Datainspektionenn Verksamhetsplan 2008 Fastställd den 19 december 2007 (dnr 1359-2007)
December 2007 Verksamhetsplanen för 2008 Denna verksamhetsplan har i stort sett samma inriktning som de senaste årens. I regleringsbrevet sägs att vi ska fokusera på känsliga områden, nya företeelser och områden där risken för missbruk är särskilt stor. Vi har också fått i uppgift att delta i utvecklingsarbetet av E-förvaltningen. Regleringsbrevet för 2008 innehåller även en särskild begäran om återrapportering av de insatser, som Datainspektionen utfört inom polisområdet. Det uppfattar jag som en signal om att detta är ett prioriterat område. Vår strävan att synliggöra integritetsfrågorna så mycket som möjligt ligger fast som en grundläggande strategi. För att kunna göra det måste vi ha något att berätta. Av bl. a. det skälet ska vi försöka att öka insatserna avseende både tillsyn och inspektioner under 2008 samt lägga fokus på sådana frågor, som särskilt berör medborgaren. Vi ska också försöka bredda vårt arbetssätt när det gäller internetrelaterade problem samt öka vår kunskap om överföring av personuppgifter till tredje land. Slutligen ska arbetet med ständiga förbättringar av våra arbetssätt fortgå, även om några större projekt inom det området inte är planerade. 2007 års satsning på språkvård får inte tappas bort. Vidare finns en insikt att vi behöver bli bättre på att utvärdera våra insatser. 2008 har alla förutsättningar att bli ett händelserikt och spännande år för Datainspektionen. Inte minst intressant är Integritetsskyddskommitténs slutbetänkande, som kommer att presenteras strax efter årsskiftet. Göran Gräslund
Datainspektionens uppdrag... 2 Instruktionen... 2 Regleringsbrevet för 2008... 3 Omvärlden... 3 Utvecklingstendenser... 3 Ny lagstiftning... 5 Inriktning m.m.... 6 Viktiga områden 2008... 6 Arbetssätt... 7 Behandling av personuppgifter... 8 Sprida medvetenhet... 8 Förmedla kunskap och ge råd och hjälp... 8 Förebygga fel och missbruk... 12 Granska och åstadkomma rättelse m.m.... 12 Följa och beskriva utvecklingen på IT-området... 14 Internationellt arbete... 14 Kreditupplysnings- och inkassoverksamhet... 15 Sprida medvetenhet... 15 Förmedla kunskap och ge råd och hjälp... 16 Förebygga fel och missbruk... 16 Granska och åstadkomma rättelse... 16 Övriga aktiviteter... 18
2 Inledning De dokument som beskriver Datainspektionens uppdrag och som ligger till grund för verksamhetsplanen för 2008 är myndighetens instruktion samt regleringsbrevet. Datainspektionen identifierar de utvecklingstendenser i omvärlden som kan komma att påverka arbetet under året. Verksamhetsplanen anger också den inriktning och det arbetssätt Datainspektionen fastställt. Vidare redovisas viktiga områden för verksamheten 2008. Verksamhetsplanen är inte en fullständig översikt över samtliga arbetsuppgifter inom myndigheten. Planen upptar framförallt de särskilda aktiviteter utöver löpande arbete - som är planerade inom områden där inspektionen tar egna initiativ eller har behov av att fastlägga tydliga ambitionsnivåer. Datainspektionens uppdrag Instruktionen Datainspektionens uppgift är att vara tillsynsmyndighet enligt personuppgiftslagen (1998:204) och tillstånds- och tillsynsmyndighet enligt kreditupplysningslagen (1973:1173) och inkassolagen (1974:182). Vidare framgår bl.a. av instruktionen att Datainspektionen särskilt ska inrikta sin verksamhet på att informera om gällande regler och ge råd och hjälp åt personuppgiftsombud enligt personuppgiftslagen, samt följa och beskriva utvecklingen på IT-området när det gäller frågor som rör integritet och ny teknik. Datainspektionen ska även -vara tillsynsmyndighet enligt artikel 28 i Europaparlamentets och rådets direktiv 95/46/EG av den 24 oktober 1995 om skydd för enskilda personer med avseende på behandling av personuppgifter och om det fria flödet av sådana uppgifter, -fullgöra de förpliktelser som nämns i artikel 13 i Europarådets konvention om skydd för enskilda vid automatisk databehandling av personuppgifter när det gäller att lämna uppgifter till behörig myndighet i en stat som är ansluten till konventionen, -vara nationell tillsynsmyndighet enligt artikel 23 i konventionen om upprättande av europeisk polisbyrå (Europolkonventionen), artikel 114 i konventionen om tillämpning av Schengenavtalet av den 14 juni 1985 (Schengenkonventionen), och artikel 17 i konventionen om användning av informationsteknologi för tulländamål (TIS-konventionen).
