Beslut Dnr 2006-07-10 706-2006 Norn Integrated Computer Systems AB Box 439 194 04 Upplands Väsby Beslut efter tillsyn enligt personuppgiftslagen (1998:204) Datainspektionens beslut Datainspektionen konstaterar att Norn Integrated Computer Systems AB (Norn) genom översändning av personuppgifter behandlar personuppgifter i den mening som avses i personuppgiftslagen. I den mån behandlingen avser personuppgifter om lagöverträdelser eller känsliga personuppgifter strider behandlingen mot 21 respektive 13 personuppgiftslagen. I övrigt strider den behandling av personuppgifter som Norn utför med anledning av tjänsten polisanmälan.nu mot 9 och 10 personuppgiftslagen. Datainspektionen förelägger Norn att omedelbart upphöra med den personuppgiftsbehandling som föranleds av tjänsten polisanmälan.nu. Redogörelse för tillsynsärendet Datainspektionen har genom en artikel på Internet uppmärksammat webbplatsen www.polisanmalan.nu, som tillhandahålls av Norn. På webbplatsen kan vem som helst göra en polisanmälan, som sedan vidarebefordras av Norn till närmaste polismyndighet. Anmälan består till stor del av fritextfält och däri uppmanas anmälaren ange bland annat följande uppgifter; - vad det rör sig om för brott, - beskrivning av vad som hände och föregick brottet/händelsen, - om det finns vittnen samt uppgifter om deras namn, adress, telefonnummer och e-postadress, - stölder, skador och förluster samt detaljerade uppgifter om personer och namn, - anmälarens namn och eventuellt målsägandens namn. Datainspektionen har inlett tillsyn mot Norn, som har yttrat sig. Postadress: Box 8114, 104 20 STOCKHOLM E-post: datainspektionen@datainspektionen.se Besöksadress: Fleminggatan 14, plan 9 Telefon: 08-657 61 00 Webbplats: www.datainspektionen.se Telefax: 08-652 86 52
Skäl för beslutet Norn har uppgett i huvudsak följande. 2 (5) Eftersom Norn inte har tillgång till anmälarens uppgifter och inte heller lagrar uppgifterna i någon form av datamedia eller i annat format äger Norn ingen kännedom om det förekommer angivanden av misstänkta gärningsmän i fritextfälten i anmälan. Norn har, får eller lagrar ingen som helst information om huruvida anmälan sker av målsägaren eller annan juridisk person. Däremot uppmanar Norn den senare att införskaffa ett godkännande från målsägaren om så är fallet, varigenom Norn underlättar för polisen att hantera en inkommen anmälan. Grunden i Norns system är programvara från IBM, Domino/Lotus Notes, vilken i sig är känd för en hög standardsäkerhet med många möjligheter att styra behörigheten till de applikationer som utvecklas med stöd av script, etc. På Dominoservern omvandlas momentant (dvs. när användaren väljer att skicka anmälan) anmälningsformuläret till Domino/Lotus Notes krypterade mejlformat. Överföringen till polisen via Internet sker krypterat i den mån mottagarens e-postsystem stödjer S/Mime och certifikat tillhandhålls annars sker överföringen som i all vanlig e-postkommunikation okrypterad. Om det föreligger tekniska fel på Internetanslutningen eller om någon bryter sig in i Norns lokaler och stjäl servern ligger oskickad e-post alltid kvar i krypterat tillstånd. Därtill krävs särskild behörighet för att ta sig in i Dominoservern, vilket inte låter sig ske. För ökad säkerhet har Norn även tillfört en funktion med SLL-certifikat. Norn har ingen som helst möjlighet att läsa eller redigera upprättade handlingar, varken när de skapas, sparas eller skickas till respektive polismyndighet. Det sker ingen som helst lagring av den ingående informationen i Norns datasystem. Det enda som lagras i Dominodatabasen är tidpunkten för anmälan och till vilken polismyndighet som anmälan skickas. Inga loggar upprättas i datasystemet utan all tillfällig information återfinns tillfälligt i RAM-minnet. Datainspektionen gör följande bedömning. Behandling av personuppgifter Enligt 3 personuppgiftslagen utgör varje åtgärd eller serie av åtgärder som vidtas i fråga om personuppgifter, vare sig det sker på automatisk väg eller inte behandling av personuppgifter. Det kan röra sig om insamling, registrering, organisering, lagring, bearbetning eller ändring, återvinning, inhämtande, användning, utlämnande genom översändande, spridning eller annat tillhandahållande av uppgifter, sammanställning eller samkörning, blockering, utplåning eller förstöring. Även om Norn inte läser, redigerar eller lagrar den information som översänds till polismyndigheten, utgör själva översändningen en behandling av personuppgifter.
