Beslut efter tillsyn enligt personuppgiftslagen (1998:204)



Relevanta dokument
Tillsyn enligt personuppgiftslagen (1998:204) avseende behörighetsstyrning i ParaGå

Tillsyn enligt personuppgiftslagen (1998:204) Utökat elektroniskt informationsutbyte

Tillsyn enligt personuppgiftslagen (1998:204) av Göteborgs universitet (Svensk nationell datatjänst)

Tillsyn enligt personuppgiftslagen (1998:204) Polismyndighetens behandling av personuppgifter i belastningsregistret och misstankeregistret

Tillsyn av behandlingen av personuppgifter i allmänhetens terminal m.m.

Tillsyn enligt personuppgiftslagen (1998:204) Utökat elektroniskt informationsutbyte

Datainspektionens beslut

Beslut efter tillsyn enligt personuppgiftslagen (1998:204) PuL

Beslut efter tillsyn enligt personuppgiftslagen (1998:204)

Beslut efter tillsyn enligt personuppgiftslagen (1998:204)

Tillsyn enligt personuppgiftslagen (1998:204) användning av s.k. elektroniska nycklar hos ett bostadsbolag

Tillsyn enligt personuppgiftslagen (1998:204) Behandling av personuppgifter i e-post

Tillsyn enligt personuppgiftslagen (1998:204) avseende den webbaserade tjänsten Squill

Tillsyn av behandlingen av personuppgifter i allmänhetens terminal m.m.

Tillsyn enligt personuppgiftslagen (1998:204) Intern åtkomst till personuppgifter hos Migrationsverket

Tillsyn enligt personuppgiftslagen (1998:204) - Sammanhållen journalföring 6 kap. patientdatalagen

Beslut efter tillsyn enligt personuppgiftslagen (1998:204)

Tillsyn enligt personuppgiftslagen (1998:204) VA Syds personuppgiftsbehandling inom avfallshanteringsverksamheten

Tillsyn enligt personuppgiftslagen (1998:204) Behandling av känsliga personuppgifter i mobila enheter

Tillsyn enligt personuppgiftslagen (1998:204) 4 kap. patientdatalagen

Beslut efter tillsyn enligt personuppgiftslagen (1998:204)

Beslut efter tillsyn behörighetsstyrning och loggkontroll inom kommunal hälso- och sjukvård

Tillsyn patientens rätt till spärr enligt 4 kap. 4 och 6 kap. 2 patientdatalagen

Beslut efter tillsyn enligt personuppgiftslagen (1998:204)

Tillsyn patientens rätt till spärr enligt 4 kap. 4 och 6 kap. 2 patientdatalagen

Beslut efter tillsyn behörighetsstyrning och loggkontroll inom kommunal hälso- och sjukvård

Tillsyn enligt personuppgiftslagen (1998:204) angående publicering av personuppgifter på Internet

Beslut efter tillsyn behörighetsstyrning och loggkontroll inom kommunal hälso- och sjukvård

Tillsyn enligt personuppgiftslagen (1998:204) behandling av personuppgifter vid rutinkontroll av förares innehav av taxiförarlegitimation

Vägtrafikregisterutredningens betänkande (SOU 2010:76) Transportstyrelsens databaser på vägtrafikområdet integritet och effektivitet

Tillsyn enligt personuppgiftslagen (1998:204) socialtjänstens behandling av personuppgifter om etniskt ursprung

Tillsyn enligt personuppgiftslagen (1998:204) registrering av arbetsförmågebedömningar om anställda i rehabiliteringssystem

Beslut efter tillsyn enligt personuppgiftslagen (1998:204) PuL

Polismyndighetens behandling av personuppgifter i signalementsregistret

Tillsyn enligt kreditupplysningslagen (1973:1173) och personuppgiftslagen (1998:204)

Tillsyn enligt personuppgiftslagen (1988:204) - registrering av kunduppgifter samt klagomåls- och reklamationshantering

Tillsyn enligt personuppgiftslagen (1998:204) Barn och grundskolenämnden i Täbys behandling av personuppgifter i VKlass

Tillsyn enligt personuppgiftslagen (1998:204) Kameraövervakning inomhus i skola

Beslut efter tillsyn enligt personuppgiftslagen (1998:204) PuL

Tillsyn enligt personuppgiftslagen (1998:204) Bolagsverkets utlämnande av personuppgifter till Bisnode AB

Tillsyn enligt personuppgiftslagen (1998:204) hjälpmedelshanteringssystemet Sesam

