Datum Diarienr 2014-03-31 1287-2013 Socialdemokraterna 105 60 STOCKHOLM Tillsyn enligt personuppgiftslagen (1998:204) uppföljning av ärende om Socialdemokraternas medlemsregister Datainspektionens beslut Datainspektionen förutsätter att Socialdemokraterna inför sådana tekniska funktioner som gör det möjligt att utreda vem som har haft åtkomst till vilka personuppgifter i medlemsregistret och när. Ärendet avslutas. Redogörelse för tillsynsärendet Bakgrund Datainspektionen har i ett tidigare ärende (dnr 1676-2011) granskat hur Socialdemokraterna behandlar personuppgifter i ett centralt medlemsregister. Granskningen ingick i ett tillsynsprojekt i syfte att granska hur samtliga riksdagspartier behandlar personuppgifter om medlemmar och andra personer som kontaktar partierna för information eller liknande och om behandlingen av sådana personuppgifter uppfyller de krav som personuppgiftslagen ställer. Granskningen omfattade även IT-säkerheten vid behandlingarna. I det tidigare ärendet kunde Datainspektionen konstatera brister och förelade Socialdemokraterna att vidta åtgärder för att uppfylla kraven i personuppgiftslagen. Uppföljning I detta ärende följer Datainspektionen upp det tidigare ärendet genom att kontrollera vilka åtgärder Socialdemokraterna vidtagit för att rätta till vissa brister. Partiet har skriftligen svarat på frågor om vidtagna åtgärder och i de Postadress: Box 8114, 104 20 Stockholm E-post: datainspektionen@datainspektionen.se Besöksadress: Drottninggatan 29, plan 5 Telefon: 08-657 61 00 Webbplats: www.datainspektionen.se Telefax: 08-652 86 52
fall arbetet med att åtgärda bristerna ännu inte är avslutat har partiet redogjort för det arbete som pågår och hur länge det beräknas ta. Skäl för beslutet Känsliga personuppgifter i medlemsregister En uppgift om medlemskap i ett politiskt parti är en känslig personuppgift, eftersom den avslöjar politiska åsikter. Känsliga personuppgifter får behandlas med stöd av 15-19 personuppgiftslagen. Av 17 personuppgiftslagen framgår att en ideell organisation med ett politiskt syfte, inom ramen för sin verksamhet, får behandla personuppgifter om organisationens medlemmar och sådana andra personer som på grund av organisationens syfte har regelbunden kontakt med den. Tidigare medlem Uppgifter i medlemsregistret om en person som t.ex. utträtt eller uteslutits från partiet och därför inte längre är medlem i organisationen, är också en känslig personuppgift eftersom den kan anses avslöja en politisk åsikt. En organisation får inte med stöd av 17 personuppgiftslagen behandla känsliga personuppgifter om en person som inte längre är medlem och inte heller på grund av organisationens syfte har regelbunden kontakt med organisationen. För det fall medlemskapet avslutas när en medlem inte betalat medlemsavgiften, men personen fortfarande har uppdrag för partiet eller deltar i partiaktiviteter och själv uppfattar sig som medlem, kan partiet behandla känsliga personuppgifter om denne med stöd av 17 personuppgiftslagen. Detta eftersom personen på grund av organisationens syfte har regelbunden kontakt med partiet. Frågan om en person är medlem eller inte menar Datainspektionen får bestämmas enligt civilrättsliga regler med ledning av exempelvis organisationens stadgar och liknande. När det gäller ett medlemskap som avslutas är det rimligt att organisationen behöver en kortare tid för att administrera att medlemsförhållandet upphör. Tiden bör dock inte vara längre än tre månader efter att medlemskapet formellt upphör. Därefter anser Datainspektionen att medlemskapet måsta kunna betraktas som avslutat och att det därmed inte längre finns stöd att behandla uppgifterna. Datainspektionen förelade i sitt tidigare beslut Socialdemokraterna att antingen upphöra med att behandla uppgifter om tidigare medlemmar för ändamålet återvärvning och uteslutna medlemmar eller inhämta de registrerades samtycke till behandlingen. Sida 2 av 5
Socialdemokraterna har uppgett att partiet inte längre behandlar uppgifter om personer som upphört att vara medlemmar för ändamålet återvärvning. Medlemskapet upphör, enligt partiets stadgar, 14 månader efter att medlemsavgiften förföll till betalning. Behandlingen av personuppgifterna upphör i samband med att medlemskapet upphör. För en medlem som aktivt begär utträde upphör medlemskapet omedelbart och uppgifterna tas bort omgående, åtminstone inom tre månader. Socialdemokraterna har uppgett att partiet upphört med att behandla personuppgifter om uteslutna medlemmar. Personuppgifter om medlemmar som uteslutits från Socialdemokraterna tas bort från registret när uteslutningen beslutats av partistyrelsen och mötesprotokollet är justerat. Datainspektionen konstaterar att Socialdemokraterna har åtgärdat de aktuella bristerna och har inga synpunkter i denna del. IT-säkerhet Den personuppgiftsansvarige ska enligt 31 personuppgiftslagen vidta lämpliga tekniska och organisatoriska åtgärder för att skydda de personuppgifter som behandlas. Åtgärderna ska åstadkomma en säkerhetsnivå som är lämplig med beaktande av a. de tekniska möjligheterna som finns, b. vad det skulle kosta att genomföra åtgärderna, c. de särskilda risker som finns med behandlingen av personuppgifterna, och d. hur pass känsliga de behandlade personuppgifterna är. Stark autentisering Känsliga personuppgifter får lämnas ut via öppet nät, t.ex. Internet, endast till identifierade användare vars identitet är säkerställd med stark autentisering. Stark autentisering, också kallat multifaktorsautentisering, kan realiseras på olika sätt. Det kan ske exempelvis med e-legitimation, men även med tekniska funktioner för asymmetrisk kryptering. Vissa lösningar för engångslösenord och liknande kan också användas. Datainspektionen förelade Socialdemokraterna i sitt tidigare beslut att vidta åtgärder som innebär att åtkomst över öppet nät till personuppgifter i personregistret skyddas med stark autentisering. Socialdemokraterna har uppgett att man har infört ett system för stark autentisering för skydd av personuppgifterna. Inloggningen till medlemssystemet för behöriga kräver användarnamn, lösenord och en engångskod. Sida 3 av 5
Datainspektionen konstaterar att Socialdemokraterna åtgärdat de aktuella bristerna och har inga synpunkter i denna del. Behandlingshistorik Av Datainspektionens allmänna råd för säkerhet vid behandling av personuppgifter framgår att en behandlingshistorik normalt bör vara så detaljerad att den kan användas för att utreda felaktig eller obehörig användning av personuppgifter. När ett politiskt parti behandlar uppgifter om medlemmar i ett medlemsregister måste det vara möjligt att utreda vem som haft åtkomst till vilka personuppgifter i medlemsregistret och när. Vidare ska det gå att utreda vem som ändrat eller raderat personuppgifter och när förändringen skett. En behandlingshistorik har också en förebyggande funktion, vilket förutsätter att användarna informeras om att det förs en behandlingshistorik och att den kontrolleras. Datainspektionen förelade i sitt tidigare beslut Socialdemokraterna att införa sådana tekniska funktioner som även gör det möjligt att utreda vem som har haft åtkomst till vilka personuppgifter i personregistret och när. Socialdemokraterna har uppgett att varje användare har en förutbestämd tillgång till personuppgifter i medlemssystemet. Genom inloggningskontroll vet partiet vem som kommit in i medlemssystemet och användarens tillgång till personuppgifterna. Systemet tillåter partiet att upprätta en tabell som utvisar om personuppgifter har ändrats, vem som har vidtagit ändringen och vilka registrerade personer som ändringen rör. Socialdemokraterna har inlett en dialog med systemleverantören om hur medlemssystemet kan förbättras ytterligare med avseende på en effektivare hantering av behandlingshistoriken. Systemet ska enligt plan ändras 2015 och avsikten med dessa ändringar är att Datainspektionens föreläggande om behandlingshistorik ska uppfyllas. Datainspektionen förutsätter att Socialdemokraterna följer planen att införa sådana tekniska funktioner som gör det möjligt att utreda vem som har haft åtkomst (läser) till vilka personuppgifter i medlemsregistret och när. Ärendet avslutas. Hur man överklagar Om ni vill överklaga beslutet skall ni skriva till Datainspektionen. Ange i skrivelsen vilket beslut som överklagas och den ändring som ni begär. Inspektionen måste ha fått ert överklagande inom tre veckor från den dag ni fick ta del av beslutet, annars kan överklagandet inte prövas. Datainspektionen sänder överklagandet vidare till Förvaltningsrätten i Stockholm för prövning om inspektionen inte själv ändrar beslutet på det sätt ni har begärt. Sida 4 av 5
Gunilla Öberg I handläggningen av detta ärende har även IT-säkerhetspecialisten Adolf Slama deltagit. Kopia till: Sida 5 av 5