Brått med polisens register



Relevanta dokument
Svensk författningssamling

Skyldigheten att lämna registerutdrag blir mindre betungande

Personuppgiftslagen konsekvenser för mitt företag

Datainspektionen informerar. Dina rättigheter enligt personuppgiftslagen

Svensk författningssamling

Svensk författningssamling

Regeringens proposition 1997/98:97

Svensk författningssamling

Svensk författningssamling

Personuppgiftsförordning (1998:1191)

Personuppgiftslagens övergångsbestämmelser upphör; personinformation på webbsidor; m.m.

Dataskydd vid europeiskt polissamarbete och straffrättsligt samarbete. (Justitiedepartementet) Lagrådsremissens huvudsakliga innehåll

Svensk författningssamling

Tillsyn enligt personuppgiftslagen (1998:204) registrering av kunduppgifter samt klagomåls- och reklamationshantering

Lag (2005:787) om behandling av uppgifter i Tullverkets brottsbekämpande verksamhet

PERSONUPPGIFTSLAGEN (PUL)

Svensk författningssamling

Svensk författningssamling

Svensk författningssamling

Känsliga uppgifter 6. Personnummer på klasslistor 8. Uppgifter om familjemedlemmar 8. Bevarande av uppgifterna 10. Innehållsförteckning.

Personuppgiftsförordning (1998:1191)

Data Protection, harmoniserade dataskyddsregler inom EU för vem och varför? Svenska Försäkringsföreningen. 12 november 2015

HÖGSTA FÖRVALTNINGSDOMSTOLENS DOM

SOU 2014:67 Inbyggd integritet inom Inspektionen för socialförsäkringen

Integritet och effektivitet i polisens brottsbekämpande verksamhet

Så behandlar vi dina personuppgifter

Kommittédirektiv Dir. 1997:69

Publicering på Internet

Frågor & svar om nya PuL

Tillsyn enligt personuppgiftslagen (1998:204) registrering av kunduppgifter samt klagomåls- och reklamationshantering

Tillsyn enligt personuppgiftslagen (1998:204) Polismyndighetens behandling av personuppgifter i belastningsregistret och misstankeregistret

Personuppgiftslagen. Författningssamling. Vad är personuppgiftslagen (PuL)? Personuppgiftslagens syfte

Tillsyn enligt personuppgiftslagen (1998:204) uppföljning av ärende om Vänsterpartiets medlemsregister

Undantag från förbudet i 21 personuppgiftslagen (1998:204)

Beskrivning enligt 4 kap. 2 offentlighetsoch sekretesslagen

INTEGRITETSPOLICY Tikkurila Sverige AB

Tillsyn enligt personuppgiftslagen (1998:204) hantering av personnummer i samband med prisförfrågan

PERSONUPPGIFTSLAGEN Göteborgs universitet Kristina Ul gren November 2013

Beslut efter tillsyn enligt personuppgiftslagen (1998:204)

Tillsyn enligt personuppgiftslagen (1998:204) Arbetslöshetskassornas samorganisation (SO)

Datainspektionen informerar. Dina rättigheter enligt personuppgiftslagen

Ansökan om undantag från förbudet i 21 personuppgiftslagen (1998:204)

Information till registrerade enligt personuppgiftslagen

Medverkan av tjänsteleverantörer i ärenden om uppehålls- och arbetstillstånd (SOU 2016:36)

Ökad insyn i fristående skolor (SOU 2015:82) Sammanfattning. Utbildningsdepartementet Stockholm

Svensk författningssamling

Remissyttrande över departementspromemorian Behandling av personuppgifter i polisens brottsbekämpande verksamhet (Ds 2007:43)

Dataskyddsförordningen

Beslut efter tillsyn enligt personuppgiftslagen (1998:204) PuL

Svensk författningssamling

HÖGSTA FÖRVALTNINGSDOMSTOLENS DOM

Datainspektionen informerar. Hur länge får personuppgifter

Lag (1998:620) om belastningsregister

Beslut efter tillsyn enligt personuppgiftslagen (1998:204)

Transporter av frihetsberövade (SOU 2011:7) och Transporter av frihetsberövade en konsekvensanalys (Statskontoret, rapport 2011:28)

Betänkandet EU:s direktiv om sanktioner mot arbetsgivare (SOU 2010:63)

Regeringens proposition 2008/09:15

Remiss av förslag till EU-direktiv om skydd för personer som rapporterar om överträdelser av unionsrätten

Dataskyddsförordningen

Behandlingen av personuppgifter i. Dir. 2001:108. i verksamhet enligt utlännings- och medborgarskapslagstiftningen.

PM Tillämpning av PUL inom Barn- och utbildningsnämndens verksamheter

Svensk författningssamling

Polismyndighetens nya allmänna spaningsregister

Svensk författningssamling

Riktlinjer för webbpublicering enligt PuL

Lag (1998:620) om belastningsregister

Allmänna riktlinjer för behandling av personuppgifter enligt Personuppgiftslagen (PuL)

Tillsyn enligt personuppgiftslagen (1998:204) utlämnande av uppgifter om medlemmar

Behandling av personuppgifter - Maskinentreprenörerna

Du är alltid välkommen att kontakta oss om du har frågor om hur vi behandlar dina personuppgifter. Kontaktuppgifter står sist i denna text.

Kommittédirektiv. Tilläggsdirektiv till Utredningen om kameraövervakning brottsbekämpning och integritetsskydd (Ju 2015:14) Dir.

Uppföljning av tidigare granskning avseende Rikspolisstyrelsens behandling av personuppgifter i penningtvättsregistret

Lag (2018:1694) om Tullverkets behandling av personuppgifter inom brottsdatalagens område

Svensk författningssamling

Integritetsskydd (vid sidan av OSL): Sammanhangen Bakgrund Nyckelbegrepp Mer integritet?

NOT Generalsekretariatet Delegationerna Utkast till rådets direktiv om skyldighet för transportörer att lämna uppgifter om passagerare

Så behandlar Överförmyndarnämnden dina personuppgifter

Postadress Telefon E-post Organisationsnummer Box 22523, Stockholm

LAGEN.NU. Lag (2003:763) om behandling av personuppgifter inom socialförsäkrin... administration. Nyheter Lagar Domar Begrepp

TILLÄMPNING. Hudiksvall kommun. Offentlighet. och. sekretess

SÄKERHETSPLAN FÖR PERSONUPPGIFTSBEHANDLING SOCIALFÖRVALTNINGEN GISLAVEDS KOMMUN

Betänkandet Uppgiftslämnarservice för företagen (SOU 2015:33)

Du är alltid välkommen att kontakta oss om du har frågor om hur vi behandlar dina personuppgifter. Kontaktuppgifter står sist i denna text.

Tillsyn enligt personuppgiftslagen (1998:204) uppföljning av ärende om Kristdemokraternas medlemsregister

Jenny Kvarnholt (Justitiedepartementet) Lagrådsremissens huvudsakliga innehåll

Dataskyddsförordningen

Personuppgiftsombudet

Svensk författningssamling

Kommittédirektiv. Dataskyddsförordningen behandling av personuppgifter vid antidopningsarbete inom idrotten. Dir. 2018:31

Utdrag ur protokoll vid sammanträde

Svensk författningssamling

INFORMATION OM BEHANDLING AV PERSONUPPGIFTER

Allmänna handlingar i elektronisk form

Dataskydd SAMLAR DU LAGRAR DU ANVÄNDER DU UPPGIFTER? Vad är personuppgifter? Bättre regler för små företag. Januari 2017 SV

Personuppgifter i forskningen vilka regler gäller?

ORGANISATION OCH ANSVAR ENLIGT PERSONUPPGIFTSLAGEN (PUL)

Svensk författningssamling

Dataskyddet tryggar dina rättigheter

Integritet och behandling av personuppgifter. Näringslivets Regelnämnd samt Näringslivets Regelnämnd NNR AB

Svensk författningssamling

Transkript:

FRÅN DATAINSPEKTIONEN #4/2000 DAGEN PUL NÄRMAR SIG Brått med polisens register DNA-ANALYS LÖSER BROTT NU MATAS POLISENS DATORER MED DNA- PROFILER OCH GAMLA BROTT KAN KLARAS UPP. DNA-ANALYSER KAN VISA OM SAMMA PERSON VARIT PÅ FLERA BROTTSPLATSER. SID 5 GLÖM INTE PASSET! I VÅR, NÄR SVERIGE BLIR MEDLEM I SCHENGENSAMARBETET KOMMER VI VARA TVUNGNA ATT VISA PASSET NÄR VI TAR IN PÅ HOTELL I NORGE. SID 7 SAFE HARBOR EU OCH USA ÄR NU ÖVERENS OM HUR MAN SKA ÖVERBRYGGA SKILLNADERNA I SYNEN PÅ INTEGRITETSSKYDD. MAGAZIN DIREKT SID #1/2000 10 1

De flesta av polisens register regleras fortfarande av datalagen. Nu närmar sig sanningens ögonblick, om tio månader ska allt vara anpassat till personuppgiftslagen. Vad får man behålla och vad måste bort? TEMA Polisregister Brått med polisens EN POLISPATRULL STOPPAR EN FORTKÖRARE på Hornsgatan i Stockholm. Föraren beter sig misstänkt, så patrullen bestämmer sig för att kontrollera honom närmare. På (krypterad) radiotelefon ringer man till länspolisens ledningscentral som ligger högst upp i det slottsliknande polishuset på Kungsholmen i Stockholm. Därifrån leds allt polisarbete i länet, från Norrtälje till Södertälje. Centralen har tillgång till de flesta av polisens register och gör en allmän slagning, en s.k. multifråga. I vårt exempel blir det träff i efterlysningsregistret, man går in där och hämtar fler uppgifter. Det visar sig att den efterlyste kan vara farlig, så den kommissarie som alltid finns på plats i ledningscentralen tar över befälet och leder resten av operationen. Registerslagningar är centralt i polisarbetet, vi är antagligen Sveriges största användare av personregister, säger polisintendent Åke Sundgren, personuppgiftsombud på Polismyndigheten i Stockholms län. Vi använder 98 datoriserade system med personuppgifter. 35 av systemen delar vi med Rikspolisstyrelsen, 15 driver andra myndigheter som Vägverket och SPAR, resten är våra egna. Alla de här registren behövs kanske inte, men 1994 slogs de tidigare tolv polismyndigheterna i länet med totalt 6 000 anställda ihop till en myndighet som sedan i sin tur delades upp i åtta nya polisområden. Många av registren är rester från den omfördelningen och uppstyckningen av gamla kulturer och gamla system. T.ex. har vi behövt behålla en del gamla arkivsystem för att organisationen ska kunna fungera. NU NÄRMAR SIG SANNINGENS ÖGONBLICK för de av polisens register som regleras av datalagen, och de är fortfarande många. Den 1 oktober nästa år ska alltsammans vara anpassat till PuL och de nya polisregisterlagarna. Vi har tio månader på oss och förhoppningsvis ska vi kunna rensa ut ett fåtal register som kan undvaras. Men de flesta behöver vi verkligen, t.ex. det allmänna spaningsregistret, Asp. Det regleras av datalagen och tillstånd från Datainspektionen och där finns massor av uppgifter som vi inte kommer att få registrera enligt de nya lagarna. Dessutom är det väldigt många poliser och tullare som har tillgång till registret, flera tusen personer. Den grövre brottsligheten kan vi nog hantera inom ramen för de nya lagarna, men om vi inte får använda Asp slås benen undan på dem som jobbar med vardagsbrottslighet. Det är oerhört betydelsefullt för deras arbete att kunna slå i register och se vem de har att göra med. Nu sitter en utredning och jobbar med frågan om fler polisregister behöver lagstöd, och jag vet att många poliser hoppas att Asp ska kunna räddas med en ny lag, men jag 2 MAGAZIN DIREKT #4/2000

register kan inte tänka mig att Asp ska kunna behållas som det ser ut nu, det skulle kräva omfattande ändringar i de nya lagarna. HUR FUNGERAR DÅ DE NYA LAGARNA för polisens register som har trätt i kraft ganska nyligen? Belastningsregistret och Misstankeregistret fungerar bra uppgifterna har hämtats från det numera nedlagda Person- och belastningsregistret, som har delats upp. Kriminalunderrättelseregistret är ännu inte klart och när det är färdigt kommer det bara att kunna användas av de 400 poliser i landet som arbetar med kriminalunderrättelseverksamhet. Hittills har vi fört ett manuellt kortregister, och eftersom vi började med det före den 24 oktober 1998, får vi enligt övergångsbestämmelserna till PuL registrera vad vi vill där till 2007. Och det kommer vi att göra! Vi är antagligen Sveriges största användare av personregister, säger polisintendent Åke Sundgren, personuppgiftsombud på Polismyndigheten i Stockholms län. HAR POLISEN I ANDRA EU-LÄNDER motsvarande problem? Sverige ett av få europeiska länder som har så här restriktiva lagar för polisens register. Tyskland och Holland har också stränga bestämmelser, men det är inte nödvändigt att knyta polisens register till direktivet och de flesta EU-länderna har valt en fristående reglering. Du behöver bara gå till Norge, som har antagit en EU-anpassad personuppgiftslag. Där får polisen registrera vad man anser sig behöva. MAGAZIN DIREKT #4/2000 3

TEMA Polisregister Ekobrottsmyndigheten vill föra egna spaningsregister Ekobrottsmyndigheten (EBM) har idag inte tillgång till polisens databaser och spaningsregister trots att de har ett samordnat ansvar för bekämpningen av ekobrott. De har heller inte rätt att lägga upp egna spanings- och underrättelseregister enligt polisdatalagen. Orsaken är att EBM klassas som en åklagarmyndighet och inte som en polismyndighet. För att få ut uppgifter ur polisens register måste EBM lämna in en formell begäran till polismyndigheten. Det sinkar arbetet och för att kunna bedriva sitt arbete mer effektivt och därmed uppfylla de krav som regering och riksdag ställer vill EBM att polisdatalagen ska ändras. Problemet har diskuterats med regeringen vid flera tillfällen men något förslag till lagändring finns inte än. EBM, Riksåklagaren och Rikspolisstyrelsen har av regeringen fått i uppdrag att bearbeta problemet och de kommer att presentera ett förslag till lösning i en rapport i december. Det internationella polissamarbetet bygger till stor del på utbyte av uppgifter. I Sverige samordnas samarbetet av Nationella Sambandskontoret inom Rikspolisstyrelsen (RPS), främst genom medverkan i Interpol och Europol (se DIrekt 1/00), Schengensamarbetet (se artikel s. 10), Östersjösamarbetet samt det nordiska polis- och tullsamarbetet (PTN). Sambandskontoret hanterar stora mängder meddelanden och för att kunna lagra och återsöka handