Tillsyn enligt personuppgiftslagen (1998:204) Arbetsmiljöverkets användning av Facebook



Relevanta dokument
Tillsyn enligt personuppgiftslagen (1998:204) Aktiebolaget Gröna Lunds Tivolis användning av Facebook

Tillsyn enligt personuppgiftslagen (1998:204) Katrineholms kommuns användning av s.k. sociala medier

Beslut efter tillsyn enligt personuppgiftslagen (1998:204)

Tillsyn enligt personuppgiftslagen (1998:204) inspelning av telefonsamtal i kundtjänst

Tillsyn enligt personuppgiftslagen (1998:204) uppföljning av ärende om Sverigedemokraternas medlemsregister

Tillsyn enligt personuppgiftslagen (1998:204) socialtjänstens behandling av personuppgifter om etniskt ursprung

Beslut efter tillsyn enligt personuppgiftslagen (1998:204) PuL

Beslut efter tillsyn enligt personuppgiftslagen (1998:204)

Tillsyn enligt personuppgiftslagen (1998:204) uppföljning av ärende om Moderaternas medlemsregister

Regeringskansliet Näringsdepartementet Enheten för transportpolitik Stockholm

Rutin för rapportering och handläggning av anmälningar enligt Lex Sarah

Vägledning. De nordiska konsumentombudsmännens ståndpunkt om dold marknadsföring

Beslut för gymnasieskola

Tillsyn enligt personuppgiftslagen (1998:204)

Överklagande. Prövningstillstånd. Kammarrätten i Göteborg Box Göteborg. Klagande Datainspektionen, Box 8114, Stockholm. Motpart N.

Beslutet/domen har vunnit laga kraft. Fastighetsmäklarinspektionens avgörande

Beslutet/domen har vunnit laga kraft. Fastighetsmäklarinspektionens avgörande

En stärkt yrkeshögskola ett lyft för kunskap (Ds 2015:41)

Särskilt stöd i grundskolan

Beslut för grundsärskola

HÖGSTA FÖRVALTNINGSDOMSTOLENS DOM

PBL om tidsbegränsade bygglov m.m

Särskild avgift enligt lagen (1991:980) om handel med finansiella instrument

HÖGSTA FÖRVALTNINGSDOMSTOLENS DOM

Socialstyrelsens författningssamling

Administratör Rollbeskrivning och stödjande instruktion. e-tjänst för ansökan om statsbidrag Senast uppdaterad:

Likabehandlingsplan för läsåret

Region Skåne Fråga om utformning av fördelningsnyckel i ramavtal för radiologiprodukter

Arbeta bäst där du är Dialect Unified Mi

Tillsyn enligt personuppgiftslagen (1998:204) angående publicering av personuppgifter på Internet

Förberedelser inför EU:s dataskyddsförordning

Ändrad rätt till ersättning för viss mervärdesskatt för kommuner

HÖGSTA FÖRVALTNINGSDOMSTOLENS BESLUT

Beslut efter uppföljning för gymnasieskola med yrkes- och introduktionsprogram

BESLUT. Datum Föreläggande vid vite enligt 25 lagen (2002:160) om läkemedelsförmåner m.m. (förmånslagen)

Gemensamma författningssamlingen avseende hälso- och sjukvård, socialtjänst, läkemedel, folkhälsa m.m.

Informationsmeddelande IM2013:

HÖGSTA DOMSTOLENS BESLUT

Trygghet och studiero

Informationssäkerhet

Beslut för Föreningen Fogdaröd Omsorg, Vård & Utbildning Utan Personligt ansvar

Särskild avgift enligt lagen (2000:1087) om anmälningsskyldighet för vissa innehav av finansiella instrument

Detta kan du förvänta dig av kommunens service. Lokala värdighetsgarantier inom socialtjänstens omsorg om äldre

När du som vårdpersonal vill ta del av information som finns hos en annan vårdgivare krävs det att:

VÄGLEDNING FÖRETAGSCERTIFIERING Ansökan, recertifiering och uppgradering Version: (SBSC dok )

Statsbidrag för läxhjälp till huvudmän 2016

Diarienummer: 15Li1528. Tematillsyn ATG 2015 Marknadsföring 1(10)

1. Problemet. Myndigheten för samhällsskydd och beredskap Konsekvensutredning 1 (5) Datum

Beslut för gymnasieskola

Avgifter i skolan. Informationsblad

VÅLD HOT OCH. inom omsorg och skola

Utdrag ur protokoll vid sammanträde Ändrad deklarationstidpunkt för mervärdesskatt. Förslaget föranleder följande yttrande av Lagrådet:

Ersättningsperiod vid anmälan om höjd inkomst och beslut om sjukpenninggrundande inkomst (SGI) för förfluten tid

HFD 2016 Ref 52. Högsta förvaltningsdomstolen meddelade den 20 juni 2016 följande beslut (mål nr ).

Särskild avgift enligt lagen (2000:1087) om anmälningsskyldighet för vissa innehav av finansiella instrument

Läkemedelsförmånsnämnden avslår ansökan om prishöjning inom läkemedelsförmånerna för produkten E-vimin.

Denna talesmannapolicy gäller tillsammans med AcadeMedias kommunikationspolicy. I kommuniaktionspolicyn finns följande formulering:

Äldreomsorgnämndens rapport till kommunfullmäktige angående antal beslut om bistånd som inte har verkställts till och med 31 mars 2013

ELEV- HANDLEDNING (Ansökan via webben)

Vad tycker de äldre om äldreomsorgen? Stockholms län Resultat för Farsta Hemtjänst

Elsäkerhetsverkets förslag till föreskrifter om ändring i ELSÄK-FS 2013:1

FAQ Barnkonsekvensanalys i Svenska kyrkan

Rehabilitering. Arbetssätt vid rehabiliteringsärenden. Rehabilitering Sid: 1 / 6

HÖGSTA DOMSTOLENS DOM

Riktlinjer för medborgardialog

Tillsyn enligt personuppgiftslagen (1998:204) Barn och grundskolenämnden i Täbys behandling av personuppgifter i VKlass

1. Angående motion om julgran

Svensk författningssamling

Tillämpning. Kommun, offentlighet. och. sekretess

SAKEN Beslut om enskild produkt med anledning av genomgången av läkemedelssortimentet.

Instruktion för redogörelse för uppdrag som god man till ensamkommande barn Sida 1 (7)

Vi skall skriva uppsats

Frågor och svar för föreningar om nya ansökningsregler för aktivitetsbidrag från och med 1 januari 2017

Elevers rätt till kunskap och särskilt stöd

Svar på Skatteverkets förfrågan om personuppgiftsansvar i Mina Meddelanden

Äldreomsorgnämndens rapport till kommunfullmäktige angående antal beslut om bistånd som inte har verkställts till och med 30 juni 2012

Anmälan om sjukhusens läkemedelsförsörjning

Tillsyn enligt personuppgiftslagen (1998:204) av Göteborgs universitet (Svensk nationell datatjänst)

Åklagarmyndigheten, Ekobrottsmyndigheten, Polismyndigheten och Tullverket

Rutin överklagan av beslut

RP 305/2010 rd. I propositionen föreslås att lagen om besvärsnämnden. intressen skyddas genom sekretessen. Besvärsinstansernas

DOM Meddelad i Stockholm

Inhämta samtycke enligt LEK

Vad tycker de äldre om äldreomsorgen? Resultat för Lund Hemtjänst

Vad tycker de äldre om äldreomsorgen? Resultat för Hallsberg Hemtjänst

Ansökan om medgivande att fullgöra skolplikten på annat sätt

Sektionen för Beteendemedicinsk smärtbehandling

Patientdatalag för säkrare vård Hantering av personuppgifter

Riktlinjer för användning av sociala medier

Samråd om webbaserat verksamhetsstöd till Stockholms stads grundskolor

Cirkulärnr: 1998:71 Diarienr: 1998/1328 P-cirknr: :21 Nyckelord: Datum:

HÖGSTA FÖRVALTNINGSDOMSTOLENS DOM

Yttrande angående revidering av Rutin för lex Sarah. Förvaltningen föreslår att Vård- och omsorgsnämnden beslutar

Försäljningsförbud och betalningsskyldighet för verkets kostnader

Råd. Utlämnande av uppgifter från HSA-katalog

Svensk författningssamling

Uttalande om tillämpning av Redovisningsrådets rekommendationer och uttalanden

Statens skolverks författningssamling

Sammanfattning på lättläst svenska

Intyg om erfarenhet och lämplighet att undervisa som lärare i gymnasieskolan

Transkript:

Datum Diarienr 2010-07-02 686-2010 Arbetsmiljöverket Lindhagensgatan 133 112 79 Stockholm Tillsyn enligt personuppgiftslagen (1998:204) Arbetsmiljöverkets användning av Facebook Datainspektionens beslut Datainspektionen konstaterar att Arbetsmiljöverket är personuppgiftsansvarig för behandling av personuppgifter som förekommer på den Facebook-sida som Arbetsmiljöverket administrerar. Personuppgiftsansvaret omfattar både personuppgifter som Arbetsmiljöverket själv publicerar och personuppgifter som publiceras av andra på Facebooksidan. Arbetsmiljöverkets personuppgiftsansvar innebär att Arbetsmiljöverket har ett ansvar för att det på Facebook-sidan inte utförs behandling av personuppgifter som kränker enskildas personliga integritet och i förekommande fall ta bort sådana uppgifter. I ärendet har inte påvisats att det förekommer någon sådan behandling på Arbetsmiljöverkets Facebook-sida. Ärendet avslutas. Redogörelse för tillsynsärendet Datainspektionen har den 29 april 2010 genomfört en inspektion hos Arbetsmiljöverket. Inspektionen har inte föranletts av något klagomål mot Arbetsmiljöverket utan är ett led i Datainspektionens projekt om sociala medier. Syftet med inspektionen har varit att kontrollera Arbetsmiljöverkets behandling av personuppgifter vid användandet av s.k. sociala medier och att avgöra vilket ansvar enligt personuppgiftslagen som Arbetsmiljöverket har för egna och andras publiceringar. Inspektionen omfattar således inte det eventuella Postadress: Box 8114, 104 20 Stockholm E-post: datainspektionen@datainspektionen.se Besöksadress: Drottninggatan 29, plan 5 Telefon: 08-657 61 00 Webbplats: www.datainspektionen.se Telefax: 08-652 86 52

personuppgiftsansvar som enskilda användare eller företagen Facebook, Twitter m.fl. kan ha för behandlingen av personuppgifter. Det finns ingen vedertagen definition av vad som utgör sociala medier. Datainspektionens projekt om social medier har i första hand avsett granskning av tjänster där det förekommer omodererat, användargenererat innehåll, dvs. innehåll som blir direkt tillgängligt för andra användare utan någon föregående åtgärd av den som har sidan, driver tjänsten e.d. Facebook är ett socialt media där människor har möjlighet att kommunicera med varandra antingen enskilt, öppet för de personer man själv väljer eller helt öppet för alla. Genom Facebook kan aktörer både individer och organisationer skapa s.k. Facebook-sidor och grupper. Bloggar är webbplatser som innehåller återkommande inlägg. Inläggen är ordnade så att de senaste inläggen oftast är högst upp. Ofta har inläggen någon sorts nyhetskaraktär. Bloggens besökare kan vanligtvis lämna kommentarer kopplade till varje inlägg, vilka då visas under inlägget. Kommentarfunktionen kan vara modererad eller omodererad. Twitter är en form av mikroblogg. Användare kan lämna korta meddelanden ( tweets, uppdateringar) och läsa andras meddelanden. Meddelanden består av textinlägg om högst 140 tecken. Meddelandena visas i användarens eget flöde och blir tillgängliga för andra användare antingen genom sökning eller genom en form av abonnemang. De som på detta sätt abonnerar på en annan användares meddelanden kallas för, followers. Avsändaren kan välja att visa sina meddelanden endast för sina egna kontakter men kan även dela ut dessa obegränsat. I tillsynsärendet har följande framkommit: Arbetsmiljöverket tillhandahåller en egen Facebook-sida. Facebookanvändare kan använda sig av en knapp på Facebook-sidan med texten gilla och därmed bli anhängare av sidan. Anhängare kan därefter kommentera på sidans s.k. logg. Arbetsmiljöverket som har administrationsrättigheter för sin Facebook-sida kan utesluta anhängare och ta bort anhängarnas kommentarer på sidan. Arbetsmiljöverket lägger inte själva ut några personuppgifter på Facebooksidan förutom ett antal bilder på personer som deltagit vid mässor och dylikt. Övriga personuppgifter som syns på sidan är en samling länkar som visar namn och eventuell profilbild på dem som gillat sidan. Direkta personuppgifter förekommer nästan aldrig i användarnas inlägg. Arbetsmiljöverket kan inte på något sätt strukturera de personuppgifter som förekommer på Facebook-sidan. Det går bara att ta ut statistik som visar kön, ålder och land på dem som gillat sidan. Sida 2 av 9

Syftet med Arbetsmiljöverkets tillhandahållande av Facebook-sidan är att synas där folk är, att nå ut med information till nya målgrupper och att få människor som är intresserade av arbetsmiljöfrågor att föra en dialog med varandra. Facebook-sidan innehåller viss information om Arbetsmiljöverket men inga uppmaningar till användarna om för vad eller hur sidan bör användas. Facebook-sidan fungerar som ett komplement till svarstjänsten på verkets hemsida. På Facebook-sidan finns det också en länk till svarstjänsten. Arbetsmiljöverket har en policy ett levande dokument som innehåller riktlinjer för hur Facebook ska användas och vem som är ansvarig för vad. Det är fyra stycken från kommunikationsenheten, två stycken från svarsenheten samt generaldirektören som har administratörsrättigheter. Alla inlägg som Arbetsmiljöverket gör på sin Facebook-sida ska skrivas under med antingen Kommunikationsenheten, Svarstjänsten eller Generaldirektören. Arbetsmiljöverkets policy är att det inte ska finnas obesvarade frågor på sidan under längre tid än tre timmar under kontorstid. Det innebär att administratörerna från svarstjänsten och kommunikationstjänsten går in flera gånger om dagen och svarar på frågor. Den som går in för att svara på frågor håller uppsikt över kommentarerna på loggen även äldre sådana. Av Arbetsmiljöverkets policy framgår att inlägg som är stötande, rasistiska, uttrycker kränkande åsikter om specifika personer, eller på annat sätt inte hör hemma på Arbetsmiljöverkets Facebook-sida, ska tas bort. Om det upprepas kommer anhängaren att uteslutas. Arbetsmiljöverket har ännu inte varit tvunget att ta bort några sådana uppgifter från sidan. Någon särskild information om hur en användare kan uppmärksamma Arbetsmiljöverket på att det förekommer kränkande eller felaktiga uppgifter finns inte på Facebook-sidan. Vid inspektionstillfället använde Arbetsmiljöverket inte bloggar och Twitter. Skäl för beslutet Datainspektionen bedömer i detta beslut endast Arbetsmiljöverkets personuppgiftsansvar för Facebook-sidan. Den del av Arbetsmiljöverkets verksamhet som har inspekterats omfattas inte av särskilda bestämmelser om personuppgiftsbehandling. Arbetsmiljöverkets personuppgiftsansvar ska därför bedömas enligt personuppgiftslagen. Datainspektionen gör följande bedömningar av personuppgiftslagens tillämpning på Arbetsmiljöverkets behandling av personuppgifter på Facebook-sidan. Sida 3 av 9

Är Arbetsmiljöverket personuppgiftsansvarig för publiceringar av personuppgifter på Facebook-sidan? Enligt 3 personuppgiftslagen är den personuppgiftsansvarige den som ensam eller tillsammans med andra bestämmer ändamålen med och medlen för behandlingen av personuppgifter. Vem som bestämmer över ändamålen avgörs genom en bedömning av de faktiska omständigheterna i det enskilda fallet. Avgörande för denna bedömning är bl.a. varför behandlingen utförs och vem som är initiativtagare till behandlingen. Att bestämma över medlen för behandlingen avser främst att bestämma över de tekniska och organisatoriska medlen för behandlingen, dvs. hur behandlingen ska gå till, t.ex. vilka personuppgifter som ska behandlas, vilka tredje män som ska få tillgång till de behandlade personuppgifter och när uppgifter ska raderas. Av inspektionen har framgått att det är Arbetsmiljöverket som bestämmer över vad egna inlägg ska innehålla och för vilka syften de publiceras. Arbetsmiljöverket har därför ett personuppgiftsansvar för uppgifter som de publicerar på Facebook-sidan, vilket innefattar all den personuppgiftsbehandling som anställda utför i sin tjänst och som andra utför under Arbetsmiljöverkets ledning. Vad avser Arbetsmiljöverkets personuppgiftsansvar för personuppgifter som publiceras på Facebook-sidan av andra, s.k. anhängare av sidan, kan följande konstateras. Arbetsmiljöverket är en myndighet som har valt att finnas på Facebook genom att tillhandahålla Facebook-sidan i sin verksamhet. Arbetsmiljöverket har namngett sidan och kan bestämma vilka möjligheter det ska finnas för andra att behandla personuppgifter (göra inlägg) samt ge anvisningar för vilket innehåll sidan ska ha. Arbetsmiljöverket innehar den faktiska möjligheten att ta bort personuppgifter som publicerats på sidan. Arbetsmiljöverkets inrättande och utformning av sidan möjliggör således att anhängare kan lämna kommentarer och publicera personuppgifter om andra. Utan Arbetsmiljöverkets inrättande av Facebook-sidan och val att fortsätta inneha denna skulle anhängare av sidan inte kunna publicera inlägg på sidan. Vidare skulle anhängarnas inlägg inte finnas kvar på Arbetsmiljöverkets sida om Arbetsmiljöverket valde att ta bort inläggen eller sidan i dess helhet. Facebook tillåter också, enligt vad som framgår av Facebooks Riktlinjer för Facebooksidor, att sidinnehavaren talar om för sina anhängare vilken typ av innehåll som sidinnehavaren kommer att ta bort och varför. Arbetsmiljöverket får anses inneha möjlighet att bestämma över såväl ändamål som medel för behandlingen av personuppgifter på Facebook-sidan. Datainspektionen anser därför att Arbetsmiljöverkets personuppgiftsansvar även omfattar de personuppgifter som anhängare publicerat på Arbetsmiljöverkets Sida 4 av 9

Facebook-sida. Detta utesluter inte att också anhängaren eller Facebook har ett personuppgiftsansvar för uppgifter som anhängaren publicerat på Facebook-sidan. Behandling av personuppgifter för journalistiska ändamål? Om en publicering av personuppgifter på Arbetsmiljöverkets sida kan bedömas ske inom ramen för ett uteslutande journalistiskt ändamål, d.v.s. att informera, utöva kritik och väcka debatt om samhällsfrågor av betydelse för allmänheten, är, enligt 7 andra stycket, bestämmelserna i 5a, 9-29 och 33-44 samt 45 första stycket och 47-49 inte tillämpliga på den behandlingen. Vid inspektionen har det inte framkommit något som tyder på att publiceringarna på Facebook-sidan har skett för sådana journalistiska ändamål som avses i 7 andra stycket. Undantaget för journalistiska ändamål är således inte tillämpligt på den behandling som granskats inom ramen för detta tillsynsärende. Det kan dock inte uteslutas att enskilda skulle kunna använda Facebook-sidan för sådant ändamål. Omfattas Arbetsmiljöverket behandling av missbruksregeln i 5 a personuppgiftslagen? Enligt den s.k. missbruksregeln i 5 a personuppgiftslagen ska de s.k. hanteringsreglerna i personuppgiftslagen inte tillämpas på behandling av personuppgifter som inte ingår i eller är avsedda att ingå i en samling av personuppgifter som har strukturerats för att påtagligt underlätta sökning efter eller sammanställning av personuppgifter. Avsikten med bestämmelsen har varit att från de s.k. hanteringsreglerna undanta sådan ostrukturerad vardaglig behandling av personuppgifter som typiskt sett är harmlös ur ett integritetsskyddsperspektiv. I det undantagna området ingår t.ex. löpande text i ordbehandlingsprogram, löpande text på internet eller e-postkorrespondens under förutsättning att materialet inte ingår i eller ska infogas i en databas med en personuppgiftsanknuten struktur. Med personuppgiftsanknuten struktur avses att ett material har strukturerats så att just personuppgifter markerats som sådana. Det är dock inte tillräckligt att samlingen av personuppgifter har en personuppgiftsanknuten struktur för att behandlingen ska falla utanför det undantagna området. För det krävs att samlingen har strukturerats för att påtagligt underlätta sökning efter eller sammanställning av just personuppgifter. Den personuppgiftsanknutna struktureringen ska således ha uppnått en viss nivå eller kvalitet. Vidare har lagstiftaren med undantaget i 5 a avsett att undanta sedvanligt utnyttjande av all- Sida 5 av 9

mänt använda funktioner där den personuppgiftsanknutna struktureringen inte framstår som särskilt kvalificerad. Mot bakgrund av informations- och yttrandefrihetsintressena ansåg lagstiftaren det inte rimligt att sådana vardagsfunktioner skulle falla utanför det undantagna området. Behandling av personuppgifter vid sedvanlig användning av e-postprogram för kommunikation togs upp som exempel på något som är undantaget trots att program vid användning mer eller mindre automatiskt skapar en personuppgiftsanknuten struktur. I övrigt har lagstiftaren överlämnat till rättstillämpningen att avgöra vilka företeelser som bör rymmas under undantaget. Den särskilda struktur som kännetecknar Facebook, som faktiskt syftar till att underlätta sökning av personuppgifter och att finna samband mellan människor och grupper, talar för att Facebooks behandling av personuppgifter har en personuppgiftsanknuten struktur. Här är det dock inte fråga om att bedöma Facebooks behandling utan om den behandling av personuppgifter som sker inom ramen för den sida på Facebook som Arbetsmiljöverket har rättslig och faktisk möjlighet att råda över. Man kan i den delen konstatera att Arbetsmiljöverket endast har tillgång till en begränsad del av det IT-system och de funktioner som Facebook innehåller. Som det för närvarande är utformat kan och får Arbetsmiljöverket lägga upp sin sida och har möjlighet att på den ta emot kommentarer och inlägg från anhängare av sidan. Arbetsmiljöverket kan ta bort sådan information men kan inte på annat sätt förändra innehållet i informationen om och från anhängare. Arbetsmiljöverket kan vidare få tillgång till enkel statistik om besök på sidan. Inspektionen och övrig utredning i ärendet bekräftar också att Arbetsmiljöverket inte kan strukturera de personuppgifter som de har tillgång till på Facebook-sidan. Den behandling av personuppgifter som Arbetsmiljöverket med nuvarande funktionalitet kan utföra inom ramen för sin sida på Facebook måste därmed betecknas som typiskt sett mindre riskfylld ur ett integritetsperspektiv. Användningen av Facebook är idag vanligt förekommande och vida spridd, såväl bland enskilda personer som hos företag, myndigheter och andra organisationer. Det har för många blivit fråga om en vardaglig hantering. Mot den bakgrunden bedömer Datainspektionen att Arbetsmiljöverkets behandling av personuppgifter i Facebook, som den såg ut vid inspektionstillfället, är ett sådant sedvanligt utnyttjande av allmänt använda funktioner som med hänsyn till informations- och yttrandefrihetsintressena faller under undantaget i 5 a personuppgiftslagen. Vad innebär Arbetsmiljöverket personuppgiftsansvar? Personuppgiftsansvaret innebär att den personuppgiftsansvarige ska se till att behandlingen av personuppgifter inte sker i strid med personuppgiftslagen. När missbruksregeln är tillämplig, som i detta fall, innebär ansvaret att den personuppgiftsansvarige ska se till att det inte förekommer behandling av Sida 6 av 9

personuppgifter som är kränkande för de registrerades personliga integritet. Därutöver innefattar ansvaret även en skyldighet att vidta lämpliga säkerhetsåtgärder samt en skyldighet att ersätta den registrerade för skada och kränkning av den personliga integriteten som en behandling av personuppgifter i strid med personuppgiftslagen har orsakat (48 personuppgiftslagen). Enligt 30 personuppgiftslagen får personer som arbetar under den personuppgiftsansvariges ledning bara behandla personuppgifter i enlighet med instruktioner från den personuppgiftsansvarige. Arbetsmiljöverket är således skyldigt att vidta vissa åtgärder för att se till att de som arbetar med Facebook för Arbetsmiljöverkets räkning är informerade om ändamålen med den behandling av personuppgifter som kan förekomma på Facebook-sidan och att användning som är oförenligt med dessa ändamål är förbjuden. Datainspektionen anser därför att det är bra att Arbetsmiljöverket har utformat interna regler som beskriver hur Arbetsmiljöverket ska använda Facebook och hur personuppgifter på Facebook-sidan ska hanteras. Vidare är den personuppgiftsansvarige, enligt 31 personuppgiftslagen, skyldig att vidta lämpliga tekniska och organisatoriska åtgärder för att skydda de personuppgifter som behandlas. Vilka ytterligare åtgärder som Arbetsmiljöverket är skyldigt att vidta är beroende av bl.a. vilka risker som finns och vad som är tekniskt möjligt. Med hänsyn till vad Arbetsmiljöverket faktisk kan utföra i det aktuella IT-systemet torde det normalt bli fråga mer om organisatoriska än rent tekniska åtgärder. För sociala medier med omodererat användargenerat innehåll, såsom Arbetsmiljöverkets Facebook-sida, kan omfattningen och inriktningen ha betydelse. Ju större risken är för att känsliga uppgifter kommer att förekomma, desto mer omfattande är kravet på åtgärder. Exempelvis kan det vara nödvändigt att ha en noggrannare uppsikt över andras kommentarer om det har förekommit många kränkande kommentarer. Personuppgiftsansvaret enligt den s.k. missbruksregeln innebär att Arbetsmiljöverket ansvarar för eventuell kränkande behandling som förekommer på Facebook-sidan. Arbetsmiljöverket måste vidta åtgärder för att ta bort eventuella kränkande personuppgifter. Arbetsmiljöverket har valt att ha en omodererad kommentarsfunktion, vilket innebär att anhängarnas kommentarer publiceras utan föregående granskning eller åtgärd av Arbetsmiljöverket. Det innebär att det under en tid kan finnas personuppgifter som anhängare publicerat på Facebook-sidan och som Arbetsmiljöverket inte känner till. I princip inträder personuppgiftsansvaret när personuppgifter publiceras. Någon faktisk möjlighet att ta bort uppgifterna från Facebook-sidan har Arbetsmiljöverket dock inte förrän Arbetsmiljöverket fått kännedom om att uppgifterna finns där. Sida 7 av 9

Bedömningen av vad som är en kränkning ska inte göras schablonartad enbart utifrån vilka uppgifter som behandlas. Bedömningen måste även ta sin utgångspunkt i t.ex. vilket sammanhang uppgifterna förekommer, för vilket syfte de behandlas, vilken spridning de har fått eller riskerar att få samt vad behandlingen kan leda till. Material som publiceras på sociala medier riskerar, liksom annat material som publiceras på Internet, att få en omfattande spridning. Risken för större spridning och integritetsintrång ökar ytterligare om publiceringarna tillgängliggörs för sökmotorers indexering. Till skillnad från det som gäller enligt hanteringsreglerna i personuppgiftslagen går det inte att, med stöd av missbruksregeln, på samma vis ställa krav på att Arbetsmiljöverket ska vidta åtgärder för att förebygga och förhindra att anhängare publicerar kränkande kommentarer på Facebook-sidan. För att minska risken för kränkningar av enskildas personliga integritet, och för att minska risken för att bli skadeståndsskyldig, bör Arbetsmiljöverket dock vidta åtgärder i förebyggande syfte för att se till att behandlingen är förenlig med personuppgiftslagen. Det kan exempelvis ske genom att på sidan informera om syftet med sidan, för vilka ändamål Arbetsmiljöverkets kommentarsfunktion är tänkt att användas, vilka typer av kommentarer som inte får förekomma på sidan samt vad som kan hända om enskilda inte följer Arbetsmiljöverkets rekommendationer. Arbetsmiljöverket bör också uppmana anhängare och andra att anmäla behandling som kan vara i strid med personuppgiftslagen, både till Arbetsmiljöverket och till Facebooks abusehantering. Datainspektionen har i detta tillsynsärende inte funnit någon kränkande behandling av personuppgifter på Arbetsmiljöverkets Facebook-sida. Hur man överklagar Om ni vill överklaga beslutet skall ni skriva till Datainspektionen. Ange i skrivelsen vilket beslut som överklagas och den ändring som ni begär. Överklagandet skall ha kommit in till Datainspektionen senast tre veckor från den dag beslutet meddelades för att kunna prövas. Datainspektionen sänder överklagandet vidare till Förvaltningsrätten i Stockholm för prövning om inspektionen inte själv ändrar beslutet på det sätt ni har begärt. Sida 8 av 9

Detta beslut har fattats av generaldirektören Göran Gräslund i närvaro av chefsjuristen Hans-Olof Lindblom, juristerna Ulrika Andersson, Martin Brinnen och Lena Carlsson, föredragande. Göran Gräslund Lena Carlsson Kopia till: E-delegationen, Karlavägen 100, 103 33 Stockholm Sida 9 av 9

2024 © DocPlayer.se Sekretesspolicy | Användarvillkor | Kontakta oss