Rikspolisstyrelsens rutiner för och kontroll av behandling av känsliga personuppgifter i polisens allmänna spaningsregister, ASP



Relevanta dokument
Rikspolisstyrelsens rutiner för och kontroll av behandling av känsliga personuppgifter i det centrala kriminalunderrättelseregistret, KUR

Polismyndighetens behandling av personuppgifter i signalementsregistret

Rikspolisstyrelsens IT-system OBS-portalen

Säkerhetspolisens behandling av känsliga personuppgifter i fristående databaser

Polismyndigheten i Östergötlands läns behandling av personuppgifter i underrättelseverksamheten

Postadress Telefon E-post Organisationsnummer Box 22523, Stockholm

Polismyndigheternas behandling av känsliga personuppgifter

Postadress Telefon E-post Organisationsnummer Box 22523, Stockholm

Uppföljning av polismyndigheternas användning av centrala säkerhetsloggen

Personuppgiftsansvar för behandling av personuppgifter i det centrala kriminalunderrättelseregistret, KUR

Granskning av polismyndigheternas användning av centrala säkerhetsloggen

Behandlingen av personuppgifter i Länskriminalpolisen i Västra Götalands uppgiftssamlingar med spaningsfilmer

Behandlingen av personuppgifter i Rikskriminalpolisens register över spaningsfilmer

Polismyndigheternas behandling av känsliga personuppgifter i KUT-info

Postadress Telefon E-post Organisationsnummer Box 22523, Stockholm

Polismyndighetens nya allmänna spaningsregister

Tillsyn av behandlingen av personuppgifter i allmänhetens terminal m.m.

Tillsyn av behandlingen av personuppgifter i allmänhetens terminal m.m.

Nämnden bedömer att den granskade personuppgiftsbehandlingen är förenlig med PDL:s bestämmelser.

Postadress Telefon E-post Organisationsnummer Box 22523, Stockholm

Uppföljning av Polismyndigheten i Skånes behandling av personuppgifter i uppgiftssamlingen benämnd Kringresande

Tillsyn över Säkerhetspolisens utlämnande av personuppgifter till underrättelse- och säkerhetstjänster i andra stater

Tillsyn enligt personuppgiftslagen (1998:204) avseende behörighetsstyrning i ParaGå

Nämnden är kritisk till att Polismyndigheten inte har genomfört någon logguppföljning avseende de granskade uppgiftssamlingarna.

Tillsyn enligt personuppgiftslagen (1998:204) Polismyndighetens behandling av personuppgifter i belastningsregistret och misstankeregistret

VERKSAMHETSBERÄTTELSE FÖR REGISTERNÄMNDEN FÖR ÅR 2001; M.M.

Dåvarande Rikspolisstyrelsens register över spaningsfilmer.

Tillsyn enligt personuppgiftslagen (1998:204) Behandling av personuppgifter i e-post

Polismyndighetens behandling av känsliga personuppgifter i uppgiftssamling om inhemsk extremism

Beslut efter tillsyn enligt personuppgiftslagen (1998:204) PuL

Integritet och effektivitet i polisens brottsbekämpande verksamhet

Uppföljning av tidigare granskning avseende Rikspolisstyrelsens behandling av personuppgifter i penningtvättsregistret

Åklagarmyndighetens användning av s.k. postkontroll

Policy för behandling av personuppgifter vid uthyrning av bostäder

Stockholm den 1 juni 2009 R-2009/0488. Till Justitiedepartementet. Ju2009/2441/PO

Användningen av kvalificerade skyddsidentiteter inom det särskilda personsäkerhetsarbetet

Yttrande över departementspromemorian Domstolsdatalag (Ds 2013:10)

Polismyndighetens behandling av personuppgifter i underrättelseverksamheten

Rikspolisstyrelsens författningssamling

Granskning av ärenden vid Åklagarkammaren i Östersund där den enskilde inte underrättats om hemlig tvångsmedelsanvändning

8 Register med personuppgifter inom färdtjänsten och riksfärdtjänsten

Finansdepartementet. Avdelningen för offentlig förvaltning. Ändring i lagen om lägenhetsregister

Rikspolisstyrelsens behandling av personuppgifter i penningtvättsregistret

Tillsyn patientens rätt till spärr enligt 4 kap. 4 och 6 kap. 2 patientdatalagen

Beslut efter tillsyn enligt personuppgiftslagen (1998:204)

SÄKERHETS- OCH Ändrade förhållanden under verkställighet av hemlig teleavlyssning och hemlig teleövervakning, m.m. 1.

