden, med avseende på behandling av känsliga personuppgifter som avslöjar etniskt ursprung, i första hand med inriktning på uppgifter om romer och i andra hand med inriktning på uppgifter om annat etniskt ursprung. Datainspektionens uppdrag kompletterade det uppdrag som regeringen gett Kommissionen om åtgärder mot antiziganism (kommissionen). Syftet med kommissionen är att åstadkomma en kraftsamling i arbetet mot antiziganism och att överbrygga den förtroendeklyfta som finns mellan den romska gruppen och samhället i övrigt. Datainspektionen inhämtade kommissionens och Diskrimineringsombudsmannens (DO) synpunkter på hur tillsynsuppdraget kunde avgränsas. Datainspektionen bestämde mot bakgrund av vad som framkom vid dessa kontakter att tillsynen skulle omfatta fältinspektioner hos socialtjänsten i sju kommuner och fältinspektioner hos sju olika hyresvärdar i dessa kommuner. Datainspektionen valde efter samråd med kommissionen att granska verksamhet i kommunerna 14 Datainspektionens årsredovisning 2014 Dnr 231-2015
Stockholm, Göteborg, Malmö, Uppsala, Västerås, Norrköping och Luleå. Granskningen utmynnade i sammanlagt 18 beslut. Datainspektionen fann i merparten av fallen inte belägg för att det förekommer någon systematisk kartläggning av romer hos socialtjänsten eller på bostadsmarknaden. Datainspektionen fann heller inte belägg för att det i större omfattning förekommer olaglig behandling av personuppgifter som avslöjar romskt eller annat etniskt ursprung. I några fall hade dock Datainspektionen synpunkter på behandlingen av personuppgifter om romskt eller annat etniskt ursprung. Uppdraget redovisades till Arbetsmarknadsdepartementet den 5 december 2014. 5.3.3 Bedömning tillsynsverksamheten Datainspektionens tillsynsverksamhet har under året bedrivits med hög kvalitet och har i enlighet med myndighetens uppdrag inriktats främst på områden som bedömts vara särskilt känsliga ur ett integritetsperspektiv, nya företeelser och användningsområden av teknik samt områden där risk för missbruk eller felaktig användning bedömts vara särskilt stor. Mot bakgrund av det övergripande uppdraget har tillsynsobjekt inom enheternas olika ansvarsområden valts ut. Antalet avslutade tillsynsärenden har under 2014 varit färre jämfört med 2013 (164 ärenden jämfört med 202 ärenden för 2013). Ett skäl till detta är att regeringsuppdraget avseende registrering av känsliga personuppgifter hos bostadsbolag och inom socialtjänsten tagit stora resurser i anspråk och myndigheten har inte fullt kunnat ersätta den personal som varit engagerad i det uppdraget. Ett annat skäl är att inspektionen under hösten 2014 genomförde en omorganisation med anledning av tillförandet av nya uppgifter enligt kameraövervakningslagen. Datainspektionen har under året arbetat med att, i förebyggande syfte, sprida tillsynsbesluten till en större krets än de som varit direkt berörda av respektive beslut för att på så sätt dra största möjliga nytta av besluten. Arbetet med detta kommer att fortsätta under 2015. 5.4 Klagomål Kostnad 747 126 814 897 1 685 125 Timmar 735 816 1 756 Kostnaden avseende år 2013 är korrigerad på grund av felaktigt beräknad år 2013. Prestation: Inkomna klagomål (PuL) PuL 324 352 323 5.4.1 Inkomna klagomål Under 2014 har det kommit in 324 klagomål till Datainspektionen som diarieförts som ärenden enligt personuppgiftslagen. En del klagomål föranleder Datainspektionen att inleda tillsyn vilket då sker i ett separat ärende. Alla som klagar får besked i någon form. De flesta klagomålen avser personuppgiftsbehandling avseende kund- och medlemsförhållanden, på internet och inom arbetslivet. 5.4.2 Kvalificerade frågor Inkomna kvalificerade frågor 333 230 219 Antalet inkomna kvalificerade frågor som diarieförts som ärenden uppgick under 2014 till 333, jämfört med 230 frågor 2013. 5.4.3 Bedömning klagomål (PuL) Antalet diarieförda klagomål har under året minskat något, från 352 år 2013 till 324 för år 2014, men ligger på ungefär samma nivå som 2012. Antalet inkomna kvalificerade frågor har däremot ökat markant. Datainspektionens årsredovisning 2014 Dnr 231-2015 15
6. Tillsyn och tillståndsgivning inom kreditupplysnings- och inkassoverksamhet 6.1 Information, regelgivning och rådgivning Kostnader 3 421 197 4 028 981 4 858 432 Intäkter, övriga 242 647 301 308 342 279 Intäkter, anslag 3 178 550 3 727 673 4 516 153 Kostnaden avseende år 2013 är korrigerad på grund av felaktigt beräknad år 2013. 6.1.1 Telefon- och e-postfrågor Datainspektionen redovisar inte antalet besvarade mejloch telefonfrågor till myndighetens upplysningstjänst inom de olika verksamhetsgrenarna personuppgiftslagen, kreditupplysnings- eller inkassolagen. Av kapitel 5.1.3 framgår att det totala antalet telefon- och mejlfrågor till Datainspektionen minskat under 2014 jämfört med 2013. Datainspektionen bedömer att en stor del av de frågor som besvarats av myndighetens upplysningstjänst precis som föregående år rört tillämpningen av kreditupplysningslagen och inkassolagen. På webbplatsen finns avdelningar för kreditupplysning och inkasso. På webbplatsen finns även listor över innehavare av inkasso- och kreditupplysningstillstånd. 6.1.2 Föreläsningar Datainspektionen har under 2014 hållit fem uppdragsföreläsningar rörande bland annat inkassofrågor. 6.1.3 Samverkan Datainspektionen har under året samverkat med Finansinspektionen i syfte att samordna tillämpningen av god inkassosed och att informera om tillsynsaktiviteter av verksamheter som även står under Finansinspektionens tillsyn. Datainspektionen har även deltagit i samverkansmöten med bland andra Konsumentverket och Kronofogen i frågor som rör omyndigas skuldsättning, nätverket Samverkan mot fakturabedrägerier som syftar till att utbyta erfarenheter för att stävja fakturabedrägerier samt med branschorganisationen Svensk Inkasso kring olika frågor av intresse på inkassoområdet. 6.2 Kreditupplysningslagen Kostnad 420 830 266 639 447 192 Timmar 414 267 466 Kostnaden avseende år 2013 är korrigerad på grund av felaktigt beräknad år 2013. Prestation: Tillsyn (KuL) Påbörjade 10 6 5 Avslutade 8 6 13 Ingående balans 0 0 8 Utgående balans 2 0 0 6.2.1 Tillsynsverksamheten Datainspektionen har under 2014 inlett tio tillsynsärenden enligt kreditupplysningslagen vilket är en ökning i förhållande till 2013 då sex ärenden inleddes. Samtliga ärenden föranleddes av klagomål från allmänheten. Klagomålen har i huvudsak rört i vad mån en frågeställare haft legitimt behov av en kreditupplysning samt förekomsten av felaktiga uppgifter i en kreditupplysningskopia om vem som begärt upplysningen. Under året avslutades åtta ärenden vilket är en viss ökning i förhållande till 2013 då sex ärenden avslutades. Datainspektionen behövde under 2013 lägga ned ett omfattande arbete på domstolsprocesser i under- och överrätt. Bakgrunden till processerna var att flera kreditupplysningsföretag överklagat de beslut som Datainspektionen meddelade 2011 inom ramen för ett tillsynsprojekt som syftade till att kontrollera hur kreditupplysningsbranschen anpassat sin verksamhet till de ändringar i kreditupplysningslagen som trädde i kraft den 1 januari 2011. Lagändringarna innebar att bestämmelserna om legitimt behov och kreditupplysningskopia måste beaktas även i de fall ett utlämnande sker via en webbplats som omfattas av den så kallade databasregeln i 1 kap. 9 yttrandefrihetsgrundlagen. Domstolsprocesserna avslutades under 2014 genom att Kammarrätten i Stockholm fastställde Datainspektio- 16 Datainspektionens årsredovisning 2014 Dnr 231-2015
nens samtliga beslut. Högsta förvaltningsdomstolen meddelade inte prövningstillstånd. Det är därmed fastslaget i praxis bland annat att utskick av kreditupplysningskopior på elektronisk väg endast får ske med den omfrågades samtycke och att åtkomst till personuppgifter i kreditupplysningsregister som tillhandahålls via webbplatser på internet måste föregås av stark autentisering. Datainspektionen har för närvarande sex pågående tillsynsärenden mot kreditupplysningsföretag som lämnar ut personupplysningar via webbplatser på internet för att tillse att föreläggandena om stark autentisering efterlevs. 6.2.2 Tillstånd Kostnad 49 808 66 909 90 206 Timmar 49 67 94 Kostnaden avseende år 2013 är korrigerad på grund av felaktigt beräknad år 2013. Prestation: Tillstånd (KuL) Inkomna 3 6 6 Under 2014 kom det in 138 klagomål enligt kreditupplysningslagen som diariefördes. Detta är en ökning i förhållande till 2013 då 22 klagomål kom in. Klagomålen gäller bland annat förekomst av missvisande uppgifter i kreditupplysningsregister och att den som begärt en kreditupplysning saknar legitimt behov. Datainspektionen bedömer att den stora ökningen av antalet klagomål huvudsakligen beror på att ett hundratal personer klagade på att ett kreditupplysningsföretag lämnade ut 400 kreditupplysningar om privatpersoner till ett företag som begärde personupplysningarna för journalistiska ändamål, något som inte anses vara ett legitimt behov i kreditupplysningslagens mening. 6.2.4 Bedömning tillsyn, tillstånd och klagomål inom kreditupplysningsområdet Datainspektionens uppdrag är att verka för att god sed iakttas i kreditupplysningsverksamhet. Mot denna bakgrund har tillsynen av kreditupplysningsbranschen under 2014 fokuserat dels på att upprätthålla de förelägganden som inspektionen meddelade kreditupplysningsföretag under 2011, dels på att agera när klagomål från allmänheten pekat på brister i kreditupplysningsföretags verksamhet i det enskilda fallet. Avgjorda 3 7 6 Ingående balans 0 1 1 Utgående balans 0 0 1 Under 2014 kom det in tre ansökningar till Datainspektionen om tillstånd att bedriva kreditupplysningsverksamhet. Det har tillkommit en ny aktör på kreditupplysningsområdet under året. 6.2.3 Klagomål Kostnad 128 079 44 939 102 681 Timmar 126 45 107 Prestation: Inkomna klagomål (KUL) 138 22 16 Kostnaden avseende år 2013 är korrigerad på grund av felaktigt beräknad år 2013. Datainspektionens årsredovisning 2014 Dnr 231-2015 17
Datainspektionen pekade redan 2011 på de nya fenomen som uppstått på kreditupplysningsområdet på grund av de då genomförda ändringarna i kreditupplysningslagen. Datainspektionen framhöll bland annat att lagändringarna inte fått avsedd verkan eftersom flera kreditupplysningsföretag börjat tillhandahålla kreditupplysningstjänster i form av tekniska upptagningar som omfattas av grundlagsskydd, vilket innebär att reglerna om legitimt behov och kreditupplysningskopia i kreditupplysningslagen inte behöver beaktas. Användningen av tekniska upptagningar har fortsatt under 2014. Datainspektionen efterfrågade under 2012 en justering av 9 och 11 kreditupplysningslagen med innebörd att även kreditupplysningsverksamhet som bedrivs med hjälp av tekniska upptagningar ska omfattas av bestämmelserna om legitimt behov och kreditupplysningskopia. Justitiedepartementet har sedermera i promemorian Ett teknikoberoende skydd för den enskildes integritet vid kreditupplysning Ds 2013:27 förslagit att samtliga former av utlämnande av kreditupplysningar på sätt som avses i yttrandefrihetsgrundlagen ska omfattas av kreditupplysningslagens skyddsregler. Förslaget har ännu inte lett till någon lagstiftning. Enligt uppgift från Justitiedepartementet kommer förslaget att fortsätta beredas under 2015. Sammanfattningsvis kan Datainspektionen konstatera att lagändringarna från 2011 endast delvis lett till en förstärkning av konsument- och integritetsskyddet på kreditupplysningsområdet. Genom att flera kreditupplysningsbolag fortsätter att tillhandahålla kreditupplysningstjänster i form av tekniska upptagningar, som innebär att reglerna om legitimt behov och kreditupplysningskopia inte behöver beaktas, har lagändringarna inte fått avsedd verkan. Datainspektionen konstaterar därför, för fjärde året i rad, att så länge inte samtliga former av utlämnande av kreditupplysningar omfattas av kreditupplysningslagens regler om legitimt behov och kreditupplysningskopia, saknas rättsliga förutsättningar för ett fullgott integritetsskydd på kreditupplysningsområdet. 