PM Tillämpning av PUL inom Barn- och utbildningsnämndens verksamheter

Tillsyn enligt personuppgiftslagen (1998:204) Kameraövervakning inomhus i skola

Tillsyn enligt personuppgiftslagen (1998:204) personuppgiftsbehandling i anslutning till Pliktverkets e-tjänst för lämplighetsundersökning

Återkallelse enligt 15 inkassolagen (1974:182) av tillstånd att bedriva inkassoverksamhet

Tillsyn enligt personuppgiftslagen (1998:204) Kameraövervakning vid Hemköp i Östersund

Delbetänkande av Jaktlagsutredningen: Vildsvin och viltskador om utfordring, kameraövervakning och arrendatorers jakträtt (SOU 2014:54)

Tillsyn enligt kameraövervakningslagen (2013:460) kameraövervakning av anställda på Lindex Sverige AB

Säkerhetsåtgärder vid kameraövervakning

Tillsyn patienternas rätt till spärr enligt 4 kap. 4 och 6 kap. 2 patientdatalagen

Samråd enligt 2 och 3 patientdataförordningen

Regeringens proposition 2005/06:108

Beslut efter tillsyn enligt inkassolagen (1974:182), kreditupplysningslagen (1973:1173) och personuppgiftslagen (1998:204)

Tillsyn patienternas rätt till spärr enligt 4 kap. 4 och 6 kap. 2 patientdatalagen

Tillsyn enligt personuppgiftslagen (1998:204)- Pensionsmyndighetens webbtjänst Dina Pensionssidor

Tillsyn patienternas rätt till spärr enligt 4 kap. 4 och 6 kap. 2 patientdatalagen

Tillsyn enligt kameraövervakningslagen (2013:460) kameraövervakning av anställda på MQ Retail AB

Apoteket AB Stockholm. och

Tillsyn enligt kameraövervakningslagen (2013:460) kameraövervakning av anställda på Hemköpskedjan AB

Datainspektionen informerar. Hur länge får personuppgifter

Tillsyn enligt personuppgiftslagen (1998:204) socialtjänstens behandling av personuppgifter om etniskt ursprung

Beslut efter tillsyn enligt personuppgiftslagen (1998:204) PuL

Beslut efter tillsyn enligt personuppgiftslagen (1998:204)

Information om personuppgiftslagens tillämpning i Riksbanken

Tillsyn enligt kreditupplysningslagen (1973:1173) kreditupplysningsföretagets ansvar att kontrollera beställarens legitima behov

Postadress Telefon E-post Organisationsnummer Box 22523, Stockholm

Finansdepartementet. Avdelningen för offentlig förvaltning. Ändring i lagen om lägenhetsregister

Beslut efter tillsyn enligt personuppgiftslagen (1998:204) av Fitness24Seven

Tillsyn enligt personuppgiftslagen (1998:204) registrering av kunduppgifter samt klagomåls- och reklamationshantering

Beslut efter tillsyn enligt inkassolagen (1974:182) - elbolags indrivning av elfordringar

/(\ inspektionen för vård och omsorg Dnr /2015 Z 1(5)

Klagande Datainspektionen, Box 8114, Stockholm. Motpart MarknadsTing i Gånarp AB, Munka Ljungby

Postadress Telefon E-post Organisationsnummer Box 22523, Stockholm

Polismyndigheten i Östergötlands läns behandling av personuppgifter i underrättelseverksamheten

Yttrande över departementspromemorian Domstolsdatalag (Ds 2013:10)

Tillsyn enligt personuppgiftslagen (1998:204) bankers användning av s.k. appar

SÖDERTÄLJE KOMMUN Utbildningskontoret

Rikspolisstyrelsens IT-system OBS-portalen

Tillsyn enligt personuppgiftslagen (1998:204) Seamless Payment AB

Tillsyn enligt personuppgiftslagen (1998:204) Utökat elektroniskt informationsutbyte

Tillsyn enligt personuppgiftslagen (1998:204) Hantering av patientuppgifter via e-post

Tillsyn enligt personuppgiftslagen (1998:204) hantering av personnummer i samband med prisförfrågan

Svar över vidtagna åtgärder önskas före februari månads utgång 2009.

8 Register med personuppgifter inom färdtjänsten och riksfärdtjänsten

Personuppgiftslagens övergångsbestämmelser upphör; personinformation på webbsidor; m.m.

Information till registrerade enligt personuppgiftslagen

Tillsyn enligt personuppgiftslagen (1998:204) registrering av kunduppgifter samt klagomåls- och reklamationshantering

Tillsyn enligt polisdatalagen (2010:361) och personuppgiftslagen (1998:204) av Polismyndighetens personuppgiftsbehandling i fingeravtrycksregistret

Beslut efter tillsyn enligt personuppgiftslagen (1998:204) av Brf Kvarnberget

Uppföljning av tidigare granskning avseende Rikspolisstyrelsens behandling av personuppgifter i penningtvättsregistret

Tillsyn enligt personuppgiftslagen

Gränsdragningen mellan den generella personuppgiftsregleringen och regleringen för området elektronisk kommunikation bör tydliggöras

Hantering av skyddade personuppgifter

Beslut efter tillsyn enligt personuppgiftslagen (1998:204) registrering av icke kyrkotillhöriga barn

Beslutet/domen har vunnit laga kraft. Fastighetsmäklarinspektionens avgörande

Tillsyn enligt personuppgiftslagen (1998:204) användning av s.k. elektroniska nycklar hos ett bostadsbolag

Beslut efter tillsyn enligt personuppgiftslagen (1998:204) PuL

Kungl. Tekniska högskolans hantering av överklaganden

Beslutet/domen har vunnit laga kraft. Fastighetsmäklarinspektionens avgörande

Tillsyn enligt personuppgiftslagen (1998:204) Arbetslöshetskassornas samorganisation (SO)

Transkript:

Beslut Dnr 2006-04-07 873-2005 Vägverket 781 87 Borlänge Beslut efter tillsyn enligt personuppgiftslagen (1998:204) Datainspektionens beslut Datainspektionen konstaterar att det finns risk för att Vägverkets bildhantering kan omfatta enskilda personer. Detta är inte förenligt med lagstiftningen om trängselskatt. Datainspektionen förutsätter att Vägverket vidtar ytterligare åtgärder för att minska risken för registrering av sådan överskottsinformation. Datainspektionen konstaterar att Vägverkets gallringsrutiner inte motsvarar bestämmelserna i förordning (2001:650) om vägtrafikregister. Datainspektionen förutsätter att Vägverket ändrar sina gallringsrutiner så att förordningens bestämmelser om gallring efterlevs. Datainspektionen konstaterar att Vägverket saknar rutiner för att i efterhand kunna kontrollera vem som har haft åtkomst till personuppgifter. Datainspektionen förutsätter att Vägverket inför rutiner för att kontrollera åtkomsten till personuppgifterna. Med hjälp av behandlingshistorik skall det gå att utreda felaktig eller obehörig användning. Det skall även finnas rutiner för hur man följer upp loggar, t.ex. genom stickprovskontroller. Redogörelse för tillsynsärendet Försöket med trängselskatt i Stockholm påbörjades den 3 januari 2006 och pågår till den 31 juli 2006. Försöket har föregåtts av en månads testperiod av det tekniska systemet. Inför testperioden beslutade Datainspektionen att inspektera Vägverket. Syftet med inspektionen var att få information om försöket och hur man skulle behandla personuppgifter i systemet. Av särskilt intresse var de elektroniska spår som uppstår vid passering av en betalstation och hur informationen skulle kommuniceras vidare för beslut och uppbörd av trängselskatt. Postadress: Box 8114, 104 20 STOCKHOLM E-post: datainspektionen@datainspektionen.se Besöksadress: Fleminggatan 14, plan 9 Telefon: 08-657 61 00 Webbplats: www.datainspektionen.se Telefax: 08-652 86 52

2 (5) Den 9 juni 2005 genomförde Datainspektionen en inspektion hos Vägverket i Solna. Vad som framkom vid inspektionen framgår av protokollet, se bilaga A (bilagorna till bilaga A är utelämnade). Vägverket fick tillfälle att yttra sig över protokollet, vilket myndigheten gjorde den 9 september 2005. Därefter följde en dialog mellan inspektionen och Vägverket som i huvudsak kom att beröra information och registrering under testperioden, personuppgiftsansvaret, informationsskyltar vid betalstationerna, betalningsrutiner och registret Business Warhouse. Den 10 februari 2006 genomförde Datainspektionen en ny inspektion hos Vägverket samt hos IBM, som är totalleverantör av det tekniska systemet och personuppgiftsbiträde. Vad som framkom vid inspektionen framgår av protokollet, se bilaga B (bilagorna till bilaga B är utelämnade). I samband med att Vägverket bereddes tillfälle att yttra sig över Datainspektionens protokoll begärde inspektionen att Vägverket skulle inkomma med en åtgärdsplan avseende bl.a. följande tre punkter. 1. Bilderna som tas vid passager vid betalstationer visar betydligt mer än enbart fordonets registreringsnummer vilket kan vara integritetskänsligt vid manuell bildgranskning och hantering av registerutdrag enligt offentlighetsprincipen. Vad kan Vägverket göra för att minska exponeringen? 2. Enligt 3 kap. 6 förordning (2001:650) om vägtrafikregister skall uppgifter om trängselskatt gallras, om skatten har betalats och omprövning inte har begärts, senast tre veckor efter betalningen. Det har framkommit att Vägverket tillämpar en gallringstid om 45 dagar. Hur motiverar Vägverket detta? 3. För att åtkomsten skall kunna kontrolleras bör det, beroende på känsligheten hos personuppgifterna, finnas en behandlingshistorik (logg). En behandlingshistorik har också en förebyggande funktion. En förutsättning är att användarna informeras om loggen och kontrollen av åtkomst. Hur kommer Vägverket att införa rutiner för kontroll av åtkomst och att informera om kontrollen till alla behöriga användare? I ett svar på Datainspektionens frågor uppgav Vägverket bl.a. följande: 1. Vägverket är medvetet om att bilder som tas vid betalstationer i vissa fall visar mer än fordonets registreringsnummer. Detta har också framförts till IBM vid flera tillfällen med begäran om att bilderna om möjligt automatiskt ska beskäras ytterligare i kamerorna. Tekniskt har det emellertid visat sig svårt att få en bild som enbart visar registreringsnumret. Vägverket menar därför att det för närvarande inte är helt möjligt att undvika en exponering som visar mer än registreringsnumret. Anledningen till detta är dels att registreringsskyltarna sitter på olika ställen på olika bilar, dels att trafikanterna inte alltid kör i körfälten. Det är därmed svårt att i vissa trafiksituationer få till stånd en optimal inställning av kameran. Emellertid för Vägverket fortlöpande en dialog med IBM för att om möjligt försöka lösa exponeringsfrågan. Det bör framhållas att den ytter-

3 (5) ligare exponering som sker inte innehåller mer information än den som fås genom registreringsnumret. 2. Gallringstiden ser Vägverket och Skatteverket som en rättsäkerhetsfråga för den som begär omprövning av ett skattebeslut. All gallring sker med automatiska rutiner. Skulle gallring ske strikt enligt 3 kap. 6 förordningen (2001:650) om vägtrafikregister finns en risk att inte alla uppgifter är tillgängliga vid en korrekt inkommen begäran om omprövning. I syfte att undvika detta sker den automatiska gallringen efter ca 45 dagar. 3. För händelser (behandlingshistorik) i systemet SAP är det möjligt att i efterhand spåra vad en användare ändrat alternativt skapat genom loggar på respektive dataobjekt. I webbportalen loggas alla förändringar i en s.k. eventlogg. I denna logg är det möjligt att söka förändringar gjorda per användare. Det sker ingen loggning av behandlingshistorik med avseende på vad en användare utfört genom att titta i webbportalen. Idag finns inga rutiner för uppföljning av behandlingshistorik och eventloggar men en utredning är påbörjad för att se hur en sådan rutin skulle kunna utformas. Skäl för beslutet Behandlingen av de bilder som tas vid betalstationerna I förarbetena (prop. 2003/04:145 s. 94) till lagen (2004:629) om trängselskatt har regeringen uttalat bl.a. att I samband med övervakning inom ramen för trängselskattesystemet är det primära objektet fordonet och, till skillnad från vad som är fallet vid hastighetsövervakning, räcker det således att fotografera fordonets registreringsskylt. Med hänsyn härtill torde risken för att överskottsinformation, t.ex. vem som är passagerare i ett fordon, fångas på bild vara större vid hastighetsövervakningen än vid den kameraövervakning som är nödvändig inom ramen för trängselskattesystemet. Vidare är det typiskt sett mindre integritetskränkande att fotografera ett fordons registreringsskylt än att fotografera föraren av ett fordon. [---] Med beaktande av den nu gjorda jämförelsen finner regeringen sammantaget, vid en avvägning mellan intresset av övervakningen och enskildas intresse att inte bli övervakade, att kameraövervakning inom ramen för systemet med trängselskatt kan accepteras och att denna övervakning bör undantas från kravet på tillstånd enligt lagen om allmän kameraövervakning. Vid denna bedömning beaktar regeringen särskilt att det endast är nödvändigt att fotografera fordonens registreringsskylt vid övervakningen samt att materialet från kameraövervakningen i de allra flesta fall torde kunna förstöras efter en relativt kort period. Vidare uttalas i förarbetena (prop. 2003/04:145 s. 115) bl.a. att Övervakningen måste alltså inrättas så att så långt som möjligt enbart sådana uppgifter som är nödvändiga för uttaget och kontrollen av trängselskatt fångas på fotografierna. Detta betyder att fordonets registerringsskylt är objektet för övervakningen och att risken för överskottsinformation skall minimeras. Härigenom begränsas det intrång i den personliga integriteten som kameraövervakningen innebär. [---] Det kan dock inte ställas ett absolut krav på att sådant som inte behövs för de

4 (5) angivna syftena aldrig kommer med i bilden. Det kan ju tänkas att, t.ex. en fotgängare av misstag befinner sig på en sådan plats att han eller hon blir fotograferad eller att en bil är så konstruerad att det inte går att fotografera registreringsskylten utan att föraren eller någon passagerare kommer med på fotografiet. För att övervakningen skall vara undantagen från tillståndskravet krävs dock att den anordnas så att detta undviks. Datainspektionen har vid den senaste inspektionen kunnat konstatera att mer än bilens registreringsskylt fotograferas. I vissa fall kan man även se delar av bilens kupé. I det material som Datainspektionen granskat har det dock inte gått att se några personer. Mot bakgrund av vad regeringen uttalat i propositionen förutsätter Datainspektionen att Vägverket vidtar ytterligare åtgärder för att minska risken för registrering av överskottsinformation. Gallring Enligt 3 kap. 6 förordning (2001:650) om vägtrafikregister skall uppgift om trängselskatt, om skatten har betalats utan föregående betalningsanmaning och omprövning inte har begärts, gallras tre veckor efter det att betalning har skett. Om omprövning har begärts skall uppgifterna i stället gallras när begäran eller överklagande slutligt har prövats. Enligt Vägverkets uppgifter tillämpar myndigheten en generell gallringstid om ca 45 dagar från registreringen. Datainspektionen förutsätter att Vägverket ändrar sina gallringsrutiner så att förordningens bestämmelser om gallring efterlevs. Loggar Enligt 31 personuppgiftslagen skall den personuppgiftsansvarige vidta lämpliga tekniska och organisatoriska åtgärder för att skydda de personuppgifter som behandlas. Vid inspektionstillfället hade Vägverket inga rutiner för uppföljning av åtkomst. För att åtkomsten skall kunna kontrolleras bör det, beroende på känsligheten hos personuppgifterna, finnas en behandlingshistorik (logg). En behandlingshistorik har också en förebyggande funktion. En förutsättning är att användarna informeras om loggen och kontrollen av åtkomst. Vägverket har uppgivit i sin åtgärdsplan att loggningsrutinen skall utredas med sikte på att ge en bättre spårbarhet när det gäller vilka som har haft åtkomst till personuppgifter. Datainspektionen förutsätter att Vägverket inför rutiner för att kontrollera åtkomsten till personuppgifter. Med behandlingshistorikens hjälp skall det gå att utreda felaktig eller obehörig användning. Det skall finnas rutiner för hur man följer upp loggar, t.ex. genom stickprovskontroller.

Hur man överklagar 5 (5) Om ni vill överklaga beslutet skall ni skriva till Datainspektionen. Ange i skrivelsen vilket beslut som överklagas och den ändring som ni begär. Överklagandet skall ha kommit in till Datainspektionen senast tre veckor från den dag beslutet meddelades för att kunna prövas. Datainspektionen sänder överklagandet vidare till Länsrätten i Stockholms län för prövning om inspektionen inte själv ändrar beslutet på det sätt ni har begärt. Beslut i detta ärende har fattats av datarådet Agneta Runmarker i närvaro av Jonas Agnvall, föredragande. Agneta Runmarker Jonas Agnvall Kopia till: Birger Höök, projektchef Magnus Bengtsson, driftschef Stig Luttinger, jurist Peter Rosenberg, personuppgiftsombud

2024 © DocPlayer.se Sekretesspolicy | Användarvillkor | Kontakta oss