Beslut efter tillsyn enligt personuppgiftslagen (1998:204)



Relevanta dokument
Beslut efter tillsyn enligt personuppgiftslagen (1998:204)

Beslut efter tillsyn enligt personuppgiftslagen (1998:204)

Beslut efter tillsyn enligt personuppgiftslagen (1998:204)

Beslut efter tillsyn enligt personuppgiftslagen (1998:204)

Beslut efter tillsyn enligt personuppgiftslagen (1998:204)

Beslut efter tillsyn enligt personuppgiftslagen (1998:204)

Beslut efter tillsyn enligt personuppgiftslagen (1998:204) PuL

Tillsyn enligt personuppgiftslagen (1998:204) socialtjänstens behandling av personuppgifter om etniskt ursprung

Beslut efter tillsyn enligt personuppgiftslagen (1998:204)

Tillsyn enligt personuppgiftslagen (1998:204) uppföljning av ärende om Moderaternas medlemsregister

Tillsyn enligt personuppgiftslagen (1998:204) uppföljning av ärende om Sverigedemokraternas medlemsregister

Tillsyn enligt personuppgiftslagen (1998:204) inspelning av telefonsamtal i kundtjänst

Beslut efter tillsyn enligt personuppgiftslagen (1998:204)

Särskild avgift enligt lagen (2000:1087) om anmälningsskyldighet för vissa innehav av finansiella instrument

Särskild avgift enligt lagen (2000:1087) om anmälningsskyldighet för vissa innehav av finansiella instrument

Tillsyn enligt personuppgiftslagen (1998:204)

Överklagande. Prövningstillstånd. Kammarrätten i Göteborg Box Göteborg. Klagande Datainspektionen, Box 8114, Stockholm. Motpart N.

Rutin för rapportering och handläggning av anmälningar enligt Lex Sarah

Beslutet/domen har vunnit laga kraft. Fastighetsmäklarinspektionens avgörande

DOM. SAKEN Återkallelse av permanent uppehållstillstånd MIGRATIONSÖVERDOMSTOLENS DOMSLUT. Migrationsöverdomstolen avslår överklagandet.

VÄGLEDNING FÖRETAGSCERTIFIERING Ansökan, recertifiering och uppgradering Version: (SBSC dok )

REGERINGSRÄTTENS DOM

Regeringskansliet Näringsdepartementet Enheten för transportpolitik Stockholm

HÖGSTA FÖRVALTNINGSDOMSTOLENS DOM

Särskild avgift enligt lagen (1991:980) om handel med finansiella instrument

Beslutet/domen har vunnit laga kraft. Fastighetsmäklarinspektionens avgörande

Beslut efter tillsyn enligt personuppgiftslagen (1998:204) PuL

HÖGSTA FÖRVALTNINGSDOMSTOLENS DOM

BESLUT. Datum Föreläggande vid vite enligt 25 lagen (2002:160) om läkemedelsförmåner m.m. (förmånslagen)

Ansökan om medgivande att fullgöra skolplikten på annat sätt

HÖGSTA DOMSTOLENS BESLUT

Äldreomsorgnämndens rapport till kommunfullmäktige angående antal beslut om bistånd som inte har verkställts till och med 31 mars 2013

Föreläggande förenat med vite för familjedaghemmet SusoDus

Läkemedelsförmånsnämnden avslår ansökan om prishöjning inom läkemedelsförmånerna för produkten E-vimin.

Rutin överklagan av beslut

Föreläggande om åtgärder

När du som vårdpersonal vill ta del av information som finns hos en annan vårdgivare krävs det att:

Samhällsbyggnadsminister Mona Sahlin Miljö- och samhällsbyggnadsdepartementet Stockholm

Mål förvaltningsrätt

Aktiemarknadsnämndens uttalande 2014:

DOM Stockholm

Äldreomsorgnämndens rapport till kommunfullmäktige angående antal beslut om bistånd som inte har verkställts till och med 30 juni 2012

DOM Meddelad i Stockholm

Elsäkerhetsverkets förslag till föreskrifter om ändring i ELSÄK-FS 2013:1

Utdrag ur protokoll vid sammanträde

Webbseminarium 12 oktober 2011, Enkla ärenden. Exempel: Bygglov för uthus

HÖGSTA FÖRVALTNINGSDOMSTOLENS DOM

Socialstyrelsens författningssamling

DOM Stockholm

Svensk författningssamling

Kammarkollegiet Advokatfiskalsenheten

HÖGSTA FÖRVALTNINGSDOMSTOLENS DOM

Samråd om webbaserat verksamhetsstöd till Stockholms stads grundskolor

DOM Meddelad i Jönköping

Patientdatalag för säkrare vård Hantering av personuppgifter

eisa, ZUlb -01- ANGEHOLMS OMMUN FÖRVALTNINGSRÄTTEN UNDERRÄTTELSE/ Aktbilaga 7 I MALMÖ ANMODAN Avdelning Mål nr.

DOM Stockholm

Samhällsbygnadskontoret Laholm

Tillsyn av behandlingen av personuppgifter i allmänhetens terminal m.m.

Informationsmeddelande IM2013:

Försäljningsförbud och betalningsskyldighet för verkets kostnader

HÖGSTA FÖRVALTNINGSDOMSTOLENS BESLUT

ÖVERKLAGAT BESLUT Länsstyrelsens i Västra Götalands län beslut i ärende nr , se bilaga 1

DOM Stockholm

Tillsyn enligt personuppgiftslagen (1998:204) socialtjänstens behandling av personuppgifter om etniskt ursprung

DOM Meddelad i Stockholm

HÖGSTA FÖRVALTNINGSDOMSTOLENS DOM

Xenella Holding AB. Tillägg till Xenella Holding AB:s erbjudandehandling avseende erbjudande till aktieägarna i Allenex AB (publ)

Avgift efter prestation? Komplettering och förtydligande av rapport om fondbolagens avgifter

Brevutskick till väntande patienter

Medborgarförslag angående hur fäder registreras vid fastställande

Svensk författningssamling

Särskilt stöd i grundskolan

Särskild avgift enligt lagen (2000:1087) om anmälningsskyldighet för vissa innehav av finansiella instrument

Beslut efter tillsyn enligt personuppgiftslagen (1998:204) - PuL

Tillsyn enligt personuppgiftslagen (1998:204) användning av s.k. elektroniska nycklar hos ett bostadsbolag

PBL om tidsbegränsade bygglov m.m

HÖGSTA DOMSTOLENS DOM

DOM Stockholm

s-:; -r - Lt 1J..2- ~ 12

Utdrag ur protokoll vid sammanträde Ändrad deklarationstidpunkt för mervärdesskatt. Förslaget föranleder följande yttrande av Lagrådet:

Cirkulärnr: 1998:71 Diarienr: 1998/1328 P-cirknr: :21 Nyckelord: Datum:

1 LAGRÅDET. Utdrag ur protokoll vid sammanträde

Utdrag ur protokoll vid sammanträde Den nya inskrivningsmyndigheten

Arkivreglemente för Hälsinglands Utbildningsförbund Bilaga: Kommentarer och förklaringar.

BOSTADS- ANPASSNINGS- BIDRAG. Bild

el o Katarina Hallenborg Box 32 Överklagande av kommunfullmäktiges beslut att anta detaljplan för fastigheten Höja 17:16, Ängelholms

Utdrag ur protokoll vid sammanträde

DOM Meddelad i Jönköping

Ändring i skatteavtalet mellan Sverige och Schweiz

Aktiemarknadsnämndens uttalande 2013:

Information om nyheter inom Sevesolagstiftningen

Intyg om erfarenhet och lämplighet att undervisa som lärare i gymnasieskolan

DOM Stockholm

Lag. om ändring av lagen om rättegång i brottmål. Utfärdad i Helsingfors den 12 juni 2015

Beslut för gymnasieskola

Svensk författningssamling

Svensk författningssamling

Tillsyn enligt personuppgiftslagen (1998:204)

Tillsyn av behandlingen av personuppgifter i allmänhetens terminal m.m.

Transkript:

Datum Diarienr 2013-06-17 343-2013 Bostads AB Poseidon Box 1 424 21 ANGERED Beslut efter tillsyn enligt personuppgiftslagen (1998:204) Datainspektionens beslut Datainspektionen konstaterar att Bostads AB Poseidon behandlat känsliga personuppgifter i strid med 13 personuppgiftslagen. Datainspektionen konstaterar att Bostads AB Poseidons personuppgiftsbehandling stått i strid med kravet på god sed i 9 punkt b) personuppgiftslagen genom att behandlingen av känsliga personuppgifter inte stått i överensstämmelse med vad som föreskrivs i branschöverenskommelsen Behandling av personuppgifter, inklusive kameraövervakning, vid uthyrning av bostäder. Datainspektionen förutsätter att Bostads AB Poseidon fortsätter det arbete som påbörjats i syfte att förhindra att personuppgifter fortsättningsvis behandlas i strid med 13 personuppgiftslagen och branschöverenskommelsen. Ärendet avslutas, men kan komma att följas upp. Redogörelse för tillsynsärendet Datainspektionen har uppmärksammat att det förekommit otillåten registrering av personuppgifter om hyresgäster hos kommunala bostadsbolag i Göteborg, bl.a. Bostads AB Poseidon (bolaget). Registreringen uppdagades då en revisionsbyrå på uppdrag av Stadsrevisionen i Göteborg gick igenom bl.a. bostadsbolagens hantering av hyresgästers personuppgifter. Av Stadsrevisionens rapport framgår att revisionsbyrån påträffade bl.a. 341 noteringar med känsliga personuppgifter i bolagets fastighetssystem. Samtliga rör noteringar om hyresgästers hälsa, i åtta fall inklusive diagnoser. Postadress: Box 8114, 104 20 Stockholm E-post: datainspektionen@datainspektionen.se Besöksadress: Drottninggatan 29, plan 5 Telefon: 08-657 61 00 Webbplats: www.datainspektionen.se Telefax: 08-652 86 52

Datainspektionen har inlett tillsyn mot bolaget, som har yttrat sig. I yttrandet anförs i huvudsak följande. Bostadsbolagen inom Framtiden-koncernen, där bolaget ingår, har under de senaste åren infört ett nytt fastighetssystem, FAST2. Fastighetssystemet utgör bolagets huvudsakliga IT-stöd för kärnprocesserna uthyrning, hyresadministration och teknisk förvaltning. De känsliga personuppgifter som påträffats vid granskningen förekom i form av noteringar avseende betalningsärenden såsom anstånd med hyresinbetalning. Beträffande uppgifter avseende betalningsärenden har noteringar rörande hyresgästers betalningar och orsaken till uteblivna betalningar noterats. Den vanligaste orsaken till att noteringar förts om just sjukdomstillstånd har varit att hyresgästen själv eller någon närstående uppgett denna information för att förklara varför hyresbetalningen inkommit/förväntas inkomma för sent. Syftet med noteringar om sjukdomstillstånd var att undvika situationer där hyresgästen riskerar att bli föremål för onödiga kravåtgärder. Bolaget har genomfört noteringar om sina hyresgäster i syfte att uppmärksamma bolagets handläggare på hyresgästernas särskilda situationer och behov. Några av uppgifterna borde inte ha registrerats alls. Vid noteringar om hälsouppgifter borde bolaget enligt branschöverenskommelsen ha inhämtat skriftligt samtycke i dessa fall, även om bolaget är övertygat om att noteringarna har skett i samförstånd mellan den sjuke eller deras nära anhörig och bolagets personal. Bolaget har infört nya rutiner och förtydligade riktlinjer för registrering av personuppgifter. Notering av hälsouppgifter ska endast vid nödvändiga situationer hanteras efter samtycke. Samtlig personal inom bolaget har delgetts information om de nya rutinerna och ett koncerngemensamt arbete har initierats för att skapa enhetliga riktlinjer för hanteringen av problematiken kring vad som får noteras, samt hanteringen av andra gemensamma frågeställningar kring dokumenteringshanteringsplan och gallring. Ytterligare utbildning kommer att hållas för all personal gällande personuppgiftslagen och dokumenthantering. Utöver den åldersrelaterade gallring som genomförts enligt gällande dokumenthanteringsplan har gallring av vissa känsliga uppgifter skett efter att bolaget uppmärksammats på dem. Arkivnämnden för Västra Götalandsregionen och Göteborgs stad har fattat beslut den 12 mars 2013 som möjliggör gallring av de uppgifter som behandlats felaktigt och som inte omfattas av gällande dokumenthanteringsplan. Gallring av de aktuella uppgifterna får ske sex månader efter arkivnämndens beslut. Sida 2 av 5

Genom den nya FAST2-versionen som togs i bruk i mars 2013 har gallringsfunktionaliteten förbättrats. Förnyad och utökad genomsökning av databasen har nyligen skett. Bolaget har identifierat behov av förbättrad gallringsfunktionalitet i FAST2 avseende fritextfält då dessa i dag inte kan gallras efter registreringsdatum utan särskild handläggning. Detta ska emellertid omhändertas i kommande utveckling. För att underlätta den framtida kvalitetssäkringen så att bolaget ska kunna söka i databasen på valfria ord har denna funktion beställts av systemleverantören FAST2. Skäl för beslutet Sammanfattning Bolaget har behandlat känsliga uppgifter i strid med personuppgiftslagen och branschöverenskommelsen. Bolaget har därefter infört nya rutiner i syfte att motverka felaktig personuppgiftsbehandling och genomfört så pass omfattande informationsinsatser bland sin personal att Datainspektionen finner anledning att anta att bolaget fortsättningsvis kommer att behandla personuppgifter i enlighet med personuppgiftslagen och branschöverenskommelsen. Datainspektionen kan komma att följa upp ärendet vid senare tillfälle. Känsliga personuppgifter Det är enligt 13 personuppgiftslagen förbjudet att behandla s.k. känsliga personuppgifter, bl.a. uppgift om hälsa. Det är trots förbudet i vissa fall tillåtet att behandla känsliga uppgifter, bl.a. om den registrerade lämnat sitt uttryckliga samtycke till behandlingen. Datainspektionen konstaterar att bolaget i flera fall registrerat känsliga personuppgifter om sina hyresgäster utan den registrerades samtycke. Bolaget har därmed behandlat känsliga personuppgifter i strid med 13 personuppgiftslagen. Krav på god sed Av 9 punkt b personuppgiftslagen framgår att all behandling av personuppgifter ska ske i enlighet med god sed. Lagen ger utrymme för branschorganisationer att närmare utforma sådana seder. I syfte att skapa en gemensam god sed för behandling av personuppgifter på bostadshyresmarknaden har Fastighetsägarna Sverige och SABO i samarbete med Hyresgästföreningen tagit fram en branschöverenskommelse, Behandling av personuppgifter, inklusive kameraövervakning, vid uthyrning av bostäder. Branschöverenskommelsen i sin nuvarande lydelse gäller sedan april 2010. Det framgår av branschöverenskommelsen (s. 7) att undantag från förbudet mot behandling av känsliga personuppgifter får ske om behandlingen sker Sida 3 av 5

med den registrerades samtycke. Vad sedan gäller sättet för inhämtande av samtycket sägs följande: Endast den omständigheten att den registrerade har lämnat en uppgift innebär inte att samtycke finns. Samtycket ska vara uttryckligt. I en fastighetsförvaltning bör generellt tillämpas den ordningen att en känslig uppgift aldrig registreras utan skriftligt samtycke. Av 15 personuppgiftslagen framgår att ett samtycke ska vara uttryckligt. Ett uttryckligt samtycke kan vara såväl skriftligt som muntligt. Branschöverenskommelsens krav på att ett samtycke ska vara skriftligt går således längre än kraven i 15 personuppgiftslagen. Datainspektionen konstaterar att bolaget har behandlat känsliga personuppgifter utan att inhämta de registrerades skriftliga samtycke. Bolaget har därmed behandlat personuppgifter på ett sätt som avviker från vad som föreskrivs om inhämtande av samtycke i branschöverenskommelsen. Vad branschöverenskommelsen innehåller om inhämtande av samtycke får anses ge uttryck för vad som betraktas som god sed. Bolaget får därmed anses ha behandlat personuppgifter i strid med god sed enligt 9 första stycket punkt b) personuppgiftslagen. Slutsatser Bolaget har behandlat personuppgifter i strid med personuppgiftslagen och branschöverenskommelsen. Bolaget har numera infört nya rutiner och förtydligade riktlinjer för registrering av personuppgifter. Bolaget har informerat samtlig personal om de nya rutinerna och genomfört utbildningar i personuppgiftslagen. Gallring av vissa känsliga uppgifter har skett och arkivnämnd har fattat beslut som möjliggör att gallring får ske av de uppgifter som behandlats felaktigt. Datainspektionen förutsätter att bolagets åtgärder kommer att förhindra att personuppgifter fortsättningsvis behandlas i strid med personuppgiftslagen och branschöverenskommelsen. Därmed saknas anledning att vidta ytterligare åtgärder i anledning av det inträffade. Ärendet kan därför avslutas, men kan komma att följas upp. Hur man överklagar Om ni vill överklaga beslutet skall ni skriva till Datainspektionen. Ange i skrivelsen vilket beslut som överklagas och den ändring som ni begär. Inspektionen måste ha fått ert överklagande inom tre veckor från den dag ni fick ta del av beslutet, annars kan överklagandet inte prövas. Datainspektionen sänder Sida 4 av 5

överklagandet vidare till Förvaltningsrätten i Stockholms län för prövning om inspektionen inte själv ändrar beslutet på det sätt ni har begärt. Hans Kärnlöf Kopia till: Klaganden Sida 5 av 5

2025 © DocPlayer.se Sekretesspolicy | Användarvillkor | Kontakta oss