6.3 Inkassolagen Kostnad 1 016 498 1 159 431 1 756 139 Timmar 1 000 1 161 1 830 Kostnaden avseende år 2013 är korrigerad pågrund av felaktigt beräknad år 2013. Prestation: Tillsyn (IkL) Påbörjade 38 64 80 Avslutade 41 63 86 Ingående balans 12 11 17 Utgående balans 9 12 11 6.3.1 Tillsynsverksamheten I början av 2014 riktade Datainspektionen kritik mot elbolagens sätt att driva in konsumenters obetalda elfordringar, det vill säga den inkassoverksamhet som elbolagen själva bedriver. Under hösten 2014 har Datainspektionen granskat de inkassoåtgärder som traditionella inkassobolag vidtar för att driva in samma typ av fordringar. Besluten i de ärendena kommer att fattas i början av 2015. Vidare har Datainspektionen genomfört ett tillsynsprojekt för att kontrollera om inkassobolagen har åtgärdat de brister som inspektionen tidigare har konstaterat när det gäller tydligheten i hur grunden för fordringar avseende tele-, TV- och internetfordringar anges i inkassokrav. Datainspektionen har också granskat hur ett tiotal inkassobolag agerar när den påstådda gäldenären är underårig eller var underårig när fordran uppkom. Därutöver har Datainspektionen genomfört uppföljande tillsyn av tillståndshavare med omfattande inkasso verksamhet samt tillsyn med anledning av klagomål. Tillsynerna har bland annat gällt kontrollen av grunden för fordringar, åsidosättande av tillståndsplikten och brister i identifieringen av gäldenärer. I två fall har Datainspektionens tillsyn lett till att inkassotillståndet har återkallats. Utöver de diarieförda tillsynsärendena har ytterligare en handfull ärenden hanterats genom så kallad förenklad tillsyn inom ramen för klagomålsärenden. 18 Datainspektionens årsredovisning 2014 Dnr 231-2015
6.3.2 Tillstånd Kostnad 433 028 562 239 364 663 Timmar 426 563 380 Kostnaden avseende år 2013 är korrigerad på grund av felaktigt beräknad år 2013. Prestation: Tillstånd (IkL) Inkomna 58 40 47 Avgjorda 56 41 46 Ingående balans 4 5 4 Utgående balans 6 4 5 Under 2014 kom 58 ansökningar om tillstånd att bedriva inkassoverksamhet in till Datainspektionen vilket är en ökning i förhållande till 2013 (40). Myndigheten beviljade 50 ansökningar. En del av ansökningarna rörde förnyelse av tidigare beviljade tillstånd. 6.3.3 Klagomål Kostnad 309 015 457 381 450 071 Timmar 304 458 469 Kostnaden avseende år 2013 är korrigerad på grund av felaktigt beräknad år 2013. Prestation: Inkomna klagomål (IKL) 125 157 178 6.3.4 Bedömning tillsyn, tillstånd och klagomål inom inkassoområdet Såväl antalet tillsynsärenden som antalet klagomålsärenden har fortsatt att minska på inkassoområdet. Däremot har antalet ansökningar om tillstånd att bedriva inkassoverksamhet ökat. Skälet till att antalet tillsynsärenden har minskat är bland annat att Datainspektionen under 2014 ändrat sin strategi gällande den i förväg planerade tillsynen på inkassoområdet, som varje år genomförs enligt en särskild tillsynsplan, från att fokusera på nya tillståndshavare till att i större omfattning fokusera på färre aktörer som bedriver verksamhet av betydande omfattning och verksamhet där det finns anledning att misstänka brister i rutiner. En annan förklaring till minskningen av antalet tillsynsärenden kan vara att antalet klagomål enligt inkassolagen var lägre 2014 jämfört med föregående år (125 klagomål 2014 jämfört med 157 klagomål 2013) och att det är genom klagomål som Datainspektionen får kännedom om eventuella brister som leder till att myndigheten inleder tillsyn utöver den som ingår i tillsynsplanen för året. Inom ramen för de tillsynsprojekt som Datainspektionen har avslutat under 2014 har inspektionen funnit anledning att rikta omfattande kritik mot tillsynsobjekten. Av det drar Datainspektionen slutsatsen att inspektionens förändrade strategi haft avsedd verkan och varit effektiv i förhållande till myndighetens uppdrag att verka för att god sed iakttas i inkassoverksamhet. Datainspektionen konstaterar återigen att antalet klagomål till Datainspektionen är få i förhållande till mängden krav som inkassobolagen hanterar och att det generellt sett förekommer relativt få brister som på ett markant sätt strider mot god inkassosed. Datainspektionens erfarenheter från tillsynsverksamheten är att de etablerade inkassobolagen i allt väsentligt följer god inkassosed. Det har under 2014 kommit in 125 klagomål på inkassoområdet. Klagomålen har bland annat gällt elfordringar, ifrågasättande av grunden för fordran, hanteringen av bestridanden och att inkassoverksamhet bedrivs utan tillstånd. Datainspektionens årsredovisning 2014 Dnr 231-2015 19