3 (5) Personuppgiftsansvarig Den som bestämmer ändamålen med och medlen för behandlingen av personuppgifter är personuppgiftsansvarig enligt 3 personuppgiftslagen. Den personuppgiftsansvarige har ett skadeståndssanktionerat ansvar för att behandlingen av personuppgifter sker i enlighet med bestämmelserna i lagen. Norn har utvecklat och tillhandahåller den webbaserade tjänsten polisanmälan.nu. Då Norn bestämmer ändamålen med och medlen för behandlingen av personuppgifter är företaget även personuppgiftsansvarig för tjänsten. Grundläggande krav För att det överhuvudtaget skall vara tillåtet att behandla personuppgifter krävs alltid att de grundläggande kraven i 9-10 personuppgiftslagen är uppfyllda. Enligt 9 får personuppgifter exempelvis bara behandlas när det är lagligt och får bara samlas in för särskilda, uttryckligt angivna och berättigade ändamål. I vilka fall det är berättigat att samla in och behandla personuppgifter framgår av personuppgiftslagen och anknytande lagstiftning. Fler personuppgifter får inte heller behandlas än vad som är nödvändigt med hänsyn till ändamålen med behandlingen. Enligt huvudregeln i 10 personuppgiftslagen krävs den enskildes samtycke för att det skall vara tillåtet att behandla personuppgifter. Med samtycke avses varje slag av frivillig, särskild och otvetydig viljeyttring genom vilken den registrerade, efter att ha fått information, godtar behandling av personuppgifter som rör honom eller henne. Personuppgiftslagen ställer med andra ord stora krav för att ett samtycke ska vara giltigt i lagens mening. Undantag från kravet på samtycke har gjorts för behandlingar som är nödvändiga för vissa i lagen angivna ändamål. Exempelvis kan en behandling av personuppgifter vara tillåten efter en intresseavvägning enligt 10 punkten f personuppgiftslagen. Känsliga personuppgifter kan dock inte behandlas enbart efter en intresseavvägning. Känsliga personuppgifter Känsliga personuppgifter är enligt 13 personuppgiftslagen uppgifter som avslöjar ras eller etniskt ursprung, politiska åsikter, religiös eller filosofisk övertygelse eller medlemskap i fackförening. Även uppgifter som rör hälsa eller sexualliv utgör känsliga personuppgifter. Det är förbjudet att behandla känsliga personuppgifter om inte den registrerade lämnat sitt uttryckliga samtycke till behandlingen eller själv på ett tydligt sätt offentliggjort uppgifterna (15 personuppgiftslagen). Uppgifter som någon annan har offentliggjort omfattas inte, om inte den registrerade själv har offentligt bekräftat uppgifterna. I 16-19 personuppgiftslagen finns ytterligare undantag från kravet på samtycke. Förbudet är straff- och skadeståndssanktionerat. Personuppgifter om lagöverträdelser Enligt 21 personuppgiftslagen är det förbjudet för andra än myndigheter att behandla personuppgifter om lagöverträdelser som innefattar brott, domar i brottmål, straffprocessuella tvångsmedel eller administrativa frihetsberövanden. Av Datalagskommitténs betänkande (SOU 1997:39 s. 380) framgår att med
4 (5) lagöverträdelse avses förmodligen bara överträdelser av straffsanktionerade bestämmelser. En uppgift om att någon har eller kan ha begått en stöld utgör otvivelaktigt en uppgift om lagöverträdelse även om det inte finns någon dom beträffande brottet; uppgiften har kvalificerats till att avse något visst brott. Det framstår däremot som mera tveksamt i vad mån uppgifter om faktiska iakttagelser kan anses utgöra uppgifter om lagöverträdelser. I det formulär Norn har tagit fram finns fritextfält som bland annat avser platsbeskrivning och beskrivning av brottet/händelsen. Dessa fritextfält möjliggör angivelse av misstänkt förövare, vilket i kombination med angivelse av det aktuella brottet är en personuppgift om lagöverträdelse. Sådana personuppgifter får behandlas enbart av myndigheter och således inte av Norn. De olika fritextfälten möjliggör också lämnande av diverse personuppgifter, rörande såväl brottsoffer och förövare som vittnen. Det finns en stor risk för att vissa av de personuppgifter som lämnas kan vara känsliga, t.ex. röra hälsa eller sexualliv. Så som formuläret idag är utformat kräver Norn inget samtycke från den som uppgifterna avser. En sådan hantering av känsliga personuppgifter är inte förenlig med personuppgiftslagen. Även för behandling av övriga personuppgifter krävs samtycke, eftersom Norn inte kan behandla personuppgifter med stöd av en intresseavvägning enligt 10 f personuppgiftslagen. Med hänsyn till att ett brott begånget mot person ofta utgör en integritetskränkning i sig och uppgifter med anledning av brottet ofta är av känslig karaktär för den enskilde, kan Norns intresse av att erbjuda tjänsten inte anses väga tyngre än den enskildes intresse av skydd mot kränkning av den personliga integriteten. Norns behandling av personuppgifter strider således mot bestämmelserna i personuppgiftslagen. Datainspektionen förelägger Norn att omedelbart upphöra med den personuppgiftsbehandling som föranleds av tjänsten polisanmälan.nu. Datainspektionen vill påpeka att med hänsyn till att det rör sig om en webbaserad tjänst och då det inte krävs någon form av identifiering, föreligger stora svårigheter att visa att personuppgifter lämnas med stöd av samtycke från den som uppgifterna avser. Oavsett om Norn utformar tjänsten på ett sådant sätt att uppgift om gärningsman inte kan lämnas och att samtycke krävs för övrig personuppgiftsbehandling, ifrågasätter därför Datainspektionen lämpligheten i att ett privat företag behandlar denna typ av personuppgifter. På Datainspektionens vägnar Britt Marie Wester Hélène Samuelsson
5 (5) Hur man överklagar Om ni vill överklaga beslutet skall ni skriva till Datainspektionen. Ange i skrivelsen vilket beslut som överklagas och den ändring som ni begär. Överklagandet skall ha kommit in till Datainspektionen senast tre veckor från den dag Ni fick ta del av beslutet för att kunna prövas. Datainspektionen sänder överklagandet vidare till Länsrätten i Stockholms län för prövning om inspektionen inte själv ändrar beslutet på det sätt ni har begärt.