Regler för behandling av personuppgifter vid Högskolan Dalarna

Beslut efter tillsyn enligt personuppgiftslagen (1998:204)

Vägtrafikregisterutredningens betänkande (SOU 2010:76) Transportstyrelsens databaser på vägtrafikområdet integritet och effektivitet

PM Tillämpning av PUL inom Barn- och utbildningsnämndens verksamheter

Riktlinjer för behandling av personuppgifter vid webbpublicering

Tillsyn enligt personuppgiftslagen (1998:204) Utökat elektroniskt informationsutbyte

Tillsyn patientens rätt till spärr enligt 4 kap. 4 och 6 kap. 2 patientdatalagen

Bevarande av personuppgifter i Säkerhetspolisens dokument- och ärendehanteringssystem

Tillsyn enligt personuppgiftslagen (1998:204) Bolagsverkets utlämnande av personuppgifter till Bisnode AB

Postadress Telefon E-post Organisationsnummer Box 22523, Stockholm

Rikspolisstyrelsens författningssamling

Behandling av personuppgifter i Skatteverkets verksamhet med brottsutredningar

Svensk författningssamling

Vid Patrick Ungsäters presentation av regionens organisation och verkställighetsgruppens arbetssätt kom bl.a. följande fram.

Inspektion av Åklagarmyndigheten, åklagarkammaren i Borås, den maj 2015

Datainspektionen informerar. Hur länge får personuppgifter

Tillsyn enligt personuppgiftslagen (1998:204) Behandling av känsliga personuppgifter i mobila enheter

Kommittédirektiv. Översyn av de särskilda bestämmelser som gäller för lagöverträdare under 15 år. Dir. 2007:151

Kvalitetsregister & legala förutsättningar. Moa Malviker Wellermark, Jurist SKL, Landstingsjurist LiÖ

Tillsyn enligt kameraövervakningslagen (2013:460) kameraövervakning av anställda på Hemköpskedjan AB

Polismyndighetens behandling av personuppgifter i underrättelseverksamheten

Tilldelning och användning av behörigheter i DurTvå

Tillsyn enligt personuppgiftslagen (1998:204) avseende den webbaserade tjänsten Squill

Tillsyn enligt personuppgiftslagen (1998:204) socialtjänstens behandling av personuppgifter om etniskt ursprung

Postadress Telefon E-post Organisationsnummer Box 22523, Stockholm

Tillsyn enligt personuppgiftslagen (1998:204) Utökat elektroniskt informationsutbyte

Datainspektionens beslut

Säkerhetspolisens användning av s.k. misstankemärkning i it-systemet för bearbetning och analys

Förslagen föranleder följande yttrande av Lagrådet:

Uppföljning av Polismyndighetens behandling av personuppgifter i signalementsregistret avseende gallring av och tillgången till uppgifter

Tillsyn enligt personuppgiftslagen (1998:204) användning av s.k. elektroniska nycklar hos ett bostadsbolag

Tillsyn enligt personuppgiftslagen (1998:204) Intern åtkomst till personuppgifter hos Migrationsverket

Personuppgiftslagens övergångsbestämmelser upphör; personinformation på webbsidor; m.m.

Rutiner för registerutdrag vid anställning inom förskola och grundskola. Mjölby kommun

Beslut efter tillsyn enligt personuppgiftslagen (1998:204) PuL

Tillsyn enligt personuppgiftslagen (1998:204) socialtjänstens behandling av personuppgifter om etniskt ursprung

Regeringens proposition 2015/16:28

PERSONUPPGIFTSLAG. Den fysiska person som, efter förordnande av den personuppgiftsansvarige,

Säkerhetspolisens behandling av känsliga personuppgifter i ett it-system för bearbetning och analys av information

Svensk författningssamling

Föredragande borgarrådet Anna König Jerlmyr anför följande.

Tillsyn enligt personuppgiftslagen (1998:204) behandling av personuppgifter vid rutinkontroll av förares innehav av taxiförarlegitimation

Vid Marcus Nilssons presentation av regionens organisation och utredningsgruppens arbetssätt kom bl.a. följande fram.

Kommittédirektiv. Förutsättningar för registerbaserad forskning. Dir. 2013:8. Beslut vid regeringssammanträde den 17 januari 2013.

Yttrande över slutbetänkandet Myndighetsdatalagen (SOU 2015:39)

Postadress Telefon E-post Organisationsnummer Box 22523, Stockholm

Polismyndighetens behandling av personuppgifter i mappstrukturer vid region Öst

Regeringens proposition 1997/98:97

Regeringens proposition 2005/06:108

Tillsyn enligt personuppgiftslagen (1998:204)- Pensionsmyndighetens webbtjänst Dina Pensionssidor

Beslut efter tillsyn enligt personuppgiftslagen (1998:204)

Omsorgs- och socialförvaltningen. Upprättad: Ändrad:

Postadress Telefon E-post Organisationsnummer Box 22523, Stockholm

Tillsyn enligt personuppgiftslagen (1998:204) Kameraövervakning vid Hemköp i Östersund

Transkript:

Uttalande SÄKERHETS- OCH INTEGRITETSSKYDDSNÄMNDEN 2013-01-22 Dnr 15-2013 Rikspolisstyrelsens rutiner för och kontroll av behandling av känsliga personuppgifter i polisens allmänna spaningsregister, ASP 1 SAMMANFATTNING Säkerhets- och integritetsskyddsnämnden har granskat Rikspolisstyrelsens (RPS) rutiner för och kontroll av behandling av känsliga personuppgifter i polisens allmänna spaningsregister, ASP. Granskningen har skett genom enkätfrågor, inhämtning av interna föreskrifter och handbok för ASP i relevanta delar samt kontroll av ett urval registreringar i registret. Nämnden noterar att behandling av känsliga personuppgifter sker i inte obetydlig omfattning i registret. Nämnden har inte observerat några registreringar som står i strid med lagen (2010:362) om polisens allmänna spaningsregister (spaningsregisterlagen), men kan konstatera att det i två av de granskade registreringarna saknas förutsättningar att bedöma om noteringar om hälsa och politiska åsikter har varit absolut nödvändiga på grund av att tidigare notiser har gallrats. Nämnden menar att detta är en brist ur såväl integritets- som tillsynssynpunkt. RPS bör därför göra en förnyad prövning av om det är absolut nödvändigt för syftet med behandlingen att de känsliga personuppgifterna kvarstår i dessa fall. Nämnden anser vidare att åtgärder bör vidtas i ett eventuellt nytt system så att behovet av den känsliga personuppgiften framgår av registreringen. Nämnden uppmanar också RPS att radera uppgifter om politisk åsikt i ett sökbart fält i två fall. Nämnden har iakttagit vissa brister i RPS rutiner och interna styrdokument. RPS uppmanas att åtgärda dessa brister samt att se till att alla registratorsbehöriga användare får kontinuerlig utbildning i frågor som rör identifiering och förutsättningar för registrering av känsliga personuppgifter. Nämnden förutsätter slutligen att RPS kommer att införa regelbunden internkontroll i form av stickprov och om detta är tekniskt möjligt logguppföljning i syfte att minska risken för att känsliga personuppgifter behandlas i strid med spaningsregisterlagen. Postadress Telefon E-post Organisationsnummer Box 22523, 104 22 Stockholm 08-617 98 00 sakint@sakint.se 202100-5703 Besöksadress Telefax Webbplats Bankgiro Norr Mälarstrand 6, Stockholm 08-617 98 88 www.sakint.se 782-4329