7. Annan enhetsövergripande verksamhet 7.1 Internationell verksamhet Kostnad 2 966 141 2 913 058 2 420 209 Timmar 2 918 2 917 2 522 Kostnaden avseende år 2013 är korrigerad på grund av felaktigt beräknad år 2013. 7.1.1 Återrapporteringskrav Datainspektionen ska enligt regleringsbrevet för 2014 redovisa omfattningen av myndighetens deltagande i internationellt arbete. Av redovisningen ska den tid och de resurser som myndigheten använder till detta arbete framgå. Redovisad tid för internationellt arbete under 2014 uppgick till 2 918 timmar, vilket kan jämföras med 2 917 timmar år 2013 och 2 522 timmar år 2012. Drygt ett tiotal av Datainspektionens medarbetare har under året representerat inspektionen vid olika möten i det internationella arbetet. Därutöver har ytterligare ett antal medarbetare deltagit i beredningen av de frågor som behandlas i det internationella arbetet. 7.1.2 29-gruppen Datainspektionen medverkar i EU:s gemensamma tillsyn över och utveckling av dataskyddsdirektivet genom sina representanter i 29-gruppen (tillsatt enligt artikel 29 i direktivet). Gruppen ska medverka till att direktivet tillämpas enhetligt i medlemsstaterna. Dessutom ska gruppen lämna yttranden till EUkommissionen om skyddsnivån i länder utanför EU samt ge råd till kommissionen om förslag till ändringar av direktivet. Dessa uppgifter ska också avse frågor som omfattas av direktivet om integritet och elektronisk kommunikation. Under 2014 har 29-gruppen sammanträtt i Bryssel vid fem tillfällen (i de flesta fall tvådagarsmöten.) 29- gruppen har under detta år, liksom under 2013, fortsatt att diskutera framtiden för skyddet av personuppgifter och förslaget till ny EU-lagstiftning på detta område. Artikel 29-gruppens arbete förbereds i olika undergrupper. Datainspektionen har under 2014 deltagit i fem av dessa grupper; Future of Privacy subgroup (den framtida rättsliga regleringen av skyddet för personuppgifter), Technology subgroup (it-frågor), BTLE subgroup (Border, Travel & Law Enforcement), Key Provisions subgroup (om grundläggande begrepp i dataskyddsdirektivet) och Biometrics & e-government (bland annat e-förvaltning). Totalt har företrädare för Datainspektionen deltagit i cirka tio sådana möten under 2014. Även dessa möten hålls vanligtvis i Bryssel. Mot bakgrund av den omfattande diskussion som uppstått ifråga om dataskydd och övervakning av elektroniska kommunikationer antog 29-gruppen i slutet av 2014 ett arbetsdokument för att kartlägga vilka regler som gäller. Den franska dataskyddsmyndigheten bjöd av samma skäl in till en konferens i Paris den 8 december 2014 för att diskutera frågor om dataskydd och övervakning. En företrädare för Datainspektionen deltog i konferensen. 7.1.3 Samordnad tillsyn med den Europeiska datatillsynsmannen (EDPS) För vissa EU-gemensamma informationssystem gäller att medlemsstaternas dataskyddsmyndigheter och den Europeiske datatillsynsmannen (EDPS) ska träffas för att samordna tillsynen på nationell och central nivå. Detta gäller Eurodac, visuminformationssystemet (VIS), och Schengens informationssystem (SIS). Under 2014 har två möten i respektive grupp hållits och Datainspektionen har då deltagit. Dessa möten hålls i Bryssel i anslutning till varandra. 7.1.4 Europol JSB och AC Datainspektionen har representanter i den gemensamma tillsynsmyndigheten för Europol (Joint Supervisory Body of Europol, JSB), som har i uppdrag att övervaka att Europols behandling av personuppgifter sker i enlighet med gällande regelverk. Årligen utför representanter för JSB inspektioner vid Europols kontor i Haag. En sådan inspektion utfördes under våren 2014. Med anledning av uttalanden från EU-parlamentet i ett betänkande från februari 2014, om den amerikanska myndigheten NSA:s övervakningsprogram, gjordes också en inspektion under hösten 2014 för att kontrollera att de uppgifter som förvärvats av medlemsstaterna och som förts vidare till Europol hanteras i enlighet med regler om grundläggande rättigheter. 20 Datainspektionens årsredovisning 2014 Dnr 231-2015