Tillsyn enligt personuppgiftslagen (1998:204) AB Svenska Bostäder

Datum Diarienr 2014-12-04 1228-2014 AB Svenska Bostäder Box 95 162 12 Vällingby Tillsyn enligt personuppgiftslagen (1998:204) AB Svenska Bostäder Datainspektionens beslut Datainspektionen konstaterar att AB Svenska Bostäder behandlar känsliga personuppgifter i strid med 13 personuppgiftslagen. Datainspektionen konstaterar att AB Svenska Bostäders personuppgiftsbehandling står i strid med kravet på god sed i 9 punkt b personuppgiftslagen genom att behandlingen av känsliga personuppgifter inte står i överensstämmelse med vad som föreskrivs i branschöverenskommelsen Behandling av personuppgifter, inklusive kameraövervakning, vid uthyrning av bostäder. Datainspektionen konstaterar att AB Svenska Bostäders personuppgiftsbehandling står i strid med kravet på god sed i 9 punkt b personuppgiftslagen genom att behandling skett av personuppgifter om störningar i boendet som är värderande, kränkande eller som i övrigt innebär omdömen och formuleringar som är diskriminerande i strid med vad som föreskrivs i branschöverenskommelsen. Datainspektionen förelägger AB Svenska Bostäder att upphöra med att behandla personuppgifter om etniskt ursprung i sitt ärendehanteringssystem utan den registrerades skriftliga samtycke. Datainspektionen förelägger AB Svenska Bostäder att upphöra med att behandla personuppgifter om störningar i boendet som är värderande, kränkande eller som i övrigt innebär omdömen och formuleringar som är diskriminerande. Postadress: Box 8114, 104 20 Stockholm E-post: datainspektionen@datainspektionen.se Besöksadress: Drottninggatan 29, plan 5 Telefon: 08-657 61 00 Webbplats: www.datainspektionen.se Telefax: 08-652 86 52

Redogörelse för tillsynsärendet Bakgrund Regeringen har uppdragit åt Datainspektionen att genomföra tillsyn över hur personuppgiftslagen och andra registerförfattningar följs inom socialtjänsten och på bostadsmarknaden, med avseende på behandling av känsliga personuppgifter som avslöjar etniskt ursprung, i första hand med inriktning på uppgifter om romer och i andra hand med inriktning på uppgifter om annat etniskt ursprung. Datainspektionens uppdrag kompletterar det uppdrag som regeringen gett till Kommissionen om åtgärder mot antiziganism. Syftet med kommissionen är att åstadkomma en kraftsamling i arbetet mot antiziganism och att överbrygga den förtroendeklyfta som finns mellan den romska gruppen och samhället i övrigt. Datainspektionen har inom ramen för regeringens uppdrag genomfört en inspektion hos AB Svenska Bostäder (bolaget) den 2 juni 2014. Protokoll har upprättats och översänts till bolaget för synpunkter. Bolaget har inte haft några synpunkter på protokollet. Vid inspektionen uppgav bolaget bland annat följande. Bolaget är ett av Stockholms Stad helägt aktiebolag. Bolaget använder fastighetssystemet Fasad, där bolagets kundregister och fastighetsregister finns. Fasad innehåller en underfunktion, Hyr ut, där personer som Bostadsförmedlingen har anvisat från bostadskön registreras. Bolaget använder även ärendehanteringssystemet Lime. Lime används vid handläggning av störningsärenden och felanmälningar m.m. Möjligheten att skriva i fritext finns både i Fasad och Lime. Bolaget har ingen registrering som grundas på etniskt ursprung. Etniskt ursprung är inte en faktor som efterfrågas eller tas hänsyn till, varken vid fördelning av bostäder eller under hyresförhållandets gång. Bolaget instruerar personalen om vad som får föras in i registren. Bolagets hyresrätter förmedlas via Bostadsförmedlingen. När en hyresrätt blir ledig så markeras det i Fasad och noteras även i Hyr ut. Bostadsförmedlingen matchar uppgifterna om hyresrätten mot ett förtursregister. Om ingen hyresgäst hittas genom detta förfarande så förmedlas hyresrätten varannan gång till den interna bostadskön och varannan gång till den externa bostadskön. Den bostadssökande som har längst boendetid eller kötid och som tackar ja till hyresrätten väljs. Sida 2 av 8

Innan hyresavtalet sluts gör bolaget en kreditkontroll av den bostadssökande. I vissa fall kontaktas även referenser för kontroll av eventuella tidigare uteblivna hyresinbetalningar och störningar. Skälen till att bolaget beslutat att neka en bostadssökande ett hyresavtal registreras i Hyr ut eftersom motiveringen behövs vid en bostadssökandes eventuella överklagande av bolagets beslut. Bolagets samtliga noteringar om förmedlingen av hyresrätten försvinner automatiskt när ett hyresavtal tecknas i Fasad. När hyresförhållandet börjar överförs uppgift om namn, personnummer och telefonnummer från Bostadsförmedlingen till Fasad. Fritextfält i Fasad används bland annat när bolagets personal arbetar med skuld- och inkassoärenden. Vidare registreras uppgift om samtal till bolagets kundcenter i fritext i Lime. Bolaget anlitar en extern störningsjour. När störningsjouren har hanterat en störning görs en rapport i störningsjourens system Allan. Bolagets kundcenter, som har tillgång till Allan, registrerar störningsrapporten manuellt i Lime under kategorin störning. Även samtal och brev om störningar från hyresgäster direkt till bolaget registreras i Lime. Uppgifter om etniskt ursprung kan förekomma, exempelvis om en hyresgästens beskrivning i ett samtal citeras i Lime. Till detta kommer att enskilda hyresgäster kan skicka in klagomål via funktionen Mina sidor till Lime. Det som skrivs på Mina sidor utgör allmän handling som är inkommen till bolaget och som ska hanteras enligt gällande arkiv- och gallringsregler. Bolaget gör inte, och anser sig heller inte kunna göra, förändringar genom strykningar eller andra ändringar i den inkomna handlingen, Fasad gallras inte. För Lime finns gallringsrutiner. Exempelvis gallras felanmälnings- och störningsärenden från Lime två år efter att ärendet har avslutats. Datainspektionens kontroller Datainspektionen utförde kontroller i syfte att granska förekomsten av personuppgifter som avslöjar etniskt ursprung. Datainspektionen tog del av en översikt i Lime av samtliga störningsärenden i Järvaområdet. Av 1775 störningsärenden fanns 262 ärenden där en hyresgäst var utpekad. Av dessa var det tre ärenden som rörde personer med namn som är vanligt förekommande bland personer med romskt ursprung. Datainspektionen påträffade inga personuppgifter rörande etniskt ursprung. Det går att söka fram vilka registrerade ord som helst i Lime genom fritextsökningar. Datainspektionen genomförde fritextsökningar på tre olika Sida 3 av 8

namn som är vanligt förekommande bland personer med romskt ursprung. Datainspektionen tog i samband därmed del av innehållet i ett tiotal störningsärenden. Datainspektionen påträffade inga personuppgifter rörande etniskt ursprung. Datainspektionen genomförde fritextsökningar på ord med anknytning till romer, bland annat zigenare. Sökningen gav tre träffar på ordet zigenare. Samtliga träffar avsåg störningsärenden. I två av dessa ärenden var uppgiften zigenare en personuppgift. Det första störningsärendet avsåg en anmälan per telefon från en hyresgäst till bolagets kundcenter. Kundcentret hade därefter registrerat följande ärendebeskrivning. Nattetid parkerar grannar på gården, nyinflyttade finska zigenare. Hg vill inte prata själv med hg, vet ej vad de heter. Vill ej prata med bv. Det andra störningsärendet avsåg en anmälan per e-post från en hyresgäst till bolagets kundcenter. Kundcentret hade därefter registrerat följande ärendebeskrivning (Datainspektionen har avidentifierat personuppgifter i texten för att undvika identifiering av inblandade personer och händelser). En grupp indiska oich bulgariska zigenare tjuvar bedragare har tagit över min lägenhet. Igår kväll fick veta sanningen om de kriminella så snabbt informerade jag Svenska polisen genom XX. Jag befinner mig i XX som fick lurigt avtal av en kvinna som möjligen samverkande indiska kvinann, heter NN. XX och den här kvinnan som använder detta tel nummer låtsas vara hyresgäst, XX och jag inte känner till rösten inte heller den här kvinnans utsagor. Hon sade att hon som sitter i sin lägenhet (min lägenhet menas9 och nåpgon som tagit hennes grejer från lägenheten och hon kräver kompensation något av mig samt skrattar några män bakom henne. Jag informerade polisen om att det var en indisk man som heter NN ssom visade tidigare ett id kort däripersonnr XX och han som skulle vara andrahandshyresgäst hos mig. Men mannen som tagit nycklarna av mig fullgjort inte hyresavtalet, tvärtom lurade mannen mig om att en referens person ska lämna signatur och sådant. Eftersom jag var på väg till XX lyckades inte riktigt bli av med de och speciellt deras luriga tel nr inte ens svarade mig. Då blev jag mycket arg på min lättsinnighet samt blev jag mycket upprödr och misstänksam om de indiska personerna. Den NN visade alltid några kompisar ((!) som pratade om de är efterlysta i Cypern och Bulgarien om vad det inte angår mig sade jag. Men nu märker jag att även deras låtsas kompisar använde falska namn. Igår kväll informerade jag om polisen om detta gänget som olagligt tagit sig in i lägenheten. Nu ber jag att både myndigheter; Polismyndigheten, plus Svenska Bostäder hjälper att anhålla bedragargänget samt utrymma lägenheten, säkra mina kvarvarande grejer om de inte stulit allt; samt önskas att Svenska Bostäder vidtar åtgärd om låset, bytes och stämplas tills jag kommer till Sverige. XX Mvh NN Sida 4 av 8

Datainspektionen genomförde även sökningar i Fasad på ett par namn som är vanligt förekommande bland personer med romskt ursprung. Sökningarna gav 30 träffar. Datainspektionen tog del av innehållet i 19 utav dessa ärenden. Datainspektionen påträffade inga uppgifter om etniskt ursprung. Skäl för beslutet Datainspektionens bedömning Datainspektionen konstaterar att all information som kan hänföras till en individ är personuppgifter. Det är tillräckligt att informationen indirekt kan hänföras till en fysisk person. I vissa fall kan uppgifter hänföras till en så begränsad grupp personer att en enskild individ med hjälp av andra uppgifter enkelt kan identifieras vilket medför att uppgifterna då får betraktas som personuppgifter. Känsliga uppgifter Det är enligt 13 personuppgiftslagen förbjudet att behandla känsliga personuppgifter, bland annat uppgift om etniskt ursprung. Det är trots förbudet i vissa fall tillåtet att behandla känsliga uppgifter, bland annat om den registrerade lämnat sitt uttryckliga samtycke till behandlingen. Vad gäller uppgifterna i det första ärendet om att det Nattetid parkerar grannar på gården, nyinflyttade finska zigenare konstaterar Datainspektionen att det är svårt för en utomstående att utläsa vilka enskilda personer som avses. Den personuppgiftsansvarige som kan antas ha tillgång till exempelvis uppgift om vilka som är nyinflyttade på aktuell adress torde däremot kunna avgöra vem eller vilka enskilda personer som avses. Om så är fallet är uppgifterna personuppgifter. I det andra ärendet namnges två personer av anmälaren. Uppgifterna är således personuppgifter. Datainspektionen konstaterar att bolaget registrerat känsliga personuppgifter om sina hyresgästers etniska ursprung. Uppgifterna har uppenbarligen hämtats in utan den registrerades samtycke. Bolaget har därmed behandlat känsliga personuppgifter i strid med 13 personuppgiftslagen. Krav på god sed Det framgår av 9 punkt b personuppgiftslagen att all behandling av personuppgifter ska ske i enlighet med god sed. Lagen ger utrymme för branschorganisationer att närmare utforma sådana seder. I syfte att skapa en gemensam god sed för behandling av personuppgifter på Sida 5 av 8

bostadshyresmarknaden har Fastighetsägarna Sverige och SABO i samarbete med Hyresgästföreningen tagit fram en branschöverenskommelse, Behandling av personuppgifter, inklusive kameraövervakning, vid uthyrning av bostäder. Branschöverenskommelsen i sin nuvarande lydelse gäller sedan april 2010. 1 Av branschöverenskommelsen framgår att undantag från förbudet mot behandling av känsliga personuppgifter får ske om behandlingen sker med den registrerades samtycke(s. 7). Vad sedan gäller sättet för inhämtande av samtycket uttalas följande. Endast den omständigheten att den registrerade har lämnat en uppgift innebär inte att samtycke finns. Samtycket ska vara uttryckligt. I en fastighetsförvaltning bör generellt tillämpas den ordningen att en känslig uppgift aldrig registreras utan skriftligt samtycke. Av 15 personuppgiftslagen framgår att ett samtycke ska vara uttryckligt. Ett uttryckligt samtycke kan vara såväl skriftligt som muntligt. Branschöverenskommelsens krav på att ett samtycke ska vara skriftligt går således längre än kraven i 15 personuppgiftslagen. Datainspektionen konstaterar att bolaget har behandlat känsliga personuppgifter utan att inhämta de registrerades skriftliga samtycke. Bolaget har därmed behandlat personuppgifter på ett sätt som avviker från vad som föreskrivs om inhämtande av samtycke i branschöverenskommelsen. Vad branschöverenskommelsen innehåller om inhämtande av samtycke får anses ge uttryck för vad som betraktas som god sed. Bolaget får därmed anses ha behandlat personuppgifter i strid med god sed enligt 9 första stycket punkt b) personuppgiftslagen. Av branschöverenskommelsen framgår vidare att vid behandling av uppgifter om störningar i boendet så får registrering av störningar innehålla beskrivning av händelser och iakttagelser som gjorts (s. 10). Det får däremot inte under några omständigheter förekomma värderande, kränkande eller i övrigt diskriminerande omdömen och formuleringar. Datainspektionen konstaterar att bolaget har behandlat värderande, kränkande och diskriminerande omdömen och formuleringar genom att i ett ärende registrera uppgift om finska zigenare och i ett annat ärende föra över ett e-postmeddelande från en hyresgäst med uppgift om En grupp indiska 1 Se http://www.datainspektionen.se/press/nyheter/2010/tydligare-regler-forkameraovervakning-i-hyreshus/ Sida 6 av 8

oich bulgariska zigenare tjuvar bedragare, de kriminella och bedragargänget till sitt ärendehanteringssystem. Bolaget har därmed behandlat personuppgifter på ett sätt som avviker från vad som föreskrivs om behandling av uppgifter om störningar i boendet i branschöverenskommelsen. Bolaget får därmed även i detta fall anses ha behandlat personuppgifter i strid med god sed enligt 9 första stycket punkt b) personuppgiftslagen. Gallring Av 9 första stycket i personuppgiftslagen framgår att personuppgifter inte får bevaras under längre tid än som är nödvändigt med hänsyn till ändamålen med behandlingen. Av branschöverenskommelsen framgår att när ett hyresförhållande har upphört bör som huvudregel gälla att gallring av personuppgifter ska ske. För offentligt ägda bostadsföretag gäller bestämmelserna i tryckfrihetsförordningen och arkivlagen om bevarande av allmänna handlingar som kan innebära att uppgifterna inte får gallras eller att de ska bevaras under längre tid. Bolaget har uppgett att det inte sker någon gallring i Fasad. För det fall det finns bestämmelser i författning som innebär att personuppgifter inte får gallras behöver bolaget mot bakgrund av vad som framgår ovan inte gallra i Fasad. I annat fall gäller bestämmelserna i personuppgiftslagen och riktlinjerna i branschöverenskommelsen. Slutsatser Datainspektionen konstaterar att bolaget registrerat känsliga personuppgifter om sina hyresgäster i ärendehanteringssystemet Lime utan den registrerades samtycke. Bolaget har därmed behandlat känsliga personuppgifter i strid med personuppgiftslagen och branschöverenskommelsen. Datainspektionen konstaterar vidare att bolaget behandlat värderande, kränkande och i övrigt diskriminerande omdömen och formuleringar i störningsärenden i strid med personuppgiftslagen och branschöverenskommelsen. Datainspektionen förelägger därför bolaget att upphöra med att i sitt ärendehanteringssystem behandla känsliga personuppgifter utan den registrerades skriftliga samtycke. Datainspektionen förelägger vidare bolaget att upphöra med att behandla personuppgifter om störningar i boendet som är värderande, kränkande eller som i övrigt innebär omdömen och formuleringar som är diskriminerande. Sida 7 av 8

Övrigt Efter det att Datainspektionen beslutat i samtliga tillsynsärenden som ingår i projektet kommer uppdraget att redovisas till Regeringskansliet. Datainspektionen kommer i samband därmed att i en skriftlig rapport redovisa sina iakttagelser och även lämna eventuella synpunkter och råd mot bakgrund av det som framkommit i tillsynsärendena. Bolaget kommer att få del av rapporten i fråga. Hur man överklagar Om ni vill överklaga beslutet ska ni skriva till Datainspektionen. Ange i skrivelsen vilket beslut som överklagas och den ändring som ni begär. Inspektionen måste ha fått ert överklagande inom tre veckor från den dag ni fick del av beslutet, annars kan överklagandet inte prövas. Datainspektionen sänder överklagandet vidare till Förvaltningsrätten i Stockholms län för prövning om inspektionen inte själv ändrar beslutet på det sätt ni har begärt. Detta beslut har fattats av generaldirektören Kristina Svahn Starrsjö efter föredragning av avdelningsdirektören Hans Kärnlöf. Vid den slutliga handläggningen har även chefsjuristen Hans-Olof Lindblom och enhetschefen Catharina Fernquist deltagit. Kristina Svahn Starrsjö Hans Kärnlöf Sida 8 av 8