2 (8) 2 BAKGRUND OCH AVGRÄNSNING I polisdatalagen (2010:361) (PDL) och i spaningsregisterlagen, liksom i annan lagstiftning om behandling av personuppgifter på internationell och nationell nivå, har känsliga personuppgifter en särställning som innebär att sådana uppgifter endast får behandlas i undantagsfall och under särskilda förutsättningar. Nämnden beslutade den 28 mars 2012 att granska föreskrifter och rutiner för samt interna kontrollfunktioner vid RPS behandling av känsliga personuppgifter i det centrala kriminalunderrättelseregistret (KUR), det allmänna spaningsregistret (ASP) samt personefterlysnings- och U-boksregistret (EPU). Nämnden fattade den 11 december 2012 beslut om uttalande avseende KUR. I det nu aktuella uttalandet behandlar nämnden endast ASP. ASP har förts sedan 1979, men fick ett nytt webbgränssnitt i början av 2000- talet. Registret syftar till att bygga upp kunskaper om och kring personer som misstänks för brott och utgår från misstänkta gärningsmän. En registrering i ASP består av vissa inledande uppgifter om den registrerade personen i förutbestämda fält, såsom uppgift om namn, personnummer, kännetecken och grupptillhörighet. Därefter följer en rad notiser i löptext som behandlar misstankar om brott eller spaningsuppslag. Uppgifterna i registret kommer från brottsanmälningar och förundersökningsprotokoll, men registrering kan också ske på grund av iakttagelser vid spaning eller trovärdiga tips från till exempel personal inom socialförvaltningen. 1 Enligt uppgifter från RPS har drygt 20 000 användare tillgång till ASP och varje dag görs i snitt omkring 9 000 slagningar i systemet. Personer som registrerar uppgifter i ASP har som regel fått någon typ av utbildning för detta. Utbildningar hölls tidigare centralt i Polishögskolans regi, men idag åligger det varje polismyndighet att se till att personer med registratorsbehörighet har adekvat utbildning. I vilken form detta sker varierar mellan myndigheterna. Ungefär 230 personer är enligt RPS aktiva som registratorer i ASP. Loggning i systemet sker i den s.k. stordatorn hos RPS. Systemet är inte anslutet till RPS centrala säkerhetslogg. 3 RÄTTSLIG REGLERING Enligt artikel 8 Europeiska konventionen för de mänskliga rättigheterna och de grundläggande friheterna (EKMR) har var och en rätt till respekt för sitt privatoch familjeliv, sitt hem och sin korrespondens. Rätten får enligt andra stycket i samma artikel inskränkas av offentlig myndighet endast under vissa angivna 1 Prop. 2009/10:85 s. 466.

3 (8) förutsättningar. EKMR gäller som lag i Sverige. Genom Europarådets konvention från 1981 om skydd för enskilda vid automatisk databehandling av personuppgifter (dataskyddskonventionen) har Europarådet preciserat vad skyddet i artikel 8 EKMR innebär i dataskyddshänseende, bl.a. genom att slå fast att känsliga personuppgifter som huvudregel inte får behandlas, men att vissa undantag kan tillåtas. Dataskyddskonventionen har ratificerats av samtliga EU-länder. Utöver dataskyddskonventionen har Europarådet tagit fram en rekommendation (No. R (87) 15) som reglerar användningen av personuppgifter inom polissektorn. I rekommendationen preciseras bl.a. att undantag från förbudet mot behandling av känsliga personuppgifter enligt dataskyddskonventionen endast får ske om det är absolut nödvändigt (artikel 2.4). Bestämmelserna i 5 i den äldre polisdatalagen (1998:622), som reglerade förutsättningarna för polisens behandling av känsliga personuppgifter, motsvarar Europarådets rekommendation i detta avseende. Den äldre polisdatalagens reglering fördes, med endast en viss språklig justering, över till 2 kap. 10 PDL. 12 spaningsregisterlagen innehåller motsvarande bestämmelser som 2 kap. 10 PDL. Enligt 12 första stycket spaningsregisterlagen får uppgifter om en person inte behandlas enbart på grund av vad som är känt om personens ras eller etniska ursprung, politiska åsikter, religiösa eller filosofiska övertygelse, medlemskap i fackförening, hälsa eller sexualliv (känsliga personuppgifter). Det är alltså inte tillåtet att föra register över eller på annat sätt göra anteckningar om enskilda enbart på den grunden att de utifrån något i paragrafen angivet förhållande kan hänföras till en viss kategori av människor. 2 Huvudregeln i 12 första stycket spaningsregisterlagen kompletteras med ett undantag i paragrafens andra stycke. Uppgifter om en person, om de behandlas på annan grund, får kompletteras med sådana uppgifter som avses i första stycket när det är absolut nödvändigt för syftet med behandlingen. Bestämmelsen innebär enligt förarbetena att om andra uppgifter om en person samlas in i samband med t.ex. en förundersökning får dessa kompletteras med känsliga personuppgifter om det är av avgörande betydelse för utredningen. Med hänsyn till den restriktivitet som ligger i begreppet absolut nödvändigt måste behovet av att göra sådana kompletteringar prövas noga i det enskilda ärendet. 3 Enligt 14 spaningsregisterlagen får uppgifter som avslöjar ras, etniskt ursprung, politiska åsikter, religiös eller filosofisk övertygelse, medlemskap i fackförening eller som rör hälsa eller sexualliv inte användas som sökbegrepp. Sådana sökningar skulle kunna möjliggöra exempelvis kartläggning av personer 2 Prop. 2009/10:85 s. 325 och 382. 3 A. prop. s. 325.

4 (8) med en viss politisk ståndpunkt eller religiös inriktning. Enligt andra stycket i paragrafen hindrar förbudet dock inte att brottsrubriceringar eller uppgifter som beskriver en persons utseende används som sökbegrepp. Enligt 1 andra stycket spaningsregisterlagen är RPS personuppgiftsansvarig för behandlingen av personuppgifter i ASP. Av 3 spaningsregisterlagen framgår att personuppgifter som framkommit i polisens brottsbekämpande verksamhet får behandlas i ASP för att underlätta tillgången till sådan information som behövs i polisens spaningsverksamhet. Behandlingen av uppgifter i ASP regleras vidare av RPS föreskrifter och allmänna råd RPSFS 2003:4 FAP 448-1. I föreskrifterna nämns ingenting om behandlingen av känsliga personuppgifter generellt, om förutsättningar för att få registrera sådana uppgifter eller om det ovannämnda sökförbudet. 4 GRANSKNINGEN RPS har efter anmodan besvarat ett antal frågor rörande rutinerna för och kontrollen av RPS behandling av känsliga personuppgifter bl.a. i ASP. Vidare har nämndens kansli granskat RPS interna föreskrifter, handboken för ASP i relevanta delar och ett loggbeslut avseende ASP daterat den 1 november 2006, samt vid tre tillfällen granskat registreringar i ASP som innehåller känsliga personuppgifter. Det går inte att fritextsöka på känsliga personuppgifter i notistexterna. Urvalet registreringar har därför utgått från två typer av sökbara företeelser där det kan antas förekomma känsliga personuppgifter, nämligen dels sådana där registrerade brottsmisstänkta personer har försetts med en s.k. farlighetsmarkering i fältet kännetecken, dels sådana där personer har angetts tillhöra en viss gruppering. Urvalet avseende registreringar som innehåller misstänkta med farlighetsmarkering har begränsats till personer födda 1950 1955 samt 1960 1965. I kategorin personer som angetts tillhöra en gruppering har kansliet granskat ett urval registreringar där grupptillhörigheten markerats som autonom. Totalt har 155 registreringar granskats, varav 17 bedömts innehålla känsliga personuppgifter. I sju av dessa registreringar har angetts att farlighetsmarkerade personer lider av HIV eller Hepatit C och i tio registreringar har personer som markerats med gruppering autonom också omnämnts som vänstersympatisörer, AFA-aktivister, syndikalister eller liknande.