Regleringsbrevet för 2008 en för Datainspektionens verksamheter avseende tillsyn över behandlingen av personuppgifter respektive tillsyn och tillståndsgivning inom kreditupplysnings- och inkassoverksamhet är enligt regleringsbrevet följande. Behandling av personuppgifter 1. Datainspektionen ska genom sin tillsynsverksamhet bidra till att behandlingen av personuppgifter inte medför otillbörligt intrång i enskildas personliga integritet och att reglerna för sådan behandling följs. et ska nås utan att användningen av teknik onödigt hindras eller försvåras. 2. Datainspektionen ska sträva efter att på ett tidigt stadium upptäcka och förebygga hot mot den personliga integriteten. Fokus skall läggas på känsliga områden, nya företeelser och områden där risk för missbruk är särskilt stor. 3. Datainspektionen skall bidra till utvecklingen av en effektiv och rättssäker elektronisk förvaltning genom att särskilt bevaka enskildas personliga integritet. I regleringsbrevets återrapporteringskrav anges bl.a. att Datainspektionen ska redovisa de åtgärder som myndigheten har vidtagit avseende den personliga integriteten för att bidra till en rättssäker och effektiv brottsbekämpning. Redovisningen ska ske mot bakgrund av utvecklingen av polisens personuppgiftsbehandling. Kreditupplysnings- och inkassoverksamhet Datainspektionen ska verka för att god sed iakttas i kreditupplysnings- och inkassoverksamhet. Omvärlden Utvecklingstendenser Datainspektionen kan se ett antal tendenser i omvärlden som kan få betydelse för inspektionens verksamhet. Det finns en tendens till att identifiera människor i allt högre utsträckning. Möjligheterna och försöken till s.k. id-stöld kan förväntas öka och därmed påverka denna utveckling. Användningen av biometri i identifierings- och autentiseringssyfte fortsätter utvecklas och biometrisk information inkluderas i pass och andra idhandlingar. Implementeringen av trafikdatalagringsdirektivet fortskrider. Elektroniska spår som lämnas i samband med elektronisk kommunikation, t.ex. 3
telefonsamtal, e-post och Internetanvändning ska sparas och användas för att i efterhand kunna utreda mellan vilka kommunikation ägt rum. 4 Internationaliseringen innebär att personuppgifter sprids utanför Sverige. Multinationella bolag vill exempelvis överföra och samla personuppgifter centralt i organisationen. Det internationella tull- och polissamarbetet medför krav på ökat utbyte av personuppgifter. RFID (Radio Frequency Identification) används för identifiering av personer och olika typer av betaltjänster, t.ex. kollektivtrafiken. Fortsatt ökad användning av bevakningskameror exempelvis på arbetsplatser, i hyreshus och i skolor. Kameror som klarar av att känna igen ansikten och fånga upp misstänka rörelsemönster utvecklas. Förbättrade söktjänster för sammanställning av ostrukturerade data fortsätter utvecklas liksom möjligheten att utföra sökningar i stora informationsmängder. IT byggs in i och samspelar med annan teknik. I bilar testas system som kommunicerar och samverkar med system utanför bilarna, t.ex. larmsystem, räddningstjänst och satellitpositioneringssystem. Arbetet fortskrider med att förverkliga visionerna om en sammanhållen e- förvaltning. Även inom den privata sektorn ökar användningen av liknande system i motsvarande syfte. Arbetet kring sammanhållna journaler och ökat utbyte av patientuppgifter mellan olika typer av vårdgivare fortsätter. Kommuner kopplas ihop med sjukvårdsnäten. Program som innehåller funktioner för att samla information om användaren blir vanligare (spyware). Även aktiva/riktade försök att komma åt sådan information ökar (phishing). Kommunikationskapaciteten genom bredband och tredje generationens mobilsystem (3G) ökar liksom användningen av trådlösa nät, t.ex. WLAN, i hemmet, på allmänna platser och på arbetsplatser. IT och telekommunikationstekniken växer samman. Mobiltelefoner kan mer och mer ses som datorer med omfattande lagrings- och multimediakapacitet. Stora mängder trafikdata i teletrafiken skapas och registreras. Portabla enheter (t.ex. digitalkameror, mp3-spelare, portabla hårddiskar, USB-minnen, handdatorer och mobiltelefoner) får allt större
5 datalagringskapacitet, vilket ökar risken för att stora datamängder kommer på avvägar. Kreditupplysningsjänster via SMS och på Internet fortsätter utvecklas. Uppgifter som tidigare utfördes på den egna datorn, t.ex. ordbehandling, planeringskalendrar och liknande, kan numera utföras med hjälp av webbtjänster vilket påverkar personuppgiftsansvarigas möjlighet till kontroll över personuppgifter. Anonymiseringstjänster för Internet fortsätter utvecklas och får ökad spridning, vilket ökar risken för att enskildas personliga integritet kränks. Bloggutvecklingen i samhället innebär att fler personuppgifter publiceras och sprids över Internet vilket i sin tur ökar risken för att enskildas personliga integritet kränks. Privatpersoners handel över Internet ökar vilket innebär ökad behandling av personuppgifter eftersom du inte kan vara anonym när du handlar. Ny lagstiftning Ny lagstiftning om personuppgiftsbehandlingen hos Försvarsmakten och Försvarets radioanstalt trädde i kraft den 1 juli 2007 (prop. 2006/07:46). Datainspektionen är tillsynsmyndighet vid sidan av Försvarets underrättelsenämnd. Aktivitet Samråd ska ske med Datainspektionen vid utfärdande av föreskrifter och inspektionen får ge föreskrifter om personuppgiftsombudens förteckningar. (MA) I propositionen (2006/07:133) Ytterligare rättssäkerhetsgarantier vid användandet av hemliga tvångsmedel, m.m. föreslås en ny myndighet, Säkerhets- och integritetsskyddsnämnden, som ska utöva tillsyn över brottsbekämpande myndigheters användning av hemliga tvångsmedel och kvalificerade skyddsidentiteter och över SÄPO:s behandling av personuppgifter. Datainspektionen ska ha kvar tillsynsansvar över SÄPOS:s behandling av personuppgifter, vid sidan av nämnden, och alltjämt ha tillsyn över den vanliga polisens personuppgiftsbehandling. Nämnden ska anmäla till Datainspektionen omständigheter som inspektionen behöver uppmärksammas på. En anmälan ska föregås av samråd. Avsikten är att förslagen ska träda i kraft den 1 januari 2008. Trafikuppgiftsutredningens slutbetänkande Lagring av trafikuppgifter för brottsbekämpningen avlämnades i november 2007. I betänkandet föreslås att PTS som tillsynsmyndighet ska utfärda närmare föreskrifter om säkerheten kring de trafikuppgifter som operatörerna inom elektronisk kommunikation ska lagra.
6 Aktivitet PTS föreskrifter ska tas fram efter samråd med bl.a. Datainspektionen. Det kan förväntas påverka inspektionens arbete under senare delen av år 2008. (MA) En ny patientdatalag har föreslagits av Patientdatautredningen. Lagen avses träda ikraft tidigast den 1 juli 2008. I utredningens betänkande har också föreslagits att Socialstyrelsen ska kunna meddela föreskrifter om logguppföljning, behörighetstilldelning och åtkomstkontroll. Aktivitet Socialstyrelsens föreskrifter ska tas fram efter samråd med Datainspektionen, vilket kan påverka Datainspektionens arbete under 2008. (V) Bland pågående lagstiftningsarbete i övrigt av betydelse för personuppgiftsbehandling kan här nämnas ny polisdatalag, lagstiftning om domstolarnas personuppgiftsbehandling och ändringar i kreditupplysningslagen med avseende på bl.a. grundlagsskyddad kreditupplysning. I dessa tre lagstiftningsärenden förväntas departementspromemorior under hösten 2007. Integritetsskyddskommitténs slutbetänkande avlämnas i början av år 2008. Datainspektionens roll kan komma att behandlas däri. Inriktning m.m. Datainspektionen ska uppnå målen för verksamheten genom att: sprida medvetenhet väcka debatt varna för risker förmedla kunskap ge råd och hjälp förebygga fel och missbruk granska och säkerställa Viktiga områden 2008 Följande områden där behandling av personuppgifter förekommer är särskilt viktiga under året Brottsbekämpning E-förvaltning Hälso- och sjukvård Internet Överföring av personuppgifter till tredje land Skuldsatta barn som blir föremål för inkasso
Arbetssätt Kommunikation En väl fungerande kommunikation är en grundförutsättning för att Datainspektionen ska kunna utföra sitt uppdrag framgångsrikt. Kommunikationen med omvärlden ska därför ses som en del i Datainspektionens kärnverksamhet. 7 Vår uppgift är att synliggöra integritetsfrågorna. Uppmärksamhet i media är en avgörande framgångsfaktor. För att få uppmärksamhet, måste vi ha något att berätta. Myndighetsutövning och proaktivt arbetssätt En central uppgift för Datainspektionen är att i sin tillsynsverksamhet tolka och tillämpa reglerna i personuppgiftslagen, kreditupplysningslagen och inkassolagen. Inspektionen arbetar dessutom proaktivt bl.a. genom att: uppmärksamma behovet av nya eller ändrade författningar, påverka centrala aktörer, delta i nätverk, gå ut i massmedia, ta egna initiativ till inspektioner, slå larm om konsekvenserna av viss IT-utveckling, göra omvärldsanalyser, ge råd i utvecklingsarbete, och bedriva riktad utbildning. Prioritera I samhället utförs varje dag en ofantlig mängd personuppgiftsbehandlingar. Datainspektionens stora utmaning är att på bästa sätt ta vara på de tämligen begränsade personella och ekonomiska resurserna. Datainspektionen måste därför försöka begränsa sina insatser beträffande arbetsuppgifter som inte är prioriterade enligt regleringsbrevet och som inte heller kan användas för att synliggöra integritetsfrågorna i samhället. Samverka med andra Datainspektionen ska aktivt samverka med det omgivande samhället kring frågor om personlig integritet. Inspektionens samverkansarbete ska bedrivas på alla nivåer. Arbetet ska inriktas på att etablera nätverk med andra och särskilt vad avser bidrag till utveckling av e-förvaltningen. Våga vara tydlig Datainspektionen ska alltid sträva mot att vara tydlig i sina beslut, i svar på förfrågningar och i andra ärenden samt i övrigt i sina kontakter med medborgarna.
Visa öppenhet De som kontaktar Datainspektionen ska mötas av största möjliga öppenhet och alla på Datainspektionen har ansvar för att dela med sig av information. Vara tillgänglig Det ska vara lätt att få kontakt med rätt person på inspektionen och information ska lämnas så snabbt som möjligt. Analysera Datainspektionen ska öka sin förmåga att analysera sitt verksamhetsområde. Behandling av personuppgifter Sprida medvetenhet Ta fram 4-5 pressreleaser per månad. Strategi Datainspektionen ska verka för att allmänheten blir medveten om sina rättigheter vid den personuppgiftsbehandling som förekommer i samhället och de integritetsrisker som är förenade med sådana behandlingar tillhandahålla en ständigt aktuell webbplats samt ge service till massmedia och bidra till att skapa en aktiv och levande debatt kring integritetsskyddsfrågor. Ta fram förslag till Månadens case (Infochef) Ta fram ett förslag till modell för en översikt över vad som hänt på integritetsskyddsområdet under år 2008. (Infochef) Klart 31 januari. Minst tre debattinlägg publiceras i lämpliga medier. (Infochef) Ta fram förslag till aktiviteter för Dataskyddsdagen den 28 januari 2009. (Infochef) Klart 30 september. 8 Förmedla kunskap och ge råd och hjälp Strategi Datainspektionen ska verka för att personuppgiftsansvariga, användare och personuppgiftsombud har de kunskaper de behöver för att kunna ta sitt ansvar.
Information (broschyrer, rapporter m.m.) 9 Successiv uppdatering av skrifter och broschyrer till PuL 2.0. (Infochef) Informationsmaterial om den nya patientdatalagen ska utarbetas och ersätta Information om vårdregisterlagen, Datainspektionen informerar nr 5. (V) Klart 15 september. Uppdaterat informationsmaterial om vad som gäller enligt PuL vid kameraövervakning. (MA) Klart 31 januari. Magazin DIrekt kommer ut med fyra nummer. (Infochef) Föreläsningar och konferenser Intäkterna ska uppgå till minst 1,2 MKR. Strategi Datainspektionen ska utbilda personuppgiftsombud, personuppgiftsansvariga och andra som behandlar personuppgifter genom att anordna konferenser, kurser, seminarier och föreläsningar. Uppdragsföreläsningar genomförs i mån av tid och resurser. Två PuL-kurser (vår och höst) för progamvaruutvecklare/leverantörer (V) Konferens om dataskyddsfrågor inom hälso- och sjukvården med information om en ny patientdatalag under hösten 2008. Samordnas av Komm-gruppen. V-teamet deltar i planering och genomförande. Klart 31 oktober. Datainspektionens författningssamling Aktivitet Ändring av Datainspektionens föreskrifter (DIFS 1998:3) vad gäller arbetslivet (whistleblowing) (MA) Klart 30 juni. Branschöverenskommelser Undersöka förutsättningarna för att få till stånd en branschöverenskommelse om vad som ska utgöra god sed vid kameraövervakning i flerfamiljshus. (N) Klart 31 mars. Undersöka förutsättningarna för att få till stånd en branschöverenskommelse om vad som ska utgöra god sed vid behandling
av personuppgifter i samband med användningen av elektroniska biljetter i kollektivtrafiken. (N) Klart 30 juni. 10 Personuppgiftsombud Datainspektionen ska arbeta för en fortsatt utveckling av systemet med personuppgiftsombud. Minst fyra PuO-seminarier steg 1 och två PuO-seminarier steg 2. Samordnas av V-teamet Ett PuO-seminarium riktat mot multinationella företag. Samordnas av V- teamet. Klart 30 april. Förfrågningar och samråd Enkla förfrågningar hanteras av callcentret och ska besvaras inom tre arbetsdagar. För det fall frågan kräver särskild utredning och inte kan besvaras inom tre arbetsdagar ska frågeställaren få besked om detta inom samma tid. Övriga förfrågningar ska vara besvarade inom två månader. Förfrågningar som är av särskilt komplicerad natur får i undantagsfall besvaras efter denna tid. Samråd ska vara besvarade inom två månader. Samråd som är av särskilt komplicerad natur får i undantagsfall besvaras efter denna tid. Kommittéarbete Strategi Datainspektionen ska vid förfrågan om att delta i utredningar prioritera de utredningar som ger mest effekt för integritetsskyddet. Om nödvändig sakkunskap redan finns i utredningen eller det annars är tillräckligt att utredningen samråder med Datainspektionen ska deltagande i utredningen avböjas. Utredningen om integritetsskydd i arbetslivet (N 2006:07). Agneta Runmarker deltar som expert. Utredningen ska redovisa sitt uppdrag senast den 1 oktober 2008. Apoteksmarknadsutredningen (S 2006:08). Katja Isberg Amnäs deltar som expert. Huvudbetänkandet överlämnas vid årsskiftet 2007/2008. Vissa frågor återstår till ett slutbetänkande i april 2008. Även därefter kan kvarstå utredningsbehov avseende registerhanteringen, varvid inspektionens medverkan kan komma att efterfrågas.
11 Utredningen om översyn av behandlingen av personuppgifter inom socialtjänsten (S 2007:09). Gaby Borglund deltar som expert. I september 2007 beslutades kommittédirektiv till en utredare som ska göra en översyn av behandlingen av personuppgifter inom åklagarväsendet avseende den brottsbekämpande verksamheten. Utredaren, som ska samråda med bl.a. Datainspektionen, ska redovisa uppdraget senast den 30 september 2008. Ytterligare kommittéarbete kan tillkomma under år 2008, t.ex. deltagande i en ny utredning om kameraövervakning. Remisser och delningar Strategi Remisser och delningar granskas främst utifrån Datainspektionens uppgift att verka för att människor skyddas mot att deras personliga integritet kränks genom behandling av personuppgifter. Synpunkter begränsas till frågor av väsentlig betydelse för integritetsskyddet. Ambitionen är inte att ge fullständigt utformade alternativa förslag när problem uppmärksammats. Uppföljning/utvärdering av i vilken utsträckning våra remissvar beaktas av lagstiftaren. (S) Klart 31 juli. Ta fram förslag till en rutin för uppföljning av våra remissvar. (Chefsjurist) Klart 30 september. E-förvaltning enligt regleringsbrevet Datainspektionen skall bidra till utvecklingen av en effektiv och rättssäker elektronisk förvaltning genom att särskilt bevaka enskildas personliga integritet. Aktivitetsplan för e-förvaltningen Fortsatt uppföljning av vägledningen för kommunerna (personuppgifter och e- förvaltning). (MA) Klart 30 juni. Ta fram ett informationsblad om den IT-säkerhet som bör gälla vid e-tjänster. (MA och V) Klart 31 augusti. Bevaka utvecklingen av e-förvaltning med anledning av regeringens handlingsplan. (MA) Klart 31 december. Skapa uppmärksamhet om integritetsrisker vid införande av e-förvaltning. (debattartikel). (MA) Klart 31 maj. Ett antal tillsynsaktiviteter inriktade på e-förvaltning. (MA och V)
12 Nätverkande Datainspektionen samverkar med Post- och telestyrelsen (PTS), Verva, Rikspolisstyrelsen, Konsumentverket (KoV), Socialstyrelsen, Statistiska centralbyrån, Sveriges Kommuner och Landsting, Carelink samt etikprövningsnämnderna. Syftet med Datainspektionens nätverkande är att sprida information om de rättsliga förutsättningarna för personuppgiftsbehandling och att fånga upp utvecklingstendenser. Samarbetet med myndigheterna syftar också till att skapa samsyn i dataskyddsfrågor och att klargöra gränser mellan myndigheternas tillsynsansvar. Beträffande PTS och KoV avser samarbetet även gemensam beredning av 29-gruppsärenden. Förebygga fel och missbruk Förhandskontroller Ärenden om förhandskontroller ska avgöras inom tre veckor. Internet Strategi Datainspektionen har en särskild policy, som vägledning för i vilka fall tillsyn ska inledas när det gäller publicering av personuppgifter på Internet. Policyn har justerats från den 1 januari 2008. Under 2008 är ambitionen dels att öka informationsinsatserna kring olika Internetföreteelser, dels utveckla kontakterna med viktiga aktörer och dels väcka tillsyn i några enskilda ärenden, som är typiska och vanligt förekommande på Internet. En inledande studie av vad sökmotorer som t.ex. Google och Yahoo gör med våra personuppgifter. (N) Klart 30 april. Ta fram underlag för att förse Surfa Lugnt kampanjen med relevant material (löpande). Upprepa ungdomsundersökningen från 2007 (Infochef) Klart 31 januari. Undersöka förutsättningarna för att knyta närmare kontakt och finna lämpliga arbetsformer med viktiga aktörer på Internet. (Internetgruppen) Klart 31 mars. Väcka tillsyn i ca 6 typiska fall, som visar hur enskilda personer kränks på nätet. Syftet är att sprida kännedom om hur enskilda kan gå tillväga för att få rättelse och kompensation för uppkommen skada. (MA,V,N) Klart 30 juni.
13 Analysera rättsläget avseende förhållandet mellan lagen om elektroniska anslagstavlor och personuppgiftslagen. (Chefsjurist) Klart senast 31 mars. Med hjälp av externa resurser genomföra en genomlysning av svenska Internetsajter. Syftet är att få en bättre uppfattning om omfattning och slag av kränkningar på nätet. (Internetgruppen) Klart 31 januari. Granska och åstadkomma rättelse m.m. Inspektioner, enkäter m.m. Strategi Datainspektionen har hela landet som arbetsfält men vare sig kan eller bör kontrollera allt. Som framgår av regleringsbrevet skall särskilt fokus läggas på känsliga områden, nya företeelser och områden där risk för missbruk är särskilt stor. Resurserna ska maximeras på beslut, inspektioner och rapporter som har ett allmänt intresse. Massmedieperspektiv ska finnas redan när ett tillsynsprojekt inleds. Egeninitierade inspektioner ska ske inom områden där nya tekniker används, som kan ha betydelse för den personliga integriteten. Egeninitierade inspektioner ska även ske på områden där stora förändringar pågår och där Datainspektionen kan påverka på ett tidigt stadium, t.ex. e-förvaltning. Härmed avses både ärenden som väckts av enskilda samt områden som vi bedömt angeläget att bevaka. Förutom i förväg planerad tillsyn ska det finnas utrymme för oplanerade inspektioner och planerad tillsyn initierad av klagomål. Myndighetsövergripande tillsynsområden kommer under 2008 att vara e- förvaltning och överföring av personuppgifter till tredje land. De operativa teamens tillsynsaktiviteter kommer under året att avse bl.a. hanteringen av personuppgifter i skolan, äldreomsorgen, socialtjänsten, hälso- och sjukvården, brottsbekämpande verksamhet och myndigheters breda åtkomst till personuppgifter samt uppgifter om kunder som nyttjar olika Internettjänster. Personuppgiftsbehandlingen hos banker kan eventuellt också komma att omfattas av tillsyn. Tillsynsärenden ska om möjligt avgöras en månad efter det att ärendet är färdigkommunicerat, dock alltid inom sex månader från det att ärendet diariefördes. Ärenden av särskilt komplicerad natur får i undantagsfall avgöras efter ovanstående tid. Vi ska öka resurserna för fältinspektioner och följa upp antalet inspektioner. Respektive team fastställer sina preciserade tillsynsplaner under januari månad.
Klagomål Klagomål ska vara avslutade inom tre månader. Klagomål som är av särskilt komplicerad natur får i undantagsfall avslutas efter denna tid. 14 Följa och beskriva utvecklingen på IT-området Minst tre interna PM (IT-blad) som behandlar ny teknik - eller teknikområden som behöver belysas - och dess betydelse för integriteten ska produceras under 2008. (MA,V,N) Kontakter tas med minst tre systemleverantörer i syfte att mötas för att informera om PuL och att försöka förmå leverantörerna att utforma sina system så att dessa möter kraven på personuppgiftsbehandling enligt PuL, bl.a. ärendehanteringssystem för e-fövaltning (MA,V,N) Följa och eventuellt stödja Krisberedskapsmyndighetens arbete med handlingsplan för informationssäkerhet. Följa och eventuellt stödja Vervas arbete med handlingsplan för e- legitimationer. Ta fram goda exempel på policier för säkerhet, e-post och Internet för små företag och organisationer (MA,V,N) Klart 31 mars. Internationellt arbete DI ska koncentrera arbetet på frågor som kan ha nationell betydelse och varje år, i respektive grupp, välja ut några sådana frågor. Samspel mellan det nationella och internationella arbetet ska eftersträvas. Under 2008 ska arbetet relatera till vad DI prioriterar nationellt, t.ex. trafikdatadirektivet, Medical Data, E-Government. Inriktning Datainspektionen ska i första hand inrikta sitt internationella engagemang till de samarbetsorgan där inspektionen måste delta. Det är obligatoriskt att delta i Artikel 29-gruppen och de gemensamma tillsynsmyndigheterna Europol, Schengen och Tullen. DI deltar f.n. i två undergrupper; e-government och Medical Data. Datainspektionen ska anmäla sig till 29-gruppens undergrupp Internet Task force. Även i konferenserna (internationella, EU-datacheferna och nordiska) ska inspektionen delta, liksom i Case Handling Workshop, Berlingruppen och Working Party on Police and Justice. Detsamma gäller nordiskt handläggarmöte respektive teknikermöte. Andra internationella kontakter såsom enkäter och förfrågningar av allmän natur från bl.a. forskare får av resursskäl inte föranleda omfattande utredningar eller detaljerade svar.
15 Grupper 29-gruppen (GD och chefsjuristen representerar DI). Nationellt förbereds dessa möten i huvudsak av V. Andra team deltar i den mån det uppstår frågor som särskilt berör dessa. (V och chefsjuristen) Schengen JSA (DI representeras av MA). Möten förbereds på nationell nivå av dem som deltar. (MA och chefsjuristen) Europol JSB och Överklagandekommittén (DI representeras av MA). Möten förbereds på nationell nivå av dem som deltar. (MA och chefsjuristen) Customs Information System JSA (MA och chefsjuristen) Case Handling Workshop Deltagare utses för varje möte. (V, N, MA och chefsjuristen) Den internationella arbetsgruppen Berlingruppen (JARL, HALI och chefsjuristen) Working Party on Police and Justice (MA och chefsjuristen) Eurodac (MA och chefsjuristen) Två interna seminarier för DIs anställda om det internationella arbetet ska hållas. (V) På uppdrag av 29-gruppen delta i utvärdering hur vissa av 29-gruppens working papers med rekommendationer har genomförts och tillämpats i Sverige. Samordnas av V-teamet men genomförs med hjälp av övriga operativa team samt chefsjurist och HALI. Arrangera Nordiskt handläggarmöte i Stockholm. (V samordnar) Kreditupplysnings- och inkassoverksamhet Sprida medvetenhet Strategi Datainspektionen ska verka för att allmänheten blir medveten om sina rättigheter när det gäller kreditupplysningsinformation och inkassokrav.
Jämför avsnittet Behandling av personuppgifter på sidorna 8-9. Förmedla kunskap och ge råd och hjälp 16 Jämför avsnittet Behandling av personuppgifter på sidorna 8-9. Information (broschyrer, rapporter m.m.) Jämför avsnittet Behandling av personuppgifter på sidorna 8-9. Föreläsningar och konferenser För det fall pågående utredningsarbete avseende förhållandet KuL/YgL leder till lagändringar vid årsskiftet 2008/2009 håller vi en konferens i KuL/IkL/PuL. (N) Om det inte blir fråga om att hålla en konferens bör åtminstone två mindre utbildningar i KuL/IkL/PuL kunna genomföras. (N) Förfrågningar Enkla förfrågningar hanteras av callcentret och ska besvaras inom tre arbetsdagar. För det fall frågan kräver särskild utredning och inte kan besvaras inom tre arbetsdagar ska frågeställaren få besked om detta inom samma tid. Övriga förfrågningar ska vara besvarade inom två månader. Förfrågningar som är av särskilt komplicerad natur får i undantagsfall besvaras efter denna tid. Kommittéarbete, remisser och delningar Se Kommittéarbete samt Remisser och delningar under avsnittet Behandling av personuppgifter. Förebygga fel och missbruk Tillstånd Ansökningar om tillstånd att få bedriva inkassoverksamhet och kreditupplysningsverksamhet ska avgöras inom tre månader. Granska och åstadkomma rättelse Inkasso
17 Tillsynsärenden ska om möjligt avgöras en månad efter det att ärendet är färdigkommunicerat, dock alltid inom sex månader från det att ärendet diariefördes. Ärenden av särskilt komplicerad natur får i undantagsfall avgöras senare. Förutom i förväg planerad tillsyn ska det finnas utrymme för oplanerade inspektioner och planerad tillsyn initierad av klagomål. Den preciserade tillsynsplanen fastställs under januari månad. Datainspektionen har inlett ett samarbete för erfarenhetsutbyte på inkassoområdet med Finansinspektionen. Två möten bör planeras in. (N) Krav mot underåriga har varit otydliga beträffande vem som är gäldenär och vad som ingår i föräldrars underhållsplikt enligt 7 kap. Föräldrabalken. Riktlinjer bör utarbetas av berörda branscher. Det pågår ett samarbete med Konsumentverket, Sveriges kommuner och landsting m.fl. (N) Kreditupplysning Tillsynsärenden ska om möjligt avgöras en månad efter det att ärendet är färdigkommunicerat, dock alltid inom sex månader från det att ärendet diariefördes. Ärenden av särskilt komplicerad natur får i undantagsfall avgöras senare. Den preciserade tillsynsplanen fastställs under januari månad. Strategi Den som medges tillstånd att bedriva kreditupplysningsverksamhet skall inspekteras på plats inom sex månader från dagen för beslut. Tillsynsärenden där kritik riktats mot kreditupplysningsföretaget skall följas upp antingen på plats eller genom skrivbordsinspektioner. Aktivitet Datainspektionen ska arrangera ett branschmöte på temat kreditupplysningsverksamhet i framtiden under förutsättning att det under 2008 presenteras ett lagförslag om förändringar i kreditupplysningslagen. (N) Klart 31 december. Klagomål (KuL och IkL) Klagomålsärenden ska avgöras inom tre månader.
18 Övriga aktiviteter Medarbetarfrågor Klimatundersökning (S) Klar 31 december. Kompetenshöjande åtgärder Översyn kompetensutveckling internt IT-stöd (S). Klart 1 juni. Viss utbildning i offentlighet och sekretess bör erbjudas samtliga jurister. (Chefsjurist) Klart 30 juni. Undersöka hur och i vilken form undervisning i engelska skulle kunna anordnas. (MA,V,N) Klart 31 mars. Kurs i projektarbete för de som ännu inte gått en sådan kurs. (S) Klart 30 september. Internutbildning av callcenter och medarbetarna i team N för att fördjupa kunskapen om KuL och IKL. (N) Klart 31 oktober. Mediaträning/utbildning i två steg (Infochef) Klart 29 februari och 31 maj. Kurs i utvärdering och metodutveckling (GD) Klart 30 april. Organisation Vem gör vad på S-teamet, uppdatering av befintlig äldre PM (S). Klart 1 april. Utvärdera backupsystemet i callcenter och eventuellt ta fram en ny ordning för hur backupbehovet ska lösas. (N) Klart 29 februari. Arbetsverktyg och arbetssätt VP-konferens (S) Klart 1 november. Q-disken, översyn av struktur och innehåll beträffande administrativa dokument (S). Klart 1 april. IT-stöd/telefoniplan 2-3 år (S) Klart 1 december. Översyn av hårdvara och nätverk samt utskriftsanalys (behovsanalys för skrivare, kopiatorer, scanners) inför ev. flytt (S) Klart 1 maj.