Uppföljning av tidigare granskning avseende Rikspolisstyrelsens behandling av personuppgifter i penningtvättsregistret



Relevanta dokument
Polismyndighetens nya allmänna spaningsregister

Säkerhetspolisens behandling av känsliga personuppgifter i fristående databaser

Uppföljning av Polismyndigheten i Skånes behandling av personuppgifter i uppgiftssamlingen benämnd Kringresande

Uppföljning av polismyndigheternas användning av centrala säkerhetsloggen

Rikspolisstyrelsens behandling av personuppgifter i penningtvättsregistret

Polismyndighetens behandling av personuppgifter i mappstrukturer vid region Öst

Polismyndighetens behandling av personuppgifter i underrättelseverksamheten

Granskning av polismyndigheternas användning av centrala säkerhetsloggen

Nämnden bedömer att den granskade personuppgiftsbehandlingen är förenlig med PDL:s bestämmelser.

Personuppgiftsansvar för behandling av personuppgifter i det centrala kriminalunderrättelseregistret, KUR

Uppföljning av tidigare granskningar avseende Polismyndighetens behandling av personuppgifter i penningtvättsregistret

Polismyndighetens behandling av känsliga personuppgifter i uppgiftssamling om inhemsk extremism

Dåvarande Rikspolisstyrelsens register över spaningsfilmer.

Polismyndighetens behandling av personuppgifter i signalementsregistret

Polismyndigheten i Östergötlands läns behandling av personuppgifter i underrättelseverksamheten

Uppföljning av Polismyndighetens behandling av personuppgifter i signalementsregistret avseende gallring av och tillgången till uppgifter

Säkerhetspolisens användning av s.k. misstankemärkning i it-systemet för bearbetning och analys

Behandlingen av personuppgifter i Länskriminalpolisen i Västra Götalands uppgiftssamlingar med spaningsfilmer

Rikspolisstyrelsens rutiner för och kontroll av behandling av känsliga personuppgifter i det centrala kriminalunderrättelseregistret, KUR

Bevarande av personuppgifter i Säkerhetspolisens dokument- och ärendehanteringssystem

Postadress Telefon E-post Organisationsnummer Box 22523, Stockholm

Nämnden är kritisk till att Polismyndigheten inte har genomfört någon logguppföljning avseende de granskade uppgiftssamlingarna.

Användningen av kvalificerade skyddsidentiteter inom det särskilda personsäkerhetsarbetet

Polismyndigheternas behandling av känsliga personuppgifter

Postadress Telefon E-post Organisationsnummer Box 22523, Stockholm

Loggning och logguppföljning i Polismyndighetens säkerhetslogg

Tilldelning och användning av behörigheter i DurTvå

Behandlingen av personuppgifter i Rikskriminalpolisens register över spaningsfilmer

Postadress Telefon E-post Organisationsnummer Box 22523, Stockholm

Postadress Telefon E-post Organisationsnummer Box 22523, Stockholm

Polismyndighetens utlämnande av personuppgifter till tredje land

Polismyndighetens behandling av personuppgifter i utredningsverksamheten

Postadress Telefon E-post Organisationsnummer Box 22523, Stockholm

Användning av kvalificerade skyddsidentiteter inom Polismyndighetens undercoververksamhet

Postadress Telefon E-post Organisationsnummer Box 22523, Stockholm

Förstöring av upptagningar och uppteckningar från vissa hemliga tvångsmedel en granskning av två åklagarkammare och en polismyndighet

Granskning av underrättelser om beslut om inhämtning av uppgifter enligt inhämtningslagen

Säkerhetspolisens behandling av personuppgifter om barn i ett it-system för bearbetning och analys

Postadress Telefon E-post Organisationsnummer Box 22523, Stockholm

Rikspolisstyrelsens rutiner för och kontroll av behandling av känsliga personuppgifter i polisens allmänna spaningsregister, ASP

Inhämtning av uppgifter om elektronisk kommunikation vid Polismyndigheten (region Stockholm)

Polismyndighetens behandling av personuppgifter med anledning av brottslighet kopplad till utsatta EU-medborgare

Underrättelser till enskilda vid internationell rättslig hjälp vid två internationella åklagarkammare

Polismyndighetens behandling av personuppgifter i underrättelseverksamheten

Granskning av underrättelser om beslut om inhämtning av uppgifter enligt inhämtningslagen

Postadress Telefon E-post Organisationsnummer Box 22523, Stockholm

Överskottsinformation från hemlig rumsavlyssning

Polismyndigheten i Västra Götalands behandling av personuppgifter i underrättelseverksamheten

Säkerhetspolisens behandling av känsliga personuppgifter i ett it-system för bearbetning och analys av information

Postadress Telefon E-post Organisationsnummer Box 22523, Stockholm

Rikspolisstyrelsens IT-system OBS-portalen

Polismyndighetens behandling av personuppgifter i underrättelseverksamheten

Tillsyn enligt personuppgiftslagen (1998:204) Polismyndighetens behandling av personuppgifter i belastningsregistret och misstankeregistret

Beslut efter tillsyn enligt personuppgiftslagen (1998:204)

Postadress Telefon E-post Organisationsnummer Box 22523, Stockholm

Granskning av underrättelser om beslut om inhämtning av uppgifter enligt den s.k. inhämtningslagen

Hanteringen av hemliga tvångsmedel vid Åklagarkammaren i Göteborg

Beslut efter tillsyn enligt personuppgiftslagen (1998:204)

Beslut efter tillsyn enligt personuppgiftslagen (1998:204)

Beslut efter tillsyn enligt personuppgiftslagen (1998:204)

Remissyttrande över departementspromemorian Behandling av personuppgifter i polisens brottsbekämpande verksamhet (Ds 2007:43)

Postadress Telefon E-post Organisationsnummer Box 22523, Stockholm

Tillsyn enligt polisdatalagen (2010:361) och personuppgiftslagen (1998:204) av Polismyndighetens personuppgiftsbehandling i fingeravtrycksregistret

Användning av en kvalificerad skyddsidentitet som upphört att gälla vid Polismyndigheten, region Nord

Hanteringen av hemliga tvångsmedel vid Ekobrottsmyndigheten

Nämnden är starkt kritisk till hur ärendet har hanterats.

Tillsyn enligt personuppgiftslagen (1998:204) uppföljning av ärende om Socialdemokraternas medlemsregister

Tematisk tillsyn om åtgärder mot penningtvätt och finansiering av terrorism

Tillsyn enligt personuppgiftslagen (1998:204) uppföljning av ärende om Kristdemokraternas medlemsregister

Granskning av ärenden vid Åklagarkammaren i Uppsala där den enskilde inte underrättats om hemlig tvångsmedelsanvändning

Postadress Telefon E-post Organisationsnummer Box 22523, Stockholm

Tillsyn enligt personuppgiftslagen (1998:204) Intern åtkomst till personuppgifter hos Försäkringskassan

Arbetsordning för Säkerhets- och integritetsskyddsnämnden Beslutad vid nämndens sammanträde den 27 april 2016

Inhämtning av uppgifter om elektronisk kommunikation vid Polismyndigheten, region Syd

Beslut efter tillsyn enligt personuppgiftslagen (1998:204)

Åklagarmyndighetens användning av s.k. postkontroll

Beslut efter tillsyn enligt inkassolagen (1974:182) indrivning mot omyndiga

Granskning av ärenden vid Åklagarkammaren i Östersund där den enskilde inte underrättats om hemlig tvångsmedelsanvändning

Tillsyn enligt personuppgiftslagen (1998:204) Utökat elektroniskt informationsutbyte

Tillsyn enligt personuppgiftslagen (1998:204) socialtjänstens behandling av personuppgifter om etniskt ursprung

Tillsyn enligt personuppgiftslagen (1998:204) uppföljning av ärende om Vänsterpartiets medlemsregister

Tillsyn av behandlingen av personuppgifter i allmänhetens terminal m.m.

Föreningen kommer vidare att skriva avtal med sin systemleverantör. Leverantören kommer också att ta emot föreningens säkerhetskopior.

Inhämtning av uppgifter om elektronisk kommunikation vid Polismyndigheten (Nationella operativa avdelningen)

Uppföljning av Uppsala universitets hantering av en anmälan om oredlighet i forskning

Beslut efter tillsyn behörighetsstyrning och loggkontroll inom kommunal hälso- och sjukvård

Beslut efter tillsyn behörighetsstyrning och loggkontroll inom kommunal hälso- och sjukvård

Användning av kvalificerade skyddsidentiteter vid Polismyndigheten, region Nord

Beslut efter tillsyn enligt personuppgiftslagen (1998:204)

Beslutet/domen har vunnit laga kraft. Fastighetsmäklarinspektionens avgörande

Beslut efter tillsyn behörighetsstyrning och loggkontroll inom kommunal hälso- och sjukvård

Säkerhetspolisens behandling av personuppgifter inom ramen för NCT-samarbetet

Tillsyn enligt personuppgiftslagen (1998:204) Hantering av patientuppgifter via e-post

Tillsyn enligt personuppgiftslagen (1998:204) Behandling av personuppgifter i e-post

Beslut efter tillsyn behörighetsstyrning och loggkontroll inom kommunal hälso- och sjukvård

Rutin för rapportering och handläggning av missförhållanden Lex Sarah

Beslut efter tillsyn behörighetsstyrning och loggkontroll inom kommunal hälso- och sjukvård

Tillsyn patienternas rätt till spärr enligt 4 kap. 4 och 6 kap. 2 patientdatalagen

Tillsyn av personuppgiftsbehandlingen vid Polismyndigheten i Jämtlands län

Beslut efter tillsyn behörighetsstyrning och loggkontroll inom kommunal hälso- och sjukvård

Transkript:

SÄKERHETS- OCH INTEGRITETSSKYDDSNÄMNDEN Uttalande 2015-02-18 Dnr 2095-2014 Uppföljning av tidigare granskning avseende Rikspolisstyrelsens behandling av personuppgifter i penningtvättsregistret 1. SAMMANFATTNING Säkerhets- och integritetsskyddsnämnden konstaterar att Rikspolisstyrelsen har vidtagit och planerat att vidta vissa åtgärder med anledning av den kritik som nämnden framförde i sitt tidigare uttalande. Nämnden ser emellertid allvarligt på att Rikspolisstyrelsen inte har genomfört någon logguppföljning avseende penningtvättsregistret under år 2014. Nämnden finner det anmärkningsvärt att Rikspolisstyrelsen inte har åtgärdat de brister som nämnden tidigare uppmärksammat i fem närmare granskade ärenden. Polismyndigheten uppmanas återigen att åtgärda bristerna och att även se till att gallring sker i rätt tid för övriga ärenden i penningtvättsregistret. 2. BAKGRUND Säkerhets- och integritetsskyddsnämnden beslutade den 13 februari 2014 uttalandet Rikspolisstyrelsens behandling av personuppgifter i penningtvättsregistret (dnr 111-2013) (se bilaga). I uttalandet framförde nämnden kritik mot Rikspolisstyrelsen i vissa avseenden. Kritiken gällde sammanfattningsvis följande. I två av de granskade ärendena förekom bilagor med uppgifter om personer som inte hade någon anknytning till den i ärendet aktuella transaktionen. Det sätt på vilket personer markerades som misstänkta i penningtvättsregistret var inte godtagbart. Gallring av personuppgifter hade i ett granskat ärende inte skett i rätt tid. Nämnden konstaterade att det dessutom fanns risk att gallring inte skulle ske i rätt tid i ytterligare fall, om Rikspolisstyrelsen inte ändrade gallringsfristen. Postadress Telefon E-post Organisationsnummer Box 22523, 104 22 Stockholm 08-617 98 00 sakint@sakint.se 202100-5703 Besöksadress Telefax Webbplats Bankgiro Norr Mälarstrand 6, Stockholm 08-617 98 88 www.sakint.se 782-4329

2 (6) Nämnden konstaterade att det inte hade genomförts någon logguppföljning avseende penningtvättsregistret efter det att polisdatalagen (2010:361) (PDL) trädde ikraft den 1 mars 2012. Nämnden beslutade den 23 oktober 2014 att följa upp den tidigare granskningen och undersöka vilka åtgärder Rikspolisstyrelsen hade vidtagit eller avsåg att vidta med anledning av nämndens uttalande. 3. UTREDNINGEN På nämndens begäran har Rikspolisstyrelsen redovisat genomförda och planerade åtgärder med anledning av uttalandet. Vidare har nämndens kansli den 24 november 2014 genomfört en inspektion, vid vilken sex utvalda ärenden granskades. Dessa ärenden kontrollerades även inom ramen för den förra inspektionen. Nämnden fann då att behandlingen av personuppgifter i ärendena hade fel och brister. Granskningen har endast avsett Rikspolisstyrelsens behandling av personuppgifter i penningtvättsregistret under år 2014. 4. VAD GRANSKNINGEN HAR VISAT 4.1 Rikspolisstyrelsens yttrande Rikspolisstyrelsen har sammanfattningsvis uppgett följande. Penningtvättsregistret kommer enligt nuvarande planer att föras över till en ny IT-plattform under år 2015. IT-plattformen är på olika sätt anpassad efter PDL:s krav, exempelvis genom funktionerna för behörighetsstyrning och automatisk gallring. Det är inte klart hur överföringen av uppgifter i penningtvättsregistret till den nya IT-plattformen ska gå till. Det är emellertid sannolikt att den nuvarande versionen av penningtvättsregistret kommer att finnas parallellt med den nya under en övergångsperiod. Den nya IT-plattformen kommer att möjliggöra webbanmälan av det slag som används för vanliga polisanmälningar. Det innebär att inkommande meddelanden vid behov kommer att kunna delas upp i olika ärenden. Det kommer att avhjälpa problemet med att vissa dokument innehåller uppgifter som rör flera ärenden. Problemet är inte omfattande utan förekommer endast mycket sällan. I och med att den nya IT-plattformen är mer användarvänlig än dagens system, kommer personalen också att få tid att granska inkommande meddelanden mer noggrant.

3 (6) Finanspolisens personal har även fått anvisningar om att vara observant på inkommande information till penningtvättsregistret som kan beröra olika ärenden. En dialog om innehållet i bilagor sker idag med verksamhetsutövarna. Efter nämndens inspektion i november 2014 gallrades de ärenden som innehöll bilagor med information om personer som inte hade något med den i ärendet aktuella transaktionen att göra. Det var otillfredsställande att misstänkt var ett förinställt värde vid registrering av personobjekt i penningtvättsregistret. Funktionen togs därför bort i november 2014. Anledningen till att funktionen togs bort först då är att åtgärden var tekniskt komplicerad. Logguppföljning har inte bedömts vara nödvändig under år 2014. De få handläggare som har behörighet till och arbetar i systemet, bedriver verksamhet som är strikt övervakad. Otillåten handläggning i systemet ger spår i det aktuella ärendets händelselogg som andra handläggare lägger märke till. Handläggarnas arbete följs upp individuellt och därmed sker tillräcklig kontroll. 4.2 Nämndens granskning av vissa enskilda ärenden Vid den förra inspektionen förekom följande fel och brister i de sex utvalda ärendena. I ärende 1 och 2 fanns det bilagor med uppgifter om personer som inte hade något med den i ärendet aktuella transaktionen att göra. I ärende 3 6 var gallringsfristen felaktigt angiven. Personuppgifterna i ärende 3 borde dessutom redan ha varit gallrade i sin helhet. Vid nämndens inspektion den 24 november 2014 var ärende 4 gallrat i sin helhet, i enlighet med den gallringsspärr som gällde för ärendet. I de övriga fem ärendena hade ingen ändring skett och personuppgifterna, gallringsfristerna och bilagorna var desamma som vid nämndens förra granskning. Polismyndigheten har uppgett att ärende 1 och 2 har gallrats efter nämndens inspektion den 24 november 2014. 5. NÄMNDENS BEDÖMNING 5.1 Åtgärder avseende penningtvättsregistret som helhet Nämnden konstaterar att Rikspolisstyrelsen har vidtagit vissa åtgärder med anledning av den kritik som nämnden framförde i uttalandet avseende de bilagor som innehöll information om flera personer som inte hade någon

4 (6) anknytning till den i ärendet aktuella transaktionen samt den missvisande markeringen av personer som misstänkta. Nämnden noterar att Rikspolisstyrelsen, numera Polismyndigheten, har för avsikt att föra över penningtvättsregistret till den nya IT-plattformen, som även används för behandling av personuppgifter i andra delar av polisens underrättelseverksamhet. Enligt Rikspolisstyrelsen har den nya IT-plattformen flera funktioner som är anpassade efter de krav som PDL ställer, bland annat en funktion för automatisk gallring. Med den nya plattformen kan alltså de uppmärksammade problemen med gallring komma att lösas. Om uppgifter i penningtvättsregistret förs över till den nya IT-plattformen är det angeläget att gallringsfristen framöver beräknas från den tidpunkt då den senaste registreringen avseende personen gjordes (4 kap 20 PDL). 5.2 Logguppföljning Nämnden ser allvarligt på att Rikspolisstyrelsen inte har genomfört någon logguppföljning avseende penningtvättsregistret under år 2014, trots nämndens tidigare kritik i detta avseende. Nämnden har även i andra sammanhang kritiserat Rikspolisstyrelsen för bristande logguppföljning. 1 I samband med den förra inspektionen av penningtvättsregistret uppgav Rikspolisstyrelsen bland annat följande. Den händelselogg som finns i varje ärende är utformad för att journalföra vad som hänt i ärendet eller i en handling. Till händelseloggen förs uppgifter om de manuella och automatiska åtgärder som vidtas, förutsatt att åtgärden medför någon ändring i ärendet. Däremot framgår inte av händelseloggen om någon har vidtagit en åtgärd som inte medfört någon ändring, till exempel om någon har tagit del av uppgifter i ärendet. I förarbetena till PDL betonas vikten av att polisen ser till att varje tjänstemans tillgång till information begränsas till vad han eller hon behöver för att kunna utföra sitt arbete. Polisen måste också aktivt verka för att PDL tillämpas på avsett sett. För att kunna åstadkomma detta förutsätts polisen dels begränsa tjänstemännens behörigheter på lämpligt sätt, dels kontrollera användningen av systemen i efterhand genom logguppföljning. 2 För att loggning ska bli det centrala verktyg för att upprätthålla integritetsskyddet som förutsätts i förarbetena till PDL, måste logguppföljning ske 1 Se t.ex. nämndens uttalanden den 22 januari 2013 Rikspolisstyrelsens rutiner för och kontroll av behandling av känsliga personuppgifter i polisens allmänna spaningsregister, ASP (dnr 15-2013) och den 22 maj 2014 Uppföljning av tidigare granskning avseende Rikspolisstyrelsens rutiner för och kontroll av behandling av känsliga personuppgifter i det centrala kriminalunderrättelseregistret, KUR (dnr 596-2013). 2 Prop. 2009/10:85 s. 270 f.

5 (6) frekvent och såväl förebyggande som reaktivt. Det är inte tillräckligt att den interna kontrollen av användningen av penningtvättsregistret är beroende av att andra medarbetare reagerar på eventuella otillåtna handläggningsåtgärder i ett ärende. Nämnden förutsätter att Polismyndigheten nu vidtar verksamma åtgärder för att åstadkomma en mer adekvat uppföljning av användningen av penningtvättsregistret. 5.3 Åtgärder i vissa granskade ärenden Vid tiden för nämndens inspektion hade Rikspolisstyrelsen till synes inte vidtagit några åtgärder i de utvalda granskade ärendena med anledning av nämndens tidigare uttalande. Det var först efter inspektionen den 24 november 2014 som ärende 1 och 2 gallrades, enligt uppgift från Polismyndigheten. Ärende 3 är så vitt känt inte gallrat ännu. Rikspolisstyrelsen fick del av uttalandet i mars 2014. Styrelsen har alltså känt till bristerna och haft tid att åtgärda dem. En allmän utgångspunkt får anses vara att en myndighet, som får kritik av en tillsynsmyndighet, skyndsamt vidtar åtgärder i syfte att komma till rätta med de fel och brister som tillsynsmyndigheten har påtalat. Det har Rikspolisstyrelsen inte gjort i det här fallet. Nämnden har dessutom i ett annat sammanhang kritiserat Rikspolisstyrelsen för att, under en allt för lång tid, ha fortsatt att behandla personuppgifter trots att nämnden hade påpekat att behandlingen var otillåten. 3 Att Rikspolisstyrelsen återigen har underlåtit att åtgärda de uppmärksammade bristerna är anmärkningsvärt. Polismyndigheten uppmanas på nytt att åtgärda de återstående bristerna och att se till att gallring sker i rätt tid även för övriga ärenden i penningtvättsregistret. Med hänsyn till Polismyndighetens underlåtenhet att rätta fel och brister som nämnden uppmärksammat får nämndens ordförande och kanslichef i uppdrag att vid ett möte med företrädare för myndigheten diskutera myndighetens underlåtenhet och att rapportera resultatet av mötet. 3 Se nämndens uttalande den 22 maj 2014 Uppföljning av tidigare granskning avseende Rikspolisstyrelsens rutiner för och kontroll av behandling av känsliga personuppgifter i det centrala kriminalunderrättelseregistret, KUR (dnr 596-2013).

6 (6) Sändlista: Rikspolischefen Polismyndigheten (Rikspolisstyrelsens dnr A 646.521/2014) Kopia för kännedom: Justitiedepartementet Datainspektionen

2025 © DocPlayer.se Sekretesspolicy | Användarvillkor | Kontakta oss