5 (8) 5 NÄMNDENS IAKTTAGELSER Inledning Inledningsvis noterar nämnden att RPS föreskrifter om ASP inte innehåller några bestämmelser om behandlingen av känsliga personuppgifter, och att dessa inte har uppdaterats i samband med spaningsregisterlagens ikraftträdande. Nämnden noterar vidare att det av användarhandboken för ASP framgår att en registrering att någon är farlig inte får göras enbart på den grunden att personen i fråga bär på en smittsam sjukdom, utan måste bygga på iakttagelser om att personen i fråga tidigare har varit våldsam och försökt sprida smitta i samband med gripande. Vidare framgår av handboken att en grupptillhörighet som för tankarna till politisk åsikt inte får registreras och inte vara sökbar. Handboken berör inte övriga känsliga personuppgifter eller under vilka förutsättningar det är tillåtet att registrera sådana uppgifter. I handboken anges inte heller att det är förbjudet att söka på alla känsliga personuppgifter. De nämnda instruktionerna angående behandling av känsliga personuppgifter finns bara i anslutning till registrering av kännetecken och grupptillhörighet i de särskilda fält där detta kan anges inte när det gäller registrering av själva notistexten, där huvuddelen av uppgifterna i registret läggs in. Hälsa Vid inspektionstillfällena kunde konstateras att när det gäller uppgifter om hälsa i anslutning till den s.k. farlighetsmarkeringen fanns i de flesta fall ursprungsregistreringen kvar. Denna kategori av ärenden innehöll även tydliga uppgifter om att den registrerade tidigare hade uppträtt på ett sätt i samband med gripande som medfört risk för smittspridning, t.ex. genom att spotta eller hugga efter polisen med kanyl. I ett fall fanns inte längre någon anteckning som indikerade att personen i fråga hade försökt sprida smitta. I detta fall framgick av övriga uppgifter att vissa notiser gallrats. Politiska åsikter I anslutning till de flesta registreringar som innehöll uppgifter om politiska åsikter återfanns också uppgifter om att den registrerade hade misstänkts för brott såsom våldsamt upplopp, misshandel eller skadegörelse i anslutning till demonstrationer, manifestationer eller liknande. I ett fall fanns dock inte någon anteckning om brottslighet som kunde knytas till att den politiska åsikten manifesterats på något sätt. Även i detta fall framgick av övriga uppgifter att vissa notiser gallrats.

6 (8) I två fall noterades att Autonom AFA hade angetts i grupperingsfältet, dvs. i den sökbara delen av registret. Rutiner och loggning Enligt uppgift från RPS finns inga särskilda rutiner för registrering av känsliga personuppgifter, men det händer att registratorsbehöriga användare tar upp sådana frågor till diskussion med förvaltningsledaren vid RPS. Den kontroll av behandling av känsliga personuppgifter i ASP som sker för närvarande är enligt uppgift enbart sådan som föranleds av iakttagelser från användare, och sådant som upptäcks av förvaltningsledaren i samband med att andra åtgärder utförs i systemet. Nämnden har tagit del av ett loggbeslut avseende ASP från 2006. Av detta framgår att loggning ska ske på visst sätt. Där framgår även att syftet med loggningen framför allt är verksamhetsrelaterat, dvs. att upptäcka hot mot verksamheten. Enligt loggbeslutet ska kontroll av loggarna ske regelbundet av förvaltningsledaren eller den/de denna utser. Enligt uppgift från förvaltningsledaren ligger dock ansvaret för loggkontroll numera på Verksamhetsskyddsenheten på RPS. Varken förvaltningsledaren eller Verksamhetsskyddsenheten utför dock någon systematiserad eller regelbunden loggkontroll i ASP enligt egen uppgift. 6 NÄMNDENS BEDÖMNING Lagstiftaren har, med stöd i internationella rättsligt bindande instrument, infört en mycket restriktiv reglering när det gäller behandlingen av känsliga personuppgifter i polisens brottsbekämpande verksamhet. Genom PDL:s och spaningsregisterlagens reglering har man velat omöjliggöra en kartläggning av människor utifrån exempelvis etnicitet, politisk ståndpunkt eller religiös inriktning. Från integritetssynpunkt är denna reglering av fundamental betydelse. Det åligger RPS att se till att reglerna efterlevs vid behandling av uppgifter där RPS har personuppgiftsansvar, såsom i ASP. Nämndens granskning visar att känsliga personuppgifter förekommer i inte obetydlig omfattning i ASP. Eftersom ett mycket stort antal personer har tillgång till uppgifterna är det av största vikt ur integritetssynpunkt att regelverket kring känsliga personuppgifter följs. Ändamålet för registret, såsom det framgår av 3 spaningsregisterlagen, är att underlätta tillgången till uppgifter som behövs i polisens spaningsverksamhet.

7 (8) Behovsrekvisitet innebär enligt förarbetena att det måste framstå som sannolikt att det finns ett behov av uppgifterna i spaningsverksamheten. 4 I flertalet registreringar framgår det enligt nämndens bedömning av registreringarna i sig att uppgifter om hälsa och politisk åsikt varit absolut nödvändiga för syftet med behandlingen. I två registreringar saknas dock uppgifter som visar på ett behov av att behandla känsliga personuppgifter i det enskilda fallet. I dessa fall finns indikationer på att det funnits tidigare notiser som hunnit gallras vid inspektionstillfället. Mot denna bakgrund saknas förutsättningar för nämnden att bedöma om nämnda registeringar av känsliga personuppgifter om hälsa och politiska åsikter har varit absolut nödvändiga. Det är en brist ur såväl ett integritets- som tillsynsperspektiv, och det kan också ifrågasättas om det är rimligt att en känslig personuppgift ligger kvar i systemet trots att den företeelse som får förmodas ha föranlett anteckningen är så gammal att den har gallrats. Nämnden vill därför uppmana RPS att granska de aktuella registreringarna för en bedömning av om den känsliga personuppgiften bör kvarstå. Om ett nytt system utarbetas för att ersätta ASP bör denna brist åtgärdas, i första hand genom att den känsliga personuppgiften gallras när den notis som föranlett registreringen gallras. I de fall då det anses absolut nödvändigt att uppgiften finns kvar i systemet bör skälet för detta framgå av själva registreringen, genom en hänvisning eller på annat sätt. Eftersom anteckningar i fältet gruppering är sökbara bör benämningen AFA inte förekomma där. AFA definierar sig som ett nätverk med en frihetlig socialistisk grundsyn och en del av en militant utomparlamentarisk vänsterrörelse. Att ange att en person tillhör grupperingen Autonom AFA måste därför anses vara en registrering av politisk åskådning. Även om det skulle anses vara absolut nödvändigt att registrera en sådan uppgift bör den inte läggas in i ett sökbart fält. RPS bör därför se till att ordet AFA raderas ur fältet i de aktuella registreringarna. Det kan konstateras att RPS saknar särskilda rutiner för behandlingen av känsliga personuppgifter i ASP. De rutiner som gäller för registrering generellt innebär att RPS har lagt hela ansvaret för att säkerställa att känsliga personuppgifter inte tillförs ASP i större omfattning än spaningsregisterlagen medger på var och en av de personer som har behörighet att registrera uppgifterna. Nämndens uppfattning är att det inte är tillräckligt att ansvaret läggs enbart på den enskilde användaren. Detta ansvar måste kompletteras med återkommande utbildning, tydliga rutiner och interna riktlinjer samt en effektiv internkontroll. 4 Prop. 2009/10:85 s. 286.

8 (8) Det krävs att personer med registratorsbehörighet har tillräckliga kunskaper om vad som utgör en känslig personuppgift och under vilka förutsättningar en sådan uppgift får behandlas. Nämnden anser att alla registratorsbehöriga användare kontinuerligt bör få utbildning i dessa avseenden, och att arbetet med framtagande och genomförande av en sådan utbildning bör samordnas mellan RPS och polismyndigheterna. Därutöver bör särskilda rutiner inrättas för den noggranna prövning i varje enskilt fall som ska ske innan en känslig personuppgift registreras. Denna prövning kan lämpligen föregås av ett samråd med annan än den som ska utföra registreringen, såsom närmaste chef. De närmare förutsättningarna för registrering av känsliga personuppgifter och rutinerna kring ett sådant beslut bör dokumenteras och spridas på lämpligt sätt. Att rutinerna följts i det enskilda fallet bör dessutom dokumenteras genom anteckning eller liknande i själva systemet. Handboken bör också bearbetas så att information om identifiering och registrering av känsliga personuppgifter generellt tas upp på ett tydligare sätt, även när det gäller löpande notistext. Handboken bör även innehålla en upplysning om förbudet mot att söka på känsliga personuppgifter. RPS föreskrifter på området bör vidare uppdateras för att avspegla regleringen i spaningsregisterlagen. RPS bör också införa rutiner för en regelbunden och systematiserad internkontroll i form av stickprov, för att minska riskerna för att känsliga personuppgifter behandlas i strid med spaningsregisterlagen. Eftersom det finns vissa möjligheter att söka på känsliga personuppgifter och då nämnden har kunnat notera att känsliga personuppgifter ( Autonom AFA ) har registrerats i sökbara fält bör RPS även om detta är tekniskt möjligt införa regelbunden logguppföljning avseende sökning på känsliga personuppgifter. Nämnden avser följa upp vilka åtgärder RPS har vidtagit med anledning av ovannämnda synpunkter. Säkerhets- och integritetsskyddsnämnden beslutar att delge RPS uttalandet.

2025 © DocPlayer.se Sekretesspolicy | Användarvillkor | Kontakta oss