Datum Diarienr 2011-04-13 352-2011 SJ AB 105 50 STOCKHKOLM Ansökan om undantag från förbudet i 21 personuppgiftslagen (1998:204) Datainspektionens beslut Datainspektionen meddelar undantag från förbudet i 21 personuppgiftslagen att behandla personuppgifter om lagöverträdelser för SJ AB på det sätt som redogjorts för i ansökan. Redogörelse för tillsynsärendet SJ AB (SJ) har ansökt om undantag från förbudet i 21 personuppgiftslagen att behandla personuppgifter om lagöverträdelser. SJ vill sammanställa uppgifter rörande skadegörelse genom inrättande av en s.k. klotterdatabas. Av ansökan framgår följande. SJ:s kostnader för klotter och skadegörelse uppgår årligen till mångmiljonbelopp. Endast i en bråkdel av fallen leder skadegörelsen till en lagförd gärningsman, och i en mindre andel av dessa fall leder åtal till ett framgångsrikt ersättningsanspråk. Huvudorsaken till detta är avsaknad av möjlighet att samla uppgifter beträffande skadegörelse. Vidare är det svårt att sätta in adekvat bevakning för att undvika skadegörelse då det saknas en samlad bild av ofta förekommande platser och tidpunkter för skadegörelsens inträffande. I syfte att beivra skadegörelse och klotter vill SJ ha möjligheten att sammanställa uppgifter rörande skadegörelse. Det skulle dels ge bättre underlag till polisanmälan samt mer relevanta ersättningsanspråk, dels ge bättre möjligheter att analysera vilka preventiva åtgärder som kan vara lämpliga, exempelvis förstärkt bevakning på vissa depåer etc. De dokumenterade uppgifterna om skadegörelse är avsedda att användas för att rikta anspråk mot den eller de personer som utfört skadegörelsen. Postadress: Box 8114, 104 20 Stockholm E-post: datainspektionen@datainspektionen.se Besöksadress: Drottninggatan 29, plan 5 Telefon: 08-657 61 00 Webbplats: www.datainspektionen.se Telefax: 08-652 86 52
SJ omfattas inte av offentlighetsprincipen och därför kommer inte några uppgifter i registret att bli offentliga. SJ avser att registrera följande uppgifter: 1. Fordonets identitet (littera, vagns id), 2. Digital bild av skadegörelsen, 3. Typ av skadegörelsen, 4. Typ av skadegörelse (klotter, sönderslagna rutor, etsningar på tåg etc), 5. Text/bokstäver som framgår av skadegörelsen vilket kan vara en crew (en gemensam beteckning som används av ett gäng klottrare), en tag (en beteckning som används av en enskild klottrare) eller annan text, 6. Uppgifter om skadan inskrivna i SJ:s fordonsdatasystem, FORD (textfält med beskrivning av skadan), 7. Kemikalier, verktyg eller motsvarande som använts vid skadegörelsen, 8. Datum och tidpunkt för skadegörelsen alt. Upptäckt av skadegörelsen, 9. Plats för skadegörelsen, 10. Vem som rapporterat om skadegörelsen, 11. Kostnad för sanering/borttagande/återställande av skadegörelsen samt kostnad för stillestånd, 12. Vem eller vilket företag som återställt skadegörelsen, 13. Uppgift om polisanmälan har gjorts eller ej för skadegörelse, 14. Polisens beteckning kopplat till en polisanmälan för en skadegörelse, 15. Uppgift om framställt skadeståndskrav (datum och belopp) för en skadegörelse, samt 16. Målnummer hos åklagare och/eller domstol. Några uppgifter, förutom punkt 2 och 5 ovan, som skulle kunna räknas som personuppgifter såsom t.ex. namn, personnummer eller adress gällande en förövare kommer inte att registreras. För det fall datainspektionen kommer fram till att registret innehåller personuppgifter kommer SJ att iaktta kraven beträffande behandling av personuppgifter i personuppgiftslagen. SJ:s personuppgiftsombud kommer att övervaka att personuppgifterna behandlas på ett korrekt och lagenligt sätt. Antalet användare kommer att vara begränsat till ett fåtal personer. All registrering, uppföljning samt registervård kommer att ske av SJ anställd personal i depåtjänst. Åtkomst till registret/databasen kommer att vara behörighetsstyrd via personliga användarkonton och verifiering via lösenordsskyddad inloggning. Det är cirka fem personer som kommer att ha åtkomst till databasen. Databasen kommer inte att ligga på ett publikt nätverk. Sida 2 av 5
Databasen kommer att byggas upp som en relationsdatabas, där primärnyckeln är polisens beteckning kopplad till polisanmälan. Som längst kommer uppgifterna att lagras i databasen enligt preskriptionstiden för skadegörelsebrott (två år). Gallring kommer dock att ske tidigare i de fall ärendet ifråga klarats upp av polisen. Skäl för beslutet Personuppgifter Med personuppgift avses enligt 3 personuppgiftslagen all slags information som direkt eller indirekt kan hänföras till en levande fysisk person. Enligt punkt 26 i ingressen till det EG-direktiv, som personuppgiftslagen grundar sig på, ska man för att avgöra om en person är identifierbar beakta alla hjälpmedel som i syfte att identifiera vederbörande rimligen kan komma att användas antingen av den personuppgiftsansvarige eller av någon annan person. Av förarbetena till personuppgiftslagen (SOU 1997:39 s. 338) framgår att det krävs bara att en fysisk person kan identifieras med hjälp av informationen, inte att den personuppgiftsansvarige själv ska förfoga över samtliga uppgifter som gör identifieringen möjlig. I SJ:s skadegörelsedatabas kommer bl.a. digitala bilder på skadegörelse (t.ex. klotter) och text/bokstäver som framgår av skadegörelsen att behandlas automatiskt. Av bilden kan till exempel en tag eller crew framgå, d.v.s. den beteckning som används av en enskild klottrare eller ett gäng klottrare. Ett av ändamålen med behandlingen av bilder på skadegörelse och den text som eventuellt framgår därav är enligt SJ att skapa ett bättre underlag till polisanmälningar och skadeståndsanspråk i syfte att polisen ska kunna identifiera de personer som gjort sig skyldiga till skadegörelsen, till exempel genom att polisen har kännedom om vem som avses med en viss tag eller crew. I de fall t.ex. polisen kan härleda en tag eller crew till någon viss person utgör uppgiften därför en personuppgift. Strukturerad behandling Datainspektionen bedömer att SJ behandlar personuppgifter i strukturerat material, som innebär att alla bestämmelser i personuppgiftslagen ska tillämpas på alla personuppgifter som finns i materialet. Förbudet i 21 personuppgiftslagen Enligt 21 första stycket personuppgiftslagen är det förbjudet för andra än myndigheter att behandla uppgifter om lagöverträdelser som innefattar brott. Datainspektionen har möjlighet att i föreskrifter eller enskilda fall meddela undantag från detta förbud. En uppgift om att någon har eller kan ha begått ett visst brott utgör en uppgift om lagöverträdelse, även om det inte finns nå- Sida 3 av 5
gon dom eller motsvarande beträffande brottet, om uppgiften har kvalificerats till att avse något visst brott (SOU 1997:39 s.380). Enligt Datainspektionens bedömning utgör en bild på skadegörelse i form av t.ex. klotter en sådan uppgift som omfattas av förbudet i 21 personuppgiftslagen, förutsatt att det av bilden går att utläsa vem som kan ha åsamkat skadegörelsen. Om t.ex. polisen kan härleda vem som använder en viss tag eller crew när han eller hon klottrat, kan uppgiften utgöra en personuppgift om lagöverträdelse. Även den text som registreras särskilt och som återger den text som framgår av skadegörelsen utgör då en uppgift om lagöverträdelse. För att behandlingen av sådana uppgifter skall vara tillåten för andra än myndigheter krävs enligt 21 personuppgiftslagen antingen att det meddelats föreskrifter om undantag från förbudet eller att ett enskilt undantag meddelas. Datainspektionen har med stöd av bemyndigande i 9 personuppgiftsförordningen (1998:1191) meddelat föreskrifter om undantag från förbudet för andra än myndigheter att behandla personuppgifter om lagöverträdelser m.m. (DIFS 1998:3). Enligt Datainspektionens bedömning omfattas inte den av SJ planerade personuppgiftsbehandlingen av något undantag i DIFS 1998:3. En förutsättning för att SL ska kunna behandla de aktuella uppgifterna är därför att Datainspektionen beslutar om undantag från förbudet i 21 personuppgiftslagen. Enligt Datainspektionens mening ska möjligheten att meddela undantag från förbudet tillämpas restriktivt. När det gäller frågan om det kan anses befogat att SJ behandlar de aktuella uppgifterna, måste SJ anses ha ett berättigat intresse av att kunna fastställa, göra gällande eller försvara de rättsliga anspråk som uppstår till följd att deras egendom utsätts för skadegörelse. Detta intresse vill SJ tillvarata genom att i en databas dokumentera bilder av skadegörelsen och på så sätt underlätta polisanmälningar och hanteringen av skadeståndsanspråk. Det är endast fråga om att registrera de digitala bilder som tagits av skadegörelsen och den eventuella text som kan framgå av skadegörelsen. De personuppgifter som i princip kan komma att behandlas i detta sammanhang och i vissa fall betraktas som personuppgifter om lagöverträdelser är den text som kan framgå av bilden och som klottraren själv skrivit. Det av SJ beskrivna tillvägagångssättet ger inte utrymme för att registrera ytterligare information såsom t.ex. brottsmisstankar eller värdeomdömen om namngivna personer som skulle kunna vara integritetskränkande. Uppgifterna kommer endast att bevaras till dess att ett ärende blivit uppklarat, som längst i två år. Vid en samlad bedömning finner Datainspektionen att undantag från förbudet i 21 personuppgiftslagen att behandla uppgifter om lagöverträdelse kan Sida 4 av 5
meddelas för SJ, förutsatt att behandlingen sker på så sätt som angivits i ansökan. Datainspektionen kan komma att följa upp ärendet. Detta beslut har fattats av generaldirektören Göran Gräslund i närvaro av chefsjuristen Hans-Olof Lindblom, teamledaren Catharina Fernquist samt juristen Gunilla Öberg, föredragande. Göran Gräslund Gunilla Öberg Sida 5 av 5