Rikspolisstyrelsens IT-system OBS-portalen

Relevanta dokument
Rikspolisstyrelsens rutiner för och kontroll av behandling av känsliga personuppgifter i det centrala kriminalunderrättelseregistret, KUR

Rikspolisstyrelsens rutiner för och kontroll av behandling av känsliga personuppgifter i polisens allmänna spaningsregister, ASP

Säkerhetspolisens behandling av känsliga personuppgifter i fristående databaser

Polismyndighetens behandling av personuppgifter i signalementsregistret

Uppföljning av polismyndigheternas användning av centrala säkerhetsloggen

Polismyndigheten i Östergötlands läns behandling av personuppgifter i underrättelseverksamheten

Åklagarmyndighetens användning av s.k. postkontroll

Granskning av polismyndigheternas användning av centrala säkerhetsloggen

Postadress Telefon E-post Organisationsnummer Box 22523, Stockholm

Postadress Telefon E-post Organisationsnummer Box 22523, Stockholm

Postadress Telefon E-post Organisationsnummer Box 22523, Stockholm

Nämnden är kritisk till att Polismyndigheten inte har genomfört någon logguppföljning avseende de granskade uppgiftssamlingarna.

Personuppgiftsansvar för behandling av personuppgifter i det centrala kriminalunderrättelseregistret, KUR

Tillsyn enligt personuppgiftslagen (1998:204) Polismyndighetens behandling av personuppgifter i belastningsregistret och misstankeregistret

Postadress Telefon E-post Organisationsnummer Box 22523, Stockholm

Dåvarande Rikspolisstyrelsens register över spaningsfilmer.

Beslut efter tillsyn enligt personuppgiftslagen (1998:204)

Beslut efter tillsyn enligt personuppgiftslagen (1998:204)

Polismyndigheternas behandling av känsliga personuppgifter

Tillsyn av behandlingen av personuppgifter i allmänhetens terminal m.m.

Tillsyn av behandlingen av personuppgifter i allmänhetens terminal m.m.

Polismyndighetens nya allmänna spaningsregister

Loggning och logguppföljning i Polismyndighetens säkerhetslogg

Beslut efter tillsyn behörighetsstyrning och loggkontroll inom kommunal hälso- och sjukvård

Beslut efter tillsyn behörighetsstyrning och loggkontroll inom kommunal hälso- och sjukvård

Tillsyn patientens rätt till spärr enligt 4 kap. 4 och 6 kap. 2 patientdatalagen

Tillsyn patientens rätt till spärr enligt 4 kap. 4 och 6 kap. 2 patientdatalagen

Nämnden bedömer att den granskade personuppgiftsbehandlingen är förenlig med PDL:s bestämmelser.

Yttrande över Departementspromemorian Domstolsdatalag (DS 2013:10)

Tillsyn enligt personuppgiftslagen (1998:204) avseende behörighetsstyrning i ParaGå

Beslut efter tillsyn enligt personuppgiftslagen (1998:204)

Polismyndighetens behandling av känsliga personuppgifter i uppgiftssamling om inhemsk extremism

Vägtrafikregisterutredningens betänkande (SOU 2010:76) Transportstyrelsens databaser på vägtrafikområdet integritet och effektivitet

Beslut efter tillsyn behörighetsstyrning och loggkontroll inom kommunal hälso- och sjukvård

Tilldelning och användning av behörigheter i DurTvå

Tillsyn enligt personuppgiftslagen (1998:204) Utökat elektroniskt informationsutbyte

Tillsyn enligt kameraövervakningslagen (2013:460) kameraövervakning av anställda på Lindex Sverige AB

Granskning av ärenden vid Åklagarkammaren i Östersund där den enskilde inte underrättats om hemlig tvångsmedelsanvändning

Behandlingen av personuppgifter i Länskriminalpolisen i Västra Götalands uppgiftssamlingar med spaningsfilmer

Polismyndighetens behandling av personuppgifter i underrättelseverksamheten

Postadress Telefon E-post Organisationsnummer Box 22523, Stockholm

Tillsyn enligt personuppgiftslagen (1998:204) - Sammanhållen journalföring 6 kap. patientdatalagen

Tillsyn enligt kameraövervakningslagen (2013:460) kameraövervakning av anställda på MQ Retail AB

Tillsyn enligt kreditupplysningslagen (1973:1173) och personuppgiftslagen (1998:204)

Uppföljning av tidigare granskning avseende Rikspolisstyrelsens behandling av personuppgifter i penningtvättsregistret

Postadress Telefon E-post Organisationsnummer Box 22523, Stockholm

Uppföljning av Polismyndigheten i Skånes behandling av personuppgifter i uppgiftssamlingen benämnd Kringresande

Tillsyn enligt kreditupplysningslagen (1973:1173) kreditupplysningsföretagets ansvar att kontrollera beställarens legitima behov

Tillsyn enligt personuppgiftslagen (1998:204) Behandling av personuppgifter i e-post

Beslut efter tillsyn enligt personuppgiftslagen (1998:204)

Tillsyn enligt personuppgiftslagen (1998:204) angående publicering av personuppgifter på Internet

Tillsyn enligt personuppgiftslagen (1998:204) Kameraövervakning vid Hemköp i Östersund

Klagande Datainspektionen, Box 8114, Stockholm. Motpart MarknadsTing i Gånarp AB, Munka Ljungby

Finansdepartementet. Avdelningen för offentlig förvaltning. Ändring i lagen om lägenhetsregister

Delbetänkande av Jaktlagsutredningen: Vildsvin och viltskador om utfordring, kameraövervakning och arrendatorers jakträtt (SOU 2014:54)

Bevarande av personuppgifter i Säkerhetspolisens dokument- och ärendehanteringssystem

Tillsyn enligt personuppgiftslagen (1998:204) Bolagsverkets utlämnande av personuppgifter till Bisnode AB

Tillsyn enligt personuppgiftslagen (1998:204) Barn och grundskolenämnden i Täbys behandling av personuppgifter i VKlass

Användningen av kvalificerade skyddsidentiteter inom det särskilda personsäkerhetsarbetet

Tillsyn patienternas rätt till spärr enligt 4 kap. 4 och 6 kap. 2 patientdatalagen

Tillsyn enligt personuppgiftslagen (1998:204) avseende den webbaserade tjänsten Squill

Beslut efter tillsyn enligt personuppgiftslagen (1998:204) PuL

Tillsyn enligt kameraövervakningslagen (2013:460) kameraövervakning av anställda på Hemköpskedjan AB

Tillsyn enligt personuppgiftslagen (1998:204) behandling av personuppgifter vid rutinkontroll av förares innehav av taxiförarlegitimation

Polismyndighetens behandling av personuppgifter i underrättelseverksamheten

Behandlingen av personuppgifter i Rikskriminalpolisens register över spaningsfilmer

Tillsyn enligt personuppgiftslagen (1998:204) användning av s.k. elektroniska nycklar hos ett bostadsbolag

Rikspolisstyrelsens författningssamling

Postadress Telefon E-post Organisationsnummer Box 22523, Stockholm

Polismyndighetens behandling av personuppgifter i mappstrukturer vid region Öst

Tillsyn enligt personuppgiftslagen (1998:204) Behandling av känsliga personuppgifter i mobila enheter

Tillsyn över Säkerhetspolisens utlämnande av personuppgifter till underrättelse- och säkerhetstjänster i andra stater

Säkerhetspolisens användning av s.k. misstankemärkning i it-systemet för bearbetning och analys

Beslut efter tillsyn enligt personuppgiftslagen (1998:204)

Beslut efter tillsyn enligt personuppgiftslagen (1998:204)

Tillsyn enligt personuppgiftslagen (1998:204) av Göteborgs universitet (Svensk nationell datatjänst)

Beslut efter tillsyn enligt personuppgiftslagen (1998:204) PuL

Användning av en kvalificerad skyddsidentitet som upphört att gälla vid Polismyndigheten, region Nord

Inhämtning av uppgifter om elektronisk kommunikation vid Polismyndigheten (region Stockholm)

Postadress Telefon E-post Organisationsnummer Box 22523, Stockholm

Yttrande över departementspromemorian Domstolsdatalag (Ds 2013:10)

Tillsyn enligt personuppgiftslagen (1998:204) Intern åtkomst till personuppgifter hos Migrationsverket

Användning av kvalificerade skyddsidentiteter inom Polismyndighetens undercoververksamhet

Tillsyn enligt personuppgiftslagen (1998:204) Kameraövervakning inomhus i skola

Tillsyn enligt personuppgiftslagen (1998:204) Utökat elektroniskt informationsutbyte

HÖGSTA FÖRVALTNINGSDOMSTOLENS DOM

Fastighetsmäklarinspektionens avgörande

Beslut efter tillsyn enligt personuppgiftslagen (1998:204)

Tillsyn enligt personuppgiftslagen (1998:204) 4 kap. patientdatalagen

Beslut efter tillsyn enligt personuppgiftslagen (1998:204) PuL

Tillsyn enligt personuppgiftslagen (1998:204) Kameraövervakning inomhus i skola

Säkerhetspolisens behandling av personuppgifter om barn i ett it-system för bearbetning och analys

Yttrande över betänkandet Slag i luften En utredning om myndigheter, mansvåld och makt (SOU 2004:121)

Datainspektionens beslut

Tillsyn patienternas rätt till spärr enligt 4 kap. 4 och 6 kap. 2 patientdatalagen

Samråd enligt 2 och 3 patientdataförordningen

SÄKERHETS- OCH Ändrade förhållanden under verkställighet av hemlig teleavlyssning och hemlig teleövervakning, m.m. 1.

Postadress Telefon E-post Organisationsnummer Box 22523, Stockholm

Uppföljning av Polismyndighetens behandling av personuppgifter i signalementsregistret avseende gallring av och tillgången till uppgifter

Tillståndsprövning enligt lagen (2006:1006) om tillståndsplikt för vissa kampsportsmatcher

Transkript:

Samrådsyttrande SÄKERHETS- OCH INTEGRITETSSKYDDSNÄMNDEN 2013-03-21 Dnr 230-2012 Rikspolisstyrelsens IT-system OBS-portalen 1 SAMMANFATTNING Säkerhets- och integritetsskyddsnämnden rekommenderar Rikspolisstyrelsen att: Införa tekniska lösningar för att förhindra eller i vart fall försvåra möjligheterna till sökning på känsliga personuppgifter i OBSportalen. Differentiera behörigheterna i den del av systemet som har störst spridning, OBS-info, i högre utsträckning för att ett tillräckligt skydd för den personliga integriteten ska uppnås. Införa och dokumentera särskilda rutiner för den noggranna prövning som ska ske innan en känslig personuppgift registreras. 2 OM SAMRÅDET Rikspolisstyrelsen är enligt 2 polisdataförordningen (2010:1155) skyldig att samråda med nämnden i fråga om behandling av känsliga personuppgifter när vissa nya IT-system planeras. Rikspolisstyrelsen har i skrivelse, som inkom till nämnden den 29 november 2012, begärt samråd avseende IT-systemet OBS-portalen. OBS-portalen är ett nytt nationellt system för att sprida operativ brotts-, spanings- och kriminalunderrättelseinformation, där känsliga personuppgifter kommer att behandlas. Nämndens kansli har ställt vissa kompletterande frågor till Rikspolisstyrelsen, som inkommit med svar. Nedanstående yttrande baseras på den skriftliga information som nämnden fått av Rikspolisstyrelsen. Yttrandet innebär inte att nämnden uttalar sig om lagligheten av den behandling av uppgifter som kommer att ske i systemet. Postadress Telefon E-post Organisationsnummer Box 22523, 104 22 Stockholm 08-617 98 00 sakint@sakint.se 202100-5703 Besöksadress Telefax Webbplats Bankgiro Norr Mälarstrand 6, Stockholm 08-617 98 88 www.sakint.se 782-4329

2 3 NÄMNDENS BEDÖMNING 3.1 Förbudet mot att söka på känsliga personuppgifter Tekniska hinder mot att söka på känsliga personuppgifter bör införas Enligt Rikspolisstyrelsen saknas det tekniska hinder mot att söka på känsliga personuppgifter i OBS-portalen. Nämnden rekommenderar i första hand att Rikspolisstyrelsen inför tekniska lösningar för att förhindra eller i vart fall försvåra möjligheterna till sökning på känsliga personuppgifter i OBSportalen. I ett så omfattande system som OBS-info är det särskilt angeläget att förbudet mot sökning på känsliga personuppgifter följs. Förbudet som är absolut syftar till att förhindra att integritetskänsliga sammanställningar av information kan göras, exempelvis kartläggningar av personer med viss politisk ståndpunkt eller religiös inriktning. Från integritetssynpunkt är denna reglering av fundamental betydelse. Ansvaret för att sökförbudet efterlevs bör därför inte enbart läggas på den enskilde tjänstemannen. En utgångspunkt måste istället vara att Rikspolisstyrelsen aktivt söker tekniska lösningar som omöjliggör otillåtna sökningar. Behovet av information, utbildning och logguppföljning Om det inte införs tekniska hinder mot att söka på känsliga personuppgifter i ett IT-system måste det enligt nämnden ställas särskilt höga krav på information och utbildning om vad som är en känslig personuppgift och om sökförbudet samt på myndighetens uppföljning av användarnas sökningar. Enligt Rikspolisstyrelsen kommer användarna kunna få information om sökförbudet och en upplysning om att samtliga sökningar loggas genom att klicka på en länk intill sökfältet i OBS-portalen. Nämnden ser positivt på att användaren informeras, men anser att informationen i länken bör utvecklas med exempel på känsliga personuppgifter för att ge användaren ett bättre underlag för sin bedömning av om ett visst sökbegrepp är en känslig personuppgift. Även metodhandboken för OBS-portalen bör uppdateras på motsvarande sätt för att ge ett bättre stöd till redaktörer och läsare. Nämnden har inte fått någon information om vilken utbildning användare med läsbehörighet i de delar av portalen som innehåller personuppgifter kommer att få. Nämnden rekommenderar att användarna återkommande utbildas om vad som är en känslig personuppgift och om sökförbudet. Nämndens tillsyn över den öppna polisens personuppgiftsbehandling har hittills visat att den interna kontrollen i form av stickprov och logguppföljning alltför ofta brister (se nämndens redovisning av tillsynsverksamheten avseende

3 polisens personuppgiftsbehandling, dnr 35-2013). Om det inte införs tekniska hinder mot sökningar på känsliga personuppgifter i OBS-portalen, anser nämnden att logguppföljning och stickprov måste genomföras mer frekvent och effektivt än vad nämndens granskning visat hittills. Sökningar som avser en gärningsmans tillvägagångssätt Enligt Rikspolisstyrelsen ska det vara möjligt att söka på exempelvis ordet bög i OBS-portalen eftersom ordet skulle kunna registreras om det ingår i en beskrivning av en eftersökt gärningsmans tillvägagångssätt, såsom att ordet alltid yttras i samband med misshandel. Ordet är i det fallet inte hänförligt till någon enskild person och alltså inte en personuppgift. Nämnden anser inte att sådana sökningar bör tillåtas. Även om registreringen av ett ord som skulle ha varit en känslig personuppgift om det kopplats till en viss person inte innebär en behandling av en känslig personuppgift, skulle sökningar på sådana ord innebära en risk för träffar som avslöjar känsliga personuppgifter och därmed omfattas av förbudet i 3 kap. 5 första stycket polisdatalagen (2010:361). 1 4.2 Alltför vida behörigheter Nämnden anser att den presenterade behörighetstilldelningen, i framför allt den del av portalen som kallas OBS-info, framstår som alltför vid ur ett integritetsskyddsperspektiv. Nämnden rekommenderar därför Rikspolisstyrelsen att införa en mer differentierad behörighetstilldelning. Vid personuppgiftsbehandling i stora uppgiftssamlingar är begränsningar av tillgängligheten för användarna ett viktigt integritetsskydd, vilket avspeglas i polisdatalagens krav på att tillgången till personuppgifter begränsas till vad varje tjänsteman behöver för att fullgöra sina arbetsuppgifter (2 kap. 11 polisdatalagen). Enligt förarbetena riktar sig kravet på begränsning bland annat till dem som ansvarar för utformningen av nya datasystem, och det betonas att polisdatalagen ställer högre krav än tidigare på att polisen genom tekniska åtgärder begränsar den enskilde tjänstemannens tillgång till information. 2 I OBS-portalen är användarens behörighet knuten till flikar i gränssnittet. Under flikarna KUT-sam och OBS-info kommer personuppgifter att behandlas. Enligt Rikspolisstyrelsen ger behörighet till KUT-sam respektive OBS-info åtkomst till samtliga uppgifter från hela landet. KUT-sam kommer enligt Rikspolisstyrelsen att ha 500 behöriga användare inom kriminalunderrättelsetjänsten (KUT). OBS-info ersätter de regionala KUTinfosystemen och kommer enligt Rikspolisstyrelsen att ha 20 000 till 25 000 1 Jfr. prop. 2009/10:85 s. 156. 2 A. prop. s. 270 och 326.

4 behöriga användare. Nämndens tidigare granskning har visat att känsliga personuppgifter förekommit i inte obetydlig omfattning i KUT-info (Polismyndigheternas behandling av känsliga personuppgifter i KUT-info, dnr 176-2012). När nu KUT-info ersätts av OBS-info och informationen därmed får nationell spridning är en differentierad behörighetstilldelning nödvändig för att tillvarata integritetsintresset. Nämnden ifrågasätter om 20 000 till 25 000 användare har behov av behörighet till alla uppgifter i OBS-info för att kunna fullgöra sina arbetsuppgifter. Även om tillgången till personuppgifter i KUT-sam är betydligt mer begränsad vill nämnden uppmana RPS att överväga om så många som 500 KUT-anställda har behov av full behörighet till KUT-sam för att kunna fullgöra sina arbetsuppgifter, och om integritetsskyddsintresset har beaktats i tillräcklig mån. 4.3 Rutiner i samband med registrering av känsliga personuppgifter Nämnden rekommenderar att särskilda rutiner införs för den noggranna prövning som ska ske innan en känslig personuppgift registreras och att rutinen dokumenteras. Såväl nämnden som Datainspektionen har tidigare pekat på behovet av sådana rutiner (ovannämnda uttalande, samt Datainspektionens beslut den 20 november 2012, dnr 604-2012 och 605-2012). Som nämnden har konstaterat tidigare bör prövningen föregås av ett samråd med annan än den som ska utföra registreringen, såsom närmaste chef. Dessa rutiner bör dokumenteras och spridas på lämpligt sätt bland redaktörerna. Att rutinerna följts och beslut fattats i det enskilda fallet bör dessutom dokumenteras genom en anteckning eller liknande i själva systemet. Nämndens rekommendation i detta avseende är föranledd av den restriktivitet som ligger i begreppet absolut nödvändigt, vilket enligt förarbetena innebär att en noggrann prövning måste ske i varje enskilt fall innan en registrering av känsliga personuppgifter görs. 3 Nämnden menar att en sådan noggrann prövning förutsätter tydliga rutiner och någon form av intern beredning. Detta samrådsyttrande har beslutats av Säkerhets- och integritetsskyddsnämnden. I beslutet har ledamöterna Sigurd Heuman, ordförande, Susanne Nylund, Leif Hallberg, Berit Jóhannesson, Alf Karlsson, Eric Myrin och Stefan Tornberg deltagit. Föredragande har varit Elisabeth Hedborg. Sigurd Heuman Elisabeth Hedborg 3 Prop. 2009/10:85 s. 325.

5 Sändlista: Rikspolisstyrelsen Kopia för kännedom: Datainspektionen

2024 © DocPlayer.se Sekretesspolicy | Användarvillkor | Kontakta oss