Tillsyn enligt personuppgiftslagen (1998:204) uppföljning av ärende om Sverigedemokraternas medlemsregister

Relevanta dokument
Tillsyn enligt personuppgiftslagen (1998:204) uppföljning av ärende om Moderaternas medlemsregister

Tillsyn enligt personuppgiftslagen (1998:204) uppföljning av ärende om Vänsterpartiets medlemsregister

Beslut efter tillsyn enligt personuppgiftslagen (1998:204)

Tillsyn enligt personuppgiftslagen (1998:204) uppföljning av ärende om Socialdemokraternas medlemsregister

Tillsyn enligt personuppgiftslagen (1998:204) uppföljning av ärende om Kristdemokraternas medlemsregister

Beslut efter tillsyn enligt personuppgiftslagen (1998:204) PuL

Tillsyn enligt personuppgiftslagen (1998:204) inspelning av telefonsamtal i kundtjänst

Tillsyn enligt personuppgiftslagen (1998:204) Sverigedemokraternas behandling av personuppgifter i ett centralt medlemsregister

Tillsyn enligt personuppgiftslagen (1998:204) socialtjänstens behandling av personuppgifter om etniskt ursprung

Tillsyn enligt personuppgiftslagen (1998:204)

Beslut efter tillsyn enligt personuppgiftslagen (1998:204)

Samråd om webbaserat verksamhetsstöd till Stockholms stads grundskolor

Särskild avgift enligt lagen (2000:1087) om anmälningsskyldighet för vissa innehav av finansiella instrument

BESLUT. Datum Föreläggande vid vite enligt 25 lagen (2002:160) om läkemedelsförmåner m.m. (förmånslagen)

Särskild avgift enligt lagen (2000:1087) om anmälningsskyldighet för vissa innehav av finansiella instrument

Informationssäkerhet

Regeringskansliet Näringsdepartementet Enheten för transportpolitik Stockholm

Beslut efter tillsyn enligt personuppgiftslagen (1998:204) - PuL

Beslutet/domen har vunnit laga kraft. Fastighetsmäklarinspektionens avgörande

När du som vårdpersonal vill ta del av information som finns hos en annan vårdgivare krävs det att:

Patientdatalag för säkrare vård Hantering av personuppgifter

Intyg om erfarenhet och lämplighet att undervisa som lärare i gymnasieskolan

Vet du vilka rättigheter du har?

Region Skåne Fråga om utformning av fördelningsnyckel i ramavtal för radiologiprodukter

Föreläggande förenat med vite för familjedaghemmet SusoDus

RP 305/2010 rd. I propositionen föreslås att lagen om besvärsnämnden. intressen skyddas genom sekretessen. Besvärsinstansernas

Läkemedelsförmånsnämnden avslår ansökan om prishöjning inom läkemedelsförmånerna för produkten E-vimin.

Mål förvaltningsrätt

HÖGSTA FÖRVALTNINGSDOMSTOLENS DOM

HÖGSTA DOMSTOLENS BESLUT

Rutin för rapportering och handläggning av anmälningar enligt Lex Sarah

Utdrag ur protokoll vid sammanträde Den nya inskrivningsmyndigheten

Beslut efter tillsyn enligt personuppgiftslagen (1998:204)

ANSÖKAN OM GOD MAN/ FÖRVALTARE. enligt föräldrabalken 11 kap 4 respektive 11 kap 7. (ansökan från anhörig)

Beslut efter tillsyn enligt personuppgiftslagen (1998:204) PuL

HÖGSTA FÖRVALTNINGSDOMSTOLENS DOM

Beslutet/domen har vunnit laga kraft. Fastighetsmäklarinspektionens avgörande

DOM Meddelad i Stockholm

ELEV- HANDLEDNING (Ansökan via webben)

Förberedelser inför EU:s dataskyddsförordning

En stärkt yrkeshögskola ett lyft för kunskap (Ds 2015:41)

Överenskommelse avseende uppföljningssystemet SUS

Beslut för Föreningen Fogdaröd Omsorg, Vård & Utbildning Utan Personligt ansvar

DEN ENSKILDES RÄTT ATT PÅVERKA UTFORMNINGEN AV INSATS

HÖGSTA FÖRVALTNINGSDOMSTOLENS BESLUT

Avgifter i skolan. Informationsblad

VÄGLEDNING FÖRETAGSCERTIFIERING Ansökan, recertifiering och uppgradering Version: (SBSC dok )

Socialstyrelsens författningssamling

Tillsyn enligt personuppgiftslagen (1998:204) avseende behörighetsstyrning i ParaGå

Utdrag ur protokoll vid sammanträde

Rutin överklagan av beslut

Föreläggande om åtgärder

Sammanfattning på lättläst svenska

Överklagande. Prövningstillstånd. Kammarrätten i Göteborg Box Göteborg. Klagande Datainspektionen, Box 8114, Stockholm. Motpart N.

Frågor och svar för föreningar om nya ansökningsregler för aktivitetsbidrag från och med 1 januari 2017

Elevers rätt till kunskap och särskilt stöd

Användaravtal och samtycke till behandling av personuppgifter

BOSTADS- ANPASSNINGS- BIDRAG. Bild

Beslut för gymnasieskola

BEHANDLINGEN AV UPPGIFTER I ANVÄNDAR- LOGG ENLIGT PERSONUPPGIFTSLAGEN

AVLÖSARSERVICE I HEMMET 9:5 LSS

Särskild avgift enligt lagen (1991:980) om handel med finansiella instrument

Copyright Brottsanalys 2013

Svensk författningssamling

KORTTIDSTILLSYN 9:7 LSS

Ansökan om drift av fristående förskola Åby ängar

Sammanfattning. Utgångspunkter

HFD 2016 Ref 52. Högsta förvaltningsdomstolen meddelade den 20 juni 2016 följande beslut (mål nr ).

Utdrag ur protokoll vid sammanträde

Tillsyn enligt kreditupplysningslagen (1973:1173) och personuppgiftslagen (1998:204)

Svensk författningssamling

Utdrag ur protokoll vid sammanträde Ändrad deklarationstidpunkt för mervärdesskatt. Förslaget föranleder följande yttrande av Lagrådet:

Tryckfrihetsförordning

Uppsala. UTBILDNINGSFÖRVALTNINGEN

Beslut efter uppföljning för gymnasieskola med yrkes- och introduktionsprogram

Inhämta samtycke enligt LEK

PBL om tidsbegränsade bygglov m.m

HÖGSTA FÖRVALTNINGSDOMSTOLENS DOM

Tillsyn enligt personuppgiftslagen (1998:204) Utökat elektroniskt informationsutbyte

Instruktion för redogörelse för uppdrag som god man till ensamkommande barn Sida 1 (7)

Beslut om försäljningsförbud och betalningsskyldighet

ANVÄNDARHANDLEDNING FÖR

Likabehandlingsplan för läsåret

Tillsyn enligt personuppgiftslagen (1998:204) bankers användning av s.k. appar

KOMMUNAL FÖRFATTNINGSSAMLING

Elsäkerhetsverkets förslag till föreskrifter om ändring i ELSÄK-FS 2013:1

Tillsyn enligt personuppgiftslagen (1998:204)- Pensionsmyndighetens webbtjänst Dina Pensionssidor

Rehabilitering. Arbetssätt vid rehabiliteringsärenden. Rehabilitering Sid: 1 / 6

Trygg Juridik-certifikat

Åklagarmyndigheten, Ekobrottsmyndigheten, Polismyndigheten och Tullverket

Beslut för gymnasieskola

Personnummer. Närmast anhörig Relation

Ansökan om medgivande att fullgöra skolplikten på annat sätt

BIDRAGSREGLER FÖR FOLKRÖRELSER I VÄSTRA GÖTALANDSREGIONEN PENSIONÄRSORGANISATIONER

Riktlinje för arvode till god man för ensamkommande barn 2016.

Yttrande över remiss av förslag till allmänna råd om prövning samt föreskrifter om prövning

Beslut efter tillsyn enligt personuppgiftslagen (1998:204)

I promemorian föreslås ändringar i patientsäkerhetslagen (2010:659) när det gäller användandet av yrkestitlar för tillfälliga yrkesutövare.

Hinder mot att bevilja serveringstillstånd enligt alkohollagen har ansetts föreligga när hyresvärden motsätter sig alkoholservering i lokalen.

Äldreomsorgnämndens rapport till kommunfullmäktige angående antal beslut om bistånd som inte har verkställts till och med 31 mars 2013

Transkript:

Datum Diarienr 2014-03-31 1290-2013 Sverigedemokraterna Box 26 291 21 Kristianstad Tillsyn enligt personuppgiftslagen (1998:204) uppföljning av ärende om Sverigedemokraternas medlemsregister Datainspektionens beslut Datainspektionen förelägger Sverigedemokraterna att antingen inhämta giltiga samtycken från registrerade för att behandla uppgifter om tidigare medlemmar för återvärvningsändamål eller upphöra med behandlingarna. Datainspektionen förelägger Sverigedemokraterna att antingen inhämta giltiga samtycken från registrerade för att behandla uppgifter om medlemmar som uteslutits från partiet eller upphöra med behandlingarna. Datainspektionen förutsätter att Sverigedemokraterna inför stark autentisering för att skydda personuppgifter i medlemsregistret när användare ges åtkomst till uppgifterna över öppet nät. Ärendet avslutas. Redogörelse för tillsynsärendet Bakgrund Datainspektionen har i ett tidigare ärende (dnr 1672-2011) granskat hur Sverigedemokraterna behandlar personuppgifter i ett centralt medlemsregister. Granskningen ingick i ett tillsynsprojekt i syfte att granska hur samtliga riksdagspartier behandlar personuppgifter om medlemmar och andra personer som kontaktar partierna för information eller liknande och om behandlingarna av sådana personuppgifter uppfyller de krav som personuppgiftslagen ställer. Granskningen omfattade även IT-säkerheten vid behandlingarna. Postadress: Box 8114, 104 20 Stockholm E-post: datainspektionen@datainspektionen.se Besöksadress: Drottninggatan 29, plan 5 Telefon: 08-657 61 00 Webbplats: www.datainspektionen.se Telefax: 08-652 86 52

I det tidigare ärendet kunde Datainspektionen konstatera brister och förelades Sverigedemokraterna att vidta åtgärder för att uppfylla kraven i personuppgiftslagen. Uppföljning I detta ärende följer Datainspektionen upp det tidigare ärendet genom att kontrollera vilka åtgärder Sverigedemokraterna vidtagit för att rätta till vissa brister. Partiet har skriftligen svarat på frågor om vidtagna åtgärder och i de fall arbetet med att åtgärda bristerna ännu inte är avslutat har partiet redogjort för det arbete som pågår och hur länge det beräknas ta. Skäl för beslutet Känsliga personuppgifter En uppgift om medlemskap i ett politiskt parti är en känslig personuppgift, eftersom den avslöjar politiska åsikter. Känsliga personuppgifter får behandlas med stöd av 15-19 personuppgiftslagen. Av 17 personuppgiftslagen framgår att en ideell organisation med ett politiskt syfte, inom ramen för sin verksamhet, får behandla personuppgifter om organisationens medlemmar och sådan andra personer som på grund av organisationens syfte har regelbunden kontakt med den. Tidigare medlem Uppgifter i ett medlemsregister om en person som t.ex. utträtt eller uteslutits från ett politiskt parti och därför inte längre är medlem i organisationen, är också en känslig personuppgift eftersom den kan anses avslöja en politisk åsikt. En organisation får inte med stöd av 17 personuppgiftslagen behandla känsliga personuppgifter om en person som inte längre är medlem och inte heller på grund av organisationens syfte har regelbunden kontakt med organisationen. För det fall medlemskapet avslutats när en medlem inte betalat medlemsavgiften, men denne fortfarande har uppdrag för partiet eller fortfarande deltar i partiaktiviteter och själv uppfattar sig som medlem, kan partiet behandla känsliga personuppgifterna med stöd av 17 personuppgiftslagen. Detta eftersom personen på grund av organisationens syfte har regelbunden kontakt med partiet. Frågan om en person är medlem eller inte menar Datainspektionen får bestämmas enligt civilrättsliga regler med ledning av exempelvis organisationens stadgar och liknande. När det gäller ett medlemskap som avslutas är det rimligt att organisationen behöver en kortare tid för att administrera att medlemsförhållandet upphör. Tiden bör dock inte vara längre än tre månader efter att medlemskapet formellt upphör. Därefter anser Sida 2 av 7

Datainspektionen att medlemskapet måsta kunna betraktas som avslutat och att det därmed inte längre finns stöd att behandla uppgifterna. Återvärvning Datainspektionen har i sitt tidigare beslut förelagt Sverigedemokraterna antingen att upphöra med att behandla uppgifter om tidigare medlemmar för ändamålet återvärvning eller att inhämta samtycke för behandlingen. Sverigedemokraterna har uppgett att uppgifter om tidigare medlemmar behandlas bland annat för återvärvningsändamål. Det är inte ovanligt att det förekommer okynnesanmälningar om utträde eller att tidigare medlemmar ångrar sitt utträde. Det finns dessutom ett behov av att internt kunna avgöra om och i så fall när en medlem har utträtt eller inte, även en tid efter att personen har meddelat utträde. Ett utträde innebär inte bara att ett medlemskap upphör, utan kan även innefatta att exempelvis förtroendeuppdrag, kandidaturer och andra roller som innebär att man offentligt företräder Sverigedemokraterna upphör. Uppgifter om sådana roller kan inte omedelbart raderas vid begäran om utträde utan att skapa betydande svårigheter i verksamheten. Sverigedemokraterna raderar numera uppgifter om medlemmar ett år efter att en medlem begärt utträde, vilket anses som en rimlig tidsram inom vilken återvärvning kan ske. En medlem som inte uttryckligen begärt utträde, men fått fyra fakturor på medlemsavgiften utan att betala, betraktas därefter som att ha begärt utträde. Detta innebär att medlemskapet då varit förfallet i 15 månader. Sverigedemokraterna har uppgett att personuppgiftslagens krav i denna del är uppfylld genom det samtycke som medlemmen tidigare har lämnat. Datainspektionen hänvisar till att Sverigedemokraterna har lagligt stöd i 17 personuppgiftslagen att behandla känsliga personuppgifter om egna medlemmar för att administrera medlemskapet. Datainspektionen har tidigare avrått Sverigedemokraterna att använda den metod som partiet använder sig av i dag, det vill säga att den som vill bli medlem kan kryssa i en ruta Jag har läst och godkänt behandlingen av mina personuppgifter. Skälet är att det ger en blivande medlem intryck av att hon eller han kan välja om partiet ska få behandla personuppgifterna eller inte. Oavsett om en medlem kryssar i rutan eller inte behandlar partiet uppgifterna för att administrera medlemskapet med stöd av 17 personuppgiftslagen. Däremot saknar partiet stöd i 17 personuppgiftslagen om partiet vill använda medlemsuppgifterna för andra ändamål än medlemsadministration eller för att behandla uppgifterna när medlemskapet är avslutat och personen i fråga inte heller har valt att ha regelbunden kontakt med partiet. Det hindrar dock inte ett politiskt parti, som vill använda uppgifter om medlemmar för andra ändamål, begär in separata samtycken genom att registrerade får samtycka till den Sida 3 av 7

aktuella behandlingen, t.ex. att behandla uppgifter om tidigare medlemmar för återvärvning. Ett samtycke enligt personuppgiftslagen är en frivillig och tydlig viljeyttring genom vilken den registrerade - efter att ha fått information - godtar behandlingen av personuppgifter om sig själv. För att behandling av känsliga personuppgifter ska vara tillåten med stöd av ett samtycke från en registrerad ska samtycket vara uttryckligt, vilket innebär att samtycket för det bestämda ändamålet måste komma till uttryck på ett särskilt tydligt sätt. Ett generellt samtycke till behandling av personuppgifter kan inte godtas. Samtycket ska gälla behandling för preciserade ändamål. För att samtycket ska vara giltigt enligt personuppgiftslagen ska den registrerade ha fått tillräcklig information om behandlingen. Den registrerade måste ha fått sådan information att han eller hon kan ta ställning till om hans eller hennes personuppgifter ska få behandlas för det ändamål och på det sätt som planerats. Ett samtycke kan alltså inte omfatta annan behandling än sådan som den registrerade fått information om. Datainspektionen konstaterar att Sverigedemokraterna behandlar personuppgifter i strid med 13 personuppgiftslagen, eftersom partiet saknar stöd i 15-19 personuppgiftslagen för att behandla uppgifter om tidigare medlemmar för återvärvning. För att behandla uppgifter om tidigare medlemmar t.ex. för återvärvningsändamål, kan partiet inhämta ett separat samtycke till behandlingen. Sverigedemokraterna har inte visat att man inhämtat giltiga samtycken till behandlingarna. Datainspektionen förelägger därför, med stöd av 45 första stycket personuppgiftslagen, Sverigedemokraterna att antingen inhämta giltiga samtycken till att behandla uppgifter om tidigare medlemmar för ändamålet återvärvning eller upphöra med behandlingarna. Utesluten Datainspektionen har i sitt tidigare beslut förelagt Sverigedemokraterna att antingen upphöra med att behandla uppgifter om personer som uteslutits från partiet, i syfte att motverka att personer återregistreras som medlemmar, eller inhämta samtycke till behandlingen. Sverigedemokraterna har uppgett att behandlingen av uppgifter om uteslutna är ett nödvändigt och ett berättigat intresse för att skydda partiet från skada. Partiet har satt en bortre gräns för denna behandling på tio år efter senaste kontakt med den uteslutna medlemmen. Det lagras inga känsliga personuppgifter och uppgifterna behandlas i dessa fall med stöd av intresseavvägningen enligt 10 första stycket f personuppgiftslagen. Sida 4 av 7

Datainspektionen konstaterar att Sverigedemokraterna behandlar personuppgifter i strid med 13 personuppgiftslagen, eftersom partiet saknar stöd i 15-19 personuppgiftslagen att behandla uppgifter om personer som uteslutits som medlemmar i syfte att motverka att dessa återregistreras som medlemmar. Partiet kan inhämta ett separat samtycke från den registrerade för att behandla uppgifter om medlem som uteslutits från partiet. Sverigedemokraterna har inte visat att man inhämtat giltiga samtycken till behandlingarna. Datainspektionen förelägger därför, med stöd av 45 första stycket personuppgiftslagen, Sverigedemokraterna att antingen inhämta giltiga samtycken från registrerade för att behandla personuppgifter om uteslutna medlemmar eller att upphöra med behandlingarna. Information Den personuppgiftsansvarige är skyldig att självmant informera de registrerade om behandlingen av personuppgifter. Informationen ska innehålla uppgift om den personuppgiftsansvariges identitet, ändamålen med behandlingen och all övrig information som behövs för att den registrerade ska kunna ta till vara sina rättigheter i samband med behandlingen. Sådan övrig information är, t.ex. information om vilka kategorier av uppgifter som behandlas, kategorier av mottagare av uppgifterna, hur länge uppgifterna sparas samt rätten att gratis en gång årligen efter ansökan erhålla information och rätten att få rättelse av felaktiga eller missvisande uppgifter. Datainspektionen har i sitt tidigare beslut förelagt Sverigedemokraterna att komplettera informationen som lämnas till medlemmar om personuppgiftsbehandlingen och att ta fram rutiner för att informera även andra registrerade på ett sådant sätt att informationskraven i personuppgiftslagen uppfylls. Datainspektionen, som tagit del av Sverigedemokraternas information, konstaterar att partiet har åtgärdat brister i informationen till medlemmar och prenumeranter. Datainspektionen konstaterar dock att informationen till medlemmar saknar information om att partiet i medlemsregistret behandlar uppgifter om tidigare medlemmar för återvärvningsändamål och uppgifter om uteslutna medlemmar, i syfte att motverka återregistrering. För det fall Sverigedemokraterna avser att grunda sådan behandling av personuppgifter på samtycke från de registrerade förutsätter Datainspektionen att Sverigedemokraterna kompletterar informationen med uppgifter om att medlemmar behandlas för dessa ändamål och hur länge de sparas. Sida 5 av 7

IT-säkerhet Den personuppgiftsansvarige ska enligt 31 personuppgiftslagen vidta lämpliga tekniska och organisatoriska åtgärder för att skydda de personuppgifter som behandlas. Åtgärderna ska åstadkomma en säkerhetsnivå som är lämplig med beaktande av a. de tekniska möjligheterna som finns, b. vad det skulle kosta att genomföra åtgärderna, c. de särskilda risker som finns med behandlingen av personuppgifterna, och d. hur pass känsliga de behandlade personuppgifterna är Stark autentisering Känsliga personuppgifter får lämnas ut via öppet nät, t.ex. Internet, endast till identifierade användare vars identitet är säkerställd med stark autentisering. Stark autentisering, också kallat multifaktorsautentisering, kan realiseras på olika sätt. Det kan ske exempelvis med e-legitimation, men även andra tekniska funktioner för asymmetrisk kryptering. Vissa lösningar för engångslösenord och liknande kan också användas. Datainspektionen har i sitt tidigare beslut förelagt Sverigedemokraterna att skydda fjärråtkomst över öppet nät till personuppgifter i medlemsregistret med stark autentisering. Sverigedemokraterna har uppgett att partiet under 2014 kommer att anskaffa en lösning för tvåfaktor autentisering med certifikat till den eller de användare som har fjärråtkomst till medlemsregistret. Datainspektionen förutsätter att Sverigedemokraterna inför stark autentisering för att skydda personuppgifter i medlemsregistret när användare ges åtkomst till uppgifterna över öppet nät. Behandlingshistorik Av Datainspektionens allmänna råd för säkerhet vid behandling av personuppgifter framgår att en behandlingshistorik normalt bör vara så detaljerad att den kan användas för att utreda felaktig eller obehörig användning av personuppgifter. När ett politiskt parti behandlar uppgifter om medlemmar i ett medlemsregister måste det vara möjligt att utreda vem som haft åtkomst till vilka personuppgifter i medlemsregistret och när. Vidare ska det gå att utreda vem som ändrat eller raderat personuppgifter och när förändringen skett. En behandlingshistorik har också en förebyggande funktion, vilket förutsätter att användarna informeras om att det förs en behandlingshistorik och att den kontrolleras. Sida 6 av 7

Datainspektionen har i sitt tidigare beslut förutsatt att Sverigedemokraterna inför sådana tekniska funktioner som gör det möjligt att utreda vem som har haft åtkomst till vilka personuppgifter i medlemsregistret och när samt vem som ändrat eller raderat. Sverigedemokraterna har uppgett att man vidtagit åtgärder och att medlemsregistret numera har en logg för behandlingshistorik. Åtgärden innebär att det av loggar kan utläsas vem som har haft åtkomst till vilken uppgift. Datainspektionen konstaterar att Sverigedemokraterna åtgärdat aktuella brister och har inga synpunkter i denna del. Ärendet avslutas. Hur man överklagar Om ni vill överklaga beslutet skall ni skriva till Datainspektionen. Ange i skrivelsen vilket beslut som överklagas och den ändring som ni begär. Inspektionen måste ha fått ert överklagande inom tre veckor från den dag ni fick ta del av beslutet, annars kan överklagandet inte prövas. Datainspektionen sänder överklagandet vidare till Förvaltningsrätten i Stockholm för prövning om inspektionen inte själv ändrar beslutet på det sätt ni har begärt. Gunilla Öberg I handläggningen av detta ärende har även IT-säkerhetsspecialisten Adolf Slama deltagit. Sida 7 av 7

2024 © DocPlayer.se Sekretesspolicy | Användarvillkor | Kontakta oss