Beslut efter tillsyn enligt personuppgiftslagen (1998:204)

Relevanta dokument
Allmänna riktlinjer för behandling av personuppgifter enligt Personuppgiftslagen (PuL)

Personuppgiftsbehandling i forskning

Personuppgiftsbehandling för forskningsändamål

Pul i praktiken LINKÖPINGS KYRKLIGA SAMFÄLLIGHET

Beslut efter tillsyn enligt personuppgiftslagen (1998:204)

Tillsyn enligt personuppgiftslagen (1998:204) En forskningsstudie vid Örebro universitet med känsliga personuppgifter om barn

Pass 6. Skydd för personlig integritet. SND Svensk nationell datatjänst

Beslut efter tillsyn enligt personuppgiftslagen (1998:204)

Personuppgiftslagen konsekvenser för mitt företag

Tillsyn enligt personuppgiftslagen (1998:204) användning av s.k. elektroniska nycklar hos ett bostadsbolag

Personuppgiftsbiträdesavtal

Integritetspolicy Våra Gårdar

Beslut efter tillsyn enligt personuppgiftslagen (1998:204) PuL

Tillsyn enligt personuppgiftslagen (1998:204) uppföljning av ärende om Kristdemokraternas medlemsregister

Tillsyn enligt personuppgiftslagen (1998:204) registrering av kunduppgifter samt klagomåls- och reklamationshantering

Riktlinjer för ansökan om etikprövning

Ansökan om undantag från förbudet i 21 personuppgiftslagen (1998:204)

Beslut efter tillsyn enligt personuppgiftslagen (1998:204) PuL

Kapitel 4 Behandling av personuppgifter Sida 1 av 5

Beslut efter tillsyn enligt personuppgiftslagen (1998:204) PuL

Lathund Personuppgiftslagen (PuL)

Känsliga uppgifter 6. Personnummer på klasslistor 8. Uppgifter om familjemedlemmar 8. Bevarande av uppgifterna 10. Innehållsförteckning.

STYRDOKUMENT DATUM. Dokumenttyp Dokumentnamn Fastställd/upprättad Beslutsinstans Giltighetstid Instruktion för behandling av personuppgifter

Personuppgiftspolicy. Fastställd efter FS-beslut 19 april 2018

Tillsyn enligt personuppgiftslagen (1998:204) utlämnande av uppgifter om medlemmar

Dataskyddsförordningen GDPR

Tillsyn enligt personuppgiftslagen (1998:204) registrering av känsliga personuppgifter om anställda

PERSONUPPGIFTSLAGEN (PUL)

Tillsyn enligt personuppgiftslagen (1998:204); behandling av personuppgifter för kontroll av anställda

Bilaga Personuppgiftsbiträdesavtal

Mats Gustavsson Jurist Personuppgiftsombud Karolinska Institutet tfn ,

Beslut efter tillsyn enligt personuppgiftslagen (1998:204)

Omfattning och syfte Denna policy gäller för Volvo Cars-koncernens (kallad Volvo Cars eller vi ) behandling av kunders personuppgifter.

Tillsyn enligt personuppgiftslagen (1998:204)

Tillsyn enligt personuppgiftslagen (1998:204) registrering av kunduppgifter samt klagomåls- och reklamationshantering

Riktlinjer för hantering av personuppgifter

Vägledning för bolag. Ej gällande. Ansvaret för personuppgifter som hanteras i system för whistleblowing

BILAGA Personuppgiftsbiträdesavtal

Tillsyn enligt personuppgiftslagen (1998:204) inspelning av telefonsamtal i kundtjänst

RIKTLINJE FÖR HANTERING AV PERSONUPPGIFTER

Denna policy gäller för Fordonsmäklarna (kallad Fordonsmäklarna eller "vi") behandling av kunders personuppgifter.

Tillsyn enligt personuppgiftslagen (1998:204) ang. omdömen i en interaktiv tjänst på Internet

Beslut efter tillsyn enligt personuppgiftslagen (1998:204) PuL

Undantag från förbudet i 21 personuppgiftslagen (1998:204)

Tillsyn enligt personuppgiftslagen (1998:204) Behandling av känsliga personuppgifter i mobila enheter

INTEGRITETSPOLICY FÖR HUFVUDSTADENS HYRESGÄSTER

Tillsyn enligt kameraövervakningslagen (2013:460) kameraövervakning av hotell

Tillsyn enligt personuppgiftslagen (1998:204) hantering av personnummer i samband med prisförfrågan

Tillsyn enligt personuppgiftslagen (1998:204) mot IOGT-NTO behandling av uppgifter i medlemsregister

Personuppgifter i forskningen vilka regler gäller?

HÖGSTA FÖRVALTNINGSDOMSTOLENS DOM

Beslut efter tillsyn enligt personuppgiftslagen (1998:204) av Stensjö Fastigheter

Personuppgifter. Behandling av personuppgifter

Tillsyn enligt personuppgiftslagen (1998:204) Behandling av personuppgifter i e-post

Tillsyn enligt personuppgiftslagen (1998:204) uppföljning av ärende om Socialdemokraternas medlemsregister

PERSONUPPGIFTSBITRÄDESAVTAL Hantering av personuppgifter i Skyddat Webbaserat informationssystem (WIS)

Ansökan om undantag från förbudet i 21 personuppgiftslagen

Beslut efter tillsyn enligt personuppgiftslagen (1998:204)

Tillsyn enligt personuppgiftslagen (1998:204) uppföljning av ärende om Vänsterpartiets medlemsregister

Personuppgiftslagen 20 april 2010

PERSONUPPGIFTSLAG. Den fysiska person som, efter förordnande av den personuppgiftsansvarige,

Personuppgiftsansvar för behandling av personuppgifter i det centrala kriminalunderrättelseregistret, KUR

Beslut efter tillsyn enligt personuppgiftslagen (1998:204)

DOM Meddelad i Stockholm

Säkerhetspolisens behandling av känsliga personuppgifter i fristående databaser

PRINCIPER FÖR BEHANDLING AV PERSONUPPGIFTER I SALA KOMMUN

Personuppgiftsbiträdesavtal

Tillsyn enligt personuppgiftslagen (1998:204)- två forskningsprojekt vid Bristol-Myers Squibb AB

Tillsyn enligt personuppgiftslagen (1998:204) kontroll av anställda

Sammanträdesdatum Arbetsutskott (1) 134 Dnr KS/2015:410. Personuppgiftslagen - förslag på riktlinje för Mjölby kommun

Tillsyn enligt kameraövervakningslagen (2013:460) kameraövervakning av hotell

Beslut efter tillsyn enligt personuppgiftslagen (1998:204)

Tillsyn enligt personuppgiftslagen (1998:204) Behandling av känsliga personuppgifter i mobila enheter

Tillsyn enligt personuppgiftslagen (1998:204) Seamless Payment AB

Tillsyn enligt personuppgiftslagen (1998:204) avseende den webbaserade tjänsten Squill

Integritetspolicy - SoftOne

Beslut efter tillsyn enligt personuppgiftslagen (1998:204) registrering av icke kyrkotillhöriga barn

Personuppgiftsansvar och ändamålsprövning enligt fastighetsregisterlagen

PERSONUPPGIFTSBITRÄDESAVTAL

Tillsyn enligt personuppgiftslagen (1998:204) avseende behörighetsstyrning i ParaGå

Regel. Behandling av personuppgifter i Riksbanken. 1 Personuppgifter

Tillsyn enligt personuppgiftslagen (1998:204) Behandling av personuppgifter i e-post

PERSONUPPGIFTSBITRÄDESAVTAL

Personuppgiftspolicy

Information till varje registrerad/anställd enligt personuppgiftslagen (PuL)

Etikprövningslagen. Reglering efter 2:a världskriget. Lagar som reglerar forskning i Sverige.

Undantag från förbudet i 21 personuppgiftslagen (1998:204)

Svensk författningssamling

Personuppgiftsbiträdesavtal

Betänkandet EU:s direktiv om sanktioner mot arbetsgivare (SOU 2010:63)

Svensk författningssamling

Tillsyn enligt personuppgiftslagen (1998:204) Behandling av känsliga personuppgifter i mobila enheter

Personuppgiftsbiträdesavtal Zynatic Medlemsregister

Etikprövningslagen. Reglering efter 2:a världskriget. Lagar som reglerar forskning i Sverige. Nürnbergskoden 1947

Saknar du svar på någon fråga får du gärna hör av dig till oss. Information om hur du kontaktar oss finns under avsnitt 16 Kontaktuppgifter.

INTEGRITETSTSPOLICY AVSEENDE RESTAURANGGÄSTER MED FLERA

Dataskyddsförordningen ( GDPR ) Vad innebär förordningen för verksamheten?

Kaffemöte. lördagen den 12 november Studieförbundet Vuxenskolans lokaler Grynbodgatan 20

Anmälan av personuppgiftsincident

Tillsyn över behandling av uppgifter och inhämtade av samtycke

Transkript:

Beslut Dnr 2006-07-10 706-2006 Norn Integrated Computer Systems AB Box 439 194 04 Upplands Väsby Beslut efter tillsyn enligt personuppgiftslagen (1998:204) Datainspektionens beslut Datainspektionen konstaterar att Norn Integrated Computer Systems AB (Norn) genom översändning av personuppgifter behandlar personuppgifter i den mening som avses i personuppgiftslagen. I den mån behandlingen avser personuppgifter om lagöverträdelser eller känsliga personuppgifter strider behandlingen mot 21 respektive 13 personuppgiftslagen. I övrigt strider den behandling av personuppgifter som Norn utför med anledning av tjänsten polisanmälan.nu mot 9 och 10 personuppgiftslagen. Datainspektionen förelägger Norn att omedelbart upphöra med den personuppgiftsbehandling som föranleds av tjänsten polisanmälan.nu. Redogörelse för tillsynsärendet Datainspektionen har genom en artikel på Internet uppmärksammat webbplatsen www.polisanmalan.nu, som tillhandahålls av Norn. På webbplatsen kan vem som helst göra en polisanmälan, som sedan vidarebefordras av Norn till närmaste polismyndighet. Anmälan består till stor del av fritextfält och däri uppmanas anmälaren ange bland annat följande uppgifter; - vad det rör sig om för brott, - beskrivning av vad som hände och föregick brottet/händelsen, - om det finns vittnen samt uppgifter om deras namn, adress, telefonnummer och e-postadress, - stölder, skador och förluster samt detaljerade uppgifter om personer och namn, - anmälarens namn och eventuellt målsägandens namn. Datainspektionen har inlett tillsyn mot Norn, som har yttrat sig. Postadress: Box 8114, 104 20 STOCKHOLM E-post: datainspektionen@datainspektionen.se Besöksadress: Fleminggatan 14, plan 9 Telefon: 08-657 61 00 Webbplats: www.datainspektionen.se Telefax: 08-652 86 52

Skäl för beslutet Norn har uppgett i huvudsak följande. 2 (5) Eftersom Norn inte har tillgång till anmälarens uppgifter och inte heller lagrar uppgifterna i någon form av datamedia eller i annat format äger Norn ingen kännedom om det förekommer angivanden av misstänkta gärningsmän i fritextfälten i anmälan. Norn har, får eller lagrar ingen som helst information om huruvida anmälan sker av målsägaren eller annan juridisk person. Däremot uppmanar Norn den senare att införskaffa ett godkännande från målsägaren om så är fallet, varigenom Norn underlättar för polisen att hantera en inkommen anmälan. Grunden i Norns system är programvara från IBM, Domino/Lotus Notes, vilken i sig är känd för en hög standardsäkerhet med många möjligheter att styra behörigheten till de applikationer som utvecklas med stöd av script, etc. På Dominoservern omvandlas momentant (dvs. när användaren väljer att skicka anmälan) anmälningsformuläret till Domino/Lotus Notes krypterade mejlformat. Överföringen till polisen via Internet sker krypterat i den mån mottagarens e-postsystem stödjer S/Mime och certifikat tillhandhålls annars sker överföringen som i all vanlig e-postkommunikation okrypterad. Om det föreligger tekniska fel på Internetanslutningen eller om någon bryter sig in i Norns lokaler och stjäl servern ligger oskickad e-post alltid kvar i krypterat tillstånd. Därtill krävs särskild behörighet för att ta sig in i Dominoservern, vilket inte låter sig ske. För ökad säkerhet har Norn även tillfört en funktion med SLL-certifikat. Norn har ingen som helst möjlighet att läsa eller redigera upprättade handlingar, varken när de skapas, sparas eller skickas till respektive polismyndighet. Det sker ingen som helst lagring av den ingående informationen i Norns datasystem. Det enda som lagras i Dominodatabasen är tidpunkten för anmälan och till vilken polismyndighet som anmälan skickas. Inga loggar upprättas i datasystemet utan all tillfällig information återfinns tillfälligt i RAM-minnet. Datainspektionen gör följande bedömning. Behandling av personuppgifter Enligt 3 personuppgiftslagen utgör varje åtgärd eller serie av åtgärder som vidtas i fråga om personuppgifter, vare sig det sker på automatisk väg eller inte behandling av personuppgifter. Det kan röra sig om insamling, registrering, organisering, lagring, bearbetning eller ändring, återvinning, inhämtande, användning, utlämnande genom översändande, spridning eller annat tillhandahållande av uppgifter, sammanställning eller samkörning, blockering, utplåning eller förstöring. Även om Norn inte läser, redigerar eller lagrar den information som översänds till polismyndigheten, utgör själva översändningen en behandling av personuppgifter.

3 (5) Personuppgiftsansvarig Den som bestämmer ändamålen med och medlen för behandlingen av personuppgifter är personuppgiftsansvarig enligt 3 personuppgiftslagen. Den personuppgiftsansvarige har ett skadeståndssanktionerat ansvar för att behandlingen av personuppgifter sker i enlighet med bestämmelserna i lagen. Norn har utvecklat och tillhandahåller den webbaserade tjänsten polisanmälan.nu. Då Norn bestämmer ändamålen med och medlen för behandlingen av personuppgifter är företaget även personuppgiftsansvarig för tjänsten. Grundläggande krav För att det överhuvudtaget skall vara tillåtet att behandla personuppgifter krävs alltid att de grundläggande kraven i 9-10 personuppgiftslagen är uppfyllda. Enligt 9 får personuppgifter exempelvis bara behandlas när det är lagligt och får bara samlas in för särskilda, uttryckligt angivna och berättigade ändamål. I vilka fall det är berättigat att samla in och behandla personuppgifter framgår av personuppgiftslagen och anknytande lagstiftning. Fler personuppgifter får inte heller behandlas än vad som är nödvändigt med hänsyn till ändamålen med behandlingen. Enligt huvudregeln i 10 personuppgiftslagen krävs den enskildes samtycke för att det skall vara tillåtet att behandla personuppgifter. Med samtycke avses varje slag av frivillig, särskild och otvetydig viljeyttring genom vilken den registrerade, efter att ha fått information, godtar behandling av personuppgifter som rör honom eller henne. Personuppgiftslagen ställer med andra ord stora krav för att ett samtycke ska vara giltigt i lagens mening. Undantag från kravet på samtycke har gjorts för behandlingar som är nödvändiga för vissa i lagen angivna ändamål. Exempelvis kan en behandling av personuppgifter vara tillåten efter en intresseavvägning enligt 10 punkten f personuppgiftslagen. Känsliga personuppgifter kan dock inte behandlas enbart efter en intresseavvägning. Känsliga personuppgifter Känsliga personuppgifter är enligt 13 personuppgiftslagen uppgifter som avslöjar ras eller etniskt ursprung, politiska åsikter, religiös eller filosofisk övertygelse eller medlemskap i fackförening. Även uppgifter som rör hälsa eller sexualliv utgör känsliga personuppgifter. Det är förbjudet att behandla känsliga personuppgifter om inte den registrerade lämnat sitt uttryckliga samtycke till behandlingen eller själv på ett tydligt sätt offentliggjort uppgifterna (15 personuppgiftslagen). Uppgifter som någon annan har offentliggjort omfattas inte, om inte den registrerade själv har offentligt bekräftat uppgifterna. I 16-19 personuppgiftslagen finns ytterligare undantag från kravet på samtycke. Förbudet är straff- och skadeståndssanktionerat. Personuppgifter om lagöverträdelser Enligt 21 personuppgiftslagen är det förbjudet för andra än myndigheter att behandla personuppgifter om lagöverträdelser som innefattar brott, domar i brottmål, straffprocessuella tvångsmedel eller administrativa frihetsberövanden. Av Datalagskommitténs betänkande (SOU 1997:39 s. 380) framgår att med

4 (5) lagöverträdelse avses förmodligen bara överträdelser av straffsanktionerade bestämmelser. En uppgift om att någon har eller kan ha begått en stöld utgör otvivelaktigt en uppgift om lagöverträdelse även om det inte finns någon dom beträffande brottet; uppgiften har kvalificerats till att avse något visst brott. Det framstår däremot som mera tveksamt i vad mån uppgifter om faktiska iakttagelser kan anses utgöra uppgifter om lagöverträdelser. I det formulär Norn har tagit fram finns fritextfält som bland annat avser platsbeskrivning och beskrivning av brottet/händelsen. Dessa fritextfält möjliggör angivelse av misstänkt förövare, vilket i kombination med angivelse av det aktuella brottet är en personuppgift om lagöverträdelse. Sådana personuppgifter får behandlas enbart av myndigheter och således inte av Norn. De olika fritextfälten möjliggör också lämnande av diverse personuppgifter, rörande såväl brottsoffer och förövare som vittnen. Det finns en stor risk för att vissa av de personuppgifter som lämnas kan vara känsliga, t.ex. röra hälsa eller sexualliv. Så som formuläret idag är utformat kräver Norn inget samtycke från den som uppgifterna avser. En sådan hantering av känsliga personuppgifter är inte förenlig med personuppgiftslagen. Även för behandling av övriga personuppgifter krävs samtycke, eftersom Norn inte kan behandla personuppgifter med stöd av en intresseavvägning enligt 10 f personuppgiftslagen. Med hänsyn till att ett brott begånget mot person ofta utgör en integritetskränkning i sig och uppgifter med anledning av brottet ofta är av känslig karaktär för den enskilde, kan Norns intresse av att erbjuda tjänsten inte anses väga tyngre än den enskildes intresse av skydd mot kränkning av den personliga integriteten. Norns behandling av personuppgifter strider således mot bestämmelserna i personuppgiftslagen. Datainspektionen förelägger Norn att omedelbart upphöra med den personuppgiftsbehandling som föranleds av tjänsten polisanmälan.nu. Datainspektionen vill påpeka att med hänsyn till att det rör sig om en webbaserad tjänst och då det inte krävs någon form av identifiering, föreligger stora svårigheter att visa att personuppgifter lämnas med stöd av samtycke från den som uppgifterna avser. Oavsett om Norn utformar tjänsten på ett sådant sätt att uppgift om gärningsman inte kan lämnas och att samtycke krävs för övrig personuppgiftsbehandling, ifrågasätter därför Datainspektionen lämpligheten i att ett privat företag behandlar denna typ av personuppgifter. På Datainspektionens vägnar Britt Marie Wester Hélène Samuelsson

5 (5) Hur man överklagar Om ni vill överklaga beslutet skall ni skriva till Datainspektionen. Ange i skrivelsen vilket beslut som överklagas och den ändring som ni begär. Överklagandet skall ha kommit in till Datainspektionen senast tre veckor från den dag Ni fick ta del av beslutet för att kunna prövas. Datainspektionen sänder överklagandet vidare till Länsrätten i Stockholms län för prövning om inspektionen inte själv ändrar beslutet på det sätt ni har begärt.

2024 © DocPlayer.se Sekretesspolicy | Användarvillkor | Kontakta oss