Tillsyn enligt personuppgiftslagen (1998:204) avseende den webbaserade tjänsten Squill

Beslut Dnr 2007-05-02 1625-2006 58-2007 Riksförbundet BRIS Netclean Technologies Sweden AB Tillsyn enligt personuppgiftslagen (1998:204) avseende den webbaserade tjänsten Squill Datainspektionens beslut Datainspektionens bedömer att syftet med behandlingen av personuppgifter i tjänsten Squill, att skydda barn, utgör ett berättigat ändamål som är lagligen grundat enligt 9 och 10 personuppgiftslagen. Med nuvarande utformning av tjänsten kan den dock innebära att BRIS och Netclean Technologies Sweden AB (gemensamt personuppgiftsansvariga) i enstaka fall kommer att behandla uppgifter om lagöverträdelser i strid med 21 personuppgiftslagen. För att tjänsten ska vara förenlig med personuppgiftslagen anser inspektionen att följande åtgärder bör vidtas: 1. Insamling av uppgifter om lagöverträdelser bör förhindras. Exempelvis genom att man ser över rutinerna och inför begränsningar för vilka uppgifter som kan lämnas via Squill. 2. Uppgifter om lagöverträdelser som ändå lämnas ska omedelbart tas bort. 3. Informationen på webbplatsen justeras på så sätt a) att syftet, dvs. att varna barn för olämpliga personer som de kan komma i kontakt med när de deltar i olika nätverk eller chatforum på Internet, klart framgår, samt b) att den nuvarande informationen ändras så att det framgår att BRIS och Netclean Technologies Sweden AB inte som rutin lämnar information från Squill vidare till polisen och att den som önskar göra en polisanmälan själv får vända sig till polisen. Med dessa påpekanden avslutas ärendet. För att säkerställa att behandlingen sker under tillfredställande kontroll avser Datainspektionen att följa upp ärendet. Redogörelse för tillsynsärendet Genom artiklar och inslag i media uppmärksammades Datainspektionen på att BRIS lanserat en webbaserad tjänst Squill för barn- och ungdomar. Datainspektionen beslutade i november 2006 att inleda tillsyn mot BRIS. Som ett led i tillsynen genomfördes en inspektion hos BRIS den 10 januari 2007. Postadress: Box 8114, 104 20 STOCKHOLM E-post: datainspektionen@datainspektionen.se Besöksadress: Fleminggatan 14, plan 9 Telefon: 08-657 61 00 Webbplats: www.datainspektionen.se Telefax: 08-652 86 52

2 (7) Vid inspektionen framkom att BRIS tillsammans med Netclean har ett delat personuppgiftsansvar för Squill. Datainspektionen beslutade därför, den 16 januari 2007, att även inleda tillsyn mot Netclean. Iakttagelser vid inspektionen den 10 januari 2007 Squill lanserades i november 2006. Inledningsvis är det fråga om en försöksverksamhet, som enligt planeringen kommer att pågå fram t.o.m. april/maj 2007. Syftet med Squill är enligt BRIS och Netclean bl.a. att barn ska kunna varna varandra för olämpliga personer som de kan komma i kontakt med när de deltar i olika nätverk eller chatforum på Internet. Squill är en webbaserad tjänst (www.squill.se) och är, något förenklat, uppbyggt av två delar; en del där barn kan söka på ett alias/e-postadress och en del där barn kan anmäla ett alias/epostadress till Squill. Uppgifterna som anmäls till Squill sparas i en databas. Sök- och varningsfunktionen En sökning på ett alias går till så att den som vill söka anger alias/e-postadress i aktuellt fält. Därtill ska uppgift om nätverk anges. Förfrågan skickas och jämförs med uppgifter i Squills databas. Sökresultatet presenteras genom tre alternativa textmeddelanden: blå Var försiktig! Det alias som du frågat på är det inga eller få som tidigare frågat på. Detta innebär inte att du inte ska vara försiktig. Tänk på att du inte kan vara säker på vem det är och var noga med att inte avslöja ditt namn eller annan information som avslöjar var du bor gul Var mycket försiktig. Det här aliaset är det många som har frågat om. Det behöver inte betyda att det är något skumt men det kan också betyda att denna person har betett sig konstigt. Var på din vakt och lämna aldrig ut ditt namn, din adress eller ditt telefonnummer. röd Varning! Det är många som känt sig misstänksamma och frågat om det här aliaset. Detta innebär att du ska vara mycket försiktig och tänk på att inte avslöja för mycket om dig själv. BRIS och Netclean sparar uppgifter om antalet sökningar som gjorts om ett visst alias. Själva aliaset sparas i oläsbar, hashad, form. Genom hashningen är det möjligt för BRIS och Netclean att ta fram uppgifter om hur många gånger ett alias sökts men inte att ta fram själva aliaset. Anmälningsfunktionen Via webbportalen kan barn anmäla alias/e-postadresser till Squill. Anmälaren fyller i alias/e-postadressen på den som ska anmälas, nätverk och eventuellt kompletterande uppgifter i ett fritextfält. De nätverk som anmälaren har att välja mellan är bestämda av BRIS och är uteslutande sådana nätverk som riktar sig till personer som är under 18 år. Anmälaren kan välja att vara anonym eller ange kontaktuppgifter. Anmälan registreras i databasen. Aliaset/e-postadressen sparas i hashad form. Därutöver sparas information om tidpunkt för anmälan, uppgift om nätverk, uppgift om anmälaren (om någon sådan är angiven) och den information som finns angiven i fritextfältet.

3 (7) Anmälan granskas av en av BRIS särskilt utsedd person. Granskaren har att avgöra om aliaset/e-postadressen, mot bakgrund av anmälan och övrig insamlad information, ska klassas som blå, gul eller röd. Granskaren har, utöver aktuell anmälan, tillgång till tidigare anmälningar om aliaset/e-postadressen och information om antalet sökningar som gjorts om aliaset/e-postadressen. Granskaren har även tillgång till en s.k. watch-lista. På watch-listan noteras alias/epostadresser som det enligt granskaren finns anledning att följa upp utan att det vid granskningstillfället finns tillräcklig information för att klassa aliaset/eposten som gul eller röd. Vid inspektionen fanns sammanlagt tio stycken alias/e-postadresser noterade i watch-listan. Sedan starten i november 2006 har Squill tagit emot ca 1 700 anmälningar. Enligt uppgifter i cirka 20 anmälningar misstänkts någon person för att ha begått sexualbrott och i 50-60 anmälningar misstänks någon person för att ha utsatt en annan för fysisk (t.ex. misshandel) eller verbal kränkning. BRIS tar inte kontakt med anmälaren. Det enda undantaget är om anmälaren uttryckligen uppgett att han eller hon vill att BRIS tar kontakt. Möte med BRIS och Netclean Vid ett möte den 28 mars 2007 mellan Datainspektionen, BRIS och Netclean framfördes bl.a. följande. Squill kommer att utvärderas efter försöksperiodens slut den 7 april 2007. Syftet med Squill är att varna barn för olämpliga personer och inte att spåra och verka för att personer som har begått brott lagförs. BRIS och Netclean är beredda, om det skulle behövas, att ändra på tjänsten så att den uppfyller lagstiftningens krav. Informationen på webbplatsen På webbplatsen, under frågor och svar informeras bl.a. om vad Squill är för något, hur uppgifterna sparas, vad som händer vid en anmälan, hur man går till väga om man blivit felaktigt anmäld och om möjligheterna att vara anonym vid en anmälan. Det noteras särskilt att BRIS och Netclean informerar att en anmälan, som är allvarlig, kommer att skickas vidare till polis och aktuellt forum. Under Om Squill informeras att syftet med Squill är att barn ska kunna varna varandra för olämpliga personer på Internet. Skäl för beslutet Behandlar BRIS och Netclean personuppgifter i Squill? Det är Datainspektionens bedömning att BRIS och Netclean behandlar personuppgifter i Squill. Skälen för detta är följande. Enligt 5 personuppgiftslagen omfattas behandling av personuppgifter som är helt eller delvis automatiserad av lagens bestämmelser. Med behandling avses enligt 3 personuppgiftslagen varje tänkt åtgärd eller serie av åtgärder som vidtas i fråga om personuppgifter, såsom t.ex. insamling, bearbetning och användning.

Med personuppgifter avses enligt ovannämnda lagrum all slags information som direkt eller indirekt kan hänföras till en fysisk person som är i livet. 4 (7) Enligt punkt 26 i dataskyddsdirektivet (Rådets direktiv 95/46/EG av den 24 oktober 1995 om skydd för enskilda personer med avseende på behandling av personuppgifter och om det fria flödet av sådana uppgifter) ska man för att avgöra om en person är identifierbar beakta alla hjälpmedel som i syfte att identifiera vederbörande rimligen kan komma att användas antingen av den personuppgiftsansvarige eller av någon annan person. Av förarbetena till den svenska personuppgiftslagen framgår bl.a. följande. Det krävs bara att en fysisk person kan identifieras med hjälp av informationen, inte att den personuppgiftsansvarige själv ska förfoga över samtliga uppgifter som gör identifieringen möjlig. Datainspektionen har i tidigare beslut funnit att Antipiratbyråns och IFPI:s insamling och behandling av IP-adresser och alias för att motverka s.k. piratkopiering på Internet innebär en behandling av personuppgifter (beslut 2005-06- 08, dnr 593-2005, se även Länsrätten i Stockholms dom den 27 december 2006, målnr 15646-05). Inspektionen har även tidigare funnit att digitala bilder på klotter med beteckningar på en enskild klottare, s.k. tag, eller ett gäng klottare, s.k. crew, utgör personuppgifter om polisen kan härleda klottret till en viss person (beslut 2005-08-30, dnr 1020-2005) Av en e-postadress kan en persons namn framgå direkt. Att behandla sådana uppgifter i Squill innebär en behandling av personuppgifter. På liknande sätt kan alias i vissa fall utgöra en s.k. elektronisk identitet så att en behandling av denna är en behandling av personuppgifter. De alias som hanteras inom Squill är sådana som används på chatforum och nätverk. De som tillhandahåller chatforum och nätverk kräver ofta att den aliaset avser registrerar sina personuppgifter hos dem. Genom denna registrering finns således möjligheter att kunna få fram vilken enskild fysisk person som står bakom ett alias (även den IPadress som personen bakom aliaset används sig av vid kommunikationen med forumet eller nätverket kan användas för att identifera denne). Mot denna bakgrund finner Datainspektionen att BRIS och Netclean, vid insamling av alias och e-postadresser i Squill, behandlar personuppgifter. Detta gäller oavsett om BRIS och Netclean inte själva förfogar över samtliga uppgifter som gör identifieringen möjlig. Är personuppgifterna strukturerade på ett sådant sätt att de s.k. hanteringsreglerna i personuppgiftslagen är tillämpliga? Vilka regler i personuppgiftslagen som måste tillämpas beror på hur uppgifterna hanteras. Ska uppgifterna ingå i en strukturerad samling av personuppgifter såsom i en databas eller ett ärendehanteringssystem måste i princip alla regler i personuppgiftslagen beaktas. Är det däremot fråga om behandling av personuppgifter i ostrukturerat material utan koppling till en registerstruktur behöver man inte tillämpa alla regler i personuppgiftslagen. De regler som undantas är de s.k. hanteringsreglerna.

5 (7) BRIS och Netclean behandlar de insamlade uppgifterna i en databas. Uppgifterna är strukturerade utifrån alias/e-postadress och är kopplade till tidpunkt för anmälan, uppgift om nätverk, uppgift om anmälaren (om någon sådan är angiven) och den information som finns angiven i fritextfältet. Vid inspektionen kunde Datainspektionen konstatera att databasens struktur medförde att det var lätt att söka efter och sammanställa information hänförlig till anmäld alias och e-post-adress. Av de uppgifter som framkommit i ärendet gör Datainspektionen bedömningen att de s.k. hanteringsreglerna i personuppgiftslagen är tillämpliga på BRIS och Netcleans behandling av personuppgifter i Squill. Behandlar BRIS och Netclean uppgifter om lagöverträdelser och i så fall är denna behandling tillåten? BRIS och Netclean behandlar uppgifter om lagöverträdelser i Squill. Denna behandling sker i strid med förbudet i 21 personuppgiftslagen. Skälen för detta är följande. Enligt 21 personuppgiftslagen är det förbjudet för andra än myndigheter att behandla personuppgifter om lagöverträdelser som innefattar brott. En uppgift om att någon har eller kan ha begått ett brott utgör en uppgift om lagöverträdelse, även om det inte finns någon dom eller motsvarande beträffande brottet. Bestämmelsen har sin grund i artikel 8.5 dataskyddsdirektivet. I artikeln anges att behandling av uppgifter om lagöverträdelser får utföras endast under kontroll av en myndighet eller om lämpliga skyddsåtgärder finns i nationell lag med förbehåll för de ändringar som medlemsstaterna kan tillåta med stöd av nationella bestämmelser som innehåller lämpliga och specifika skyddsåtgärder. Datainspektionen har meddelat vissa undantag från förbudet i 21 personuppgiftslagen i Datainspektionens föreskrifter (DIFS 1999:3). Inspektionen kan även i enskilda fall, efter ansökan, meddela ett undantag från förbudet. Som framgår av dataskyddsdirektivet har lagstiftaren ansett att uppgifter om lagöverträdelser är särskilt skyddsvärda. I förarbetena (prop. 1997/98:44 s. 75) har uttalats bl.a. att Sådana uppgifter [om lagöverträdelser] är otvivelaktigt av så känslig natur att vem som helst inte bör få hantera uppgifter hur som helst. Å andra sidan står det klart att myndigheter ofta behöver hantera just sådana uppgifter för att kunna fullfölja de samhällsuppdrag som lagts på dem. I vilken utsträckning myndigheter får hantera sådana uppgifter framgår av de föreskrifter som reglerar respektive myndighets verksamhet. Genom sådana föreskrifter har lagstiftaren möjlighet att föreskriva för myndigheter t.ex. för vilka syften uppgifterna får behandlas, vilka uppgifter som får behandlas, vem som har rätt att ta del av uppgifterna, hur felaktiga uppgifter ska rättas, när uppgifterna ska gallras, om uppgifterna omfattas av sekretess och vilken information som den registrerade har rätt till. När det gäller uppgifter om lagöverträdelser är sådana föreskrifter oftast nödvändiga för att kunna garantera att uppgifterna behandlas med lämpliga och specifika skyddsåtgärder i enlighet med dataskyddsdirektivet, t.ex. regleras polisen behandling av uppgifter om misstänkta brottslingar av bl.a. polisdatalagen (1998:622), lagen (1998:621) om misstankeregister och förordning (1999:1135) om misstankeregister.

6 (7) Det sagda innebär att syftet med förbudet är att säkerställa att uppgifter om lagöverträdelser endast behandlas i situationer där dataskyddsdirektivet krav på lämpliga och specifika skyddsåtgärder är uppfyllt. Endast i undantagsfall kan det bli aktuellt för andra än myndigheter att få behandla uppgifter om lagöverträdelser. Datainspektionen har också i sin praxis uttalat att möjligheten att i ett enskilt fall meddela ett undantag ska tillämpas restriktivt (se t.ex. beslut den 30 augusti 2005, dnr 1020-2005, och beslut den 13 oktober 2005, dnr 1019-2005 och 1318-2005). Av utredningen framgår att BRIS och Netclean genom sin insamling och användning av alias och e-postadresser i Squill, som tjänsten är utformad för närvarande, behandlar uppgifter om lagöverträdelser i den mening som avses i 21 personuppgiftslagen. Inget av undantagen i Datainspektionens föreskrifter är tillämpligt och inte heller har inspektionen, för den förevarande tjänsten, meddelat ett särskilt undantag från förbudet. BRIS och Netclean behandlar således uppgifter om lagöverträdelser i strid med förbudet i 21 personuppgiftslagen. Slutsatser Som tillsynsmyndighet har Datainspektionen att verka för att bestämmelserna i personuppgiftslagen följs. I det ligger att inspektionen ska skydda mot missbruk av personuppgifter, t.ex. att oskyldiga pekas ut som misstänkta för sexualbrott eller andra brott. Med nuvarande utformning av tjänsten kan det finnas en risk för detta. Inspektionen har även i ett klagomål fått uppgifter om att så skett i ett enskilt fall. Datainspektionens bedömer att syftet med behandlingen av personuppgifter i tjänsten Squill, att skydda barn, utgör ett berättigat ändamål som är lagligen grundat enligt 9 och 10 personuppgiftslagen. Med nuvarande utformning av tjänsten kan den dock innebära att BRIS och Netclean Technologies Sweden AB (gemensamt personuppgiftsansvariga) i enstaka fall kommer att behandla uppgifter om lagöverträdelser i strid med 21 personuppgiftslagen. För att tjänsten ska vara förenlig med personuppgiftslagen anser inspektionen att följande åtgärder bör vidtas: 1. Insamling av uppgifter om lagöverträdelser bör förhindras. Exempelvis genom att man ser över rutinerna och inför begränsningar för vilka uppgifter som kan lämnas via Squill. 2. Uppgifter om lagöverträdelser som ändå lämnas ska omedelbart tas bort. 3. Informationen på webbplatsen justeras på så sätt a) att syftet, dvs. att varna barn för olämpliga personer som de kan komma i kontakt med när de deltar i olika nätverk eller chatforum på Internet, klart framgår, samt b) att den nuvarande informationen ändras så att det framgår att BRIS och Netclean Technologies Sweden AB inte som rutin lämnar information från Squill vidare till polisen och att den som önskar göra en polisanmälan själv får vända sig till polisen.

7 (7) För att säkerställa att behandlingen sker under tillfredställande kontroll avser Datainspektionen att följa upp ärendet. Detta beslut har - efter hörande av Datainspektionens styrelse - fattats av generaldirektören Göran Gräslund i närvaro av chefsjuristen Leif Lindgren, datarådet Hans-Olov Lindblom, teamledaren Catharina Fernquist samt byrådirektören Jonas Agnvall, föredragande Hur man överklagar Om ni vill överklaga beslutet skall ni skriva till Datainspektionen. Ange i skrivelsen vilket beslut som överklagas och den ändring som ni begär. Inspektionen måste ha fått ert överklagande inom tre veckor från den dag ni fick ta del av beslutet, annars kan överklagandet inte prövas. Datainspektionen sänder överklagandet vidare till Länsrätten i Stockholms län för prövning om inspektionen inte själv ändrar beslutet på det sätt ni har begärt. Göran Gräslund Jonas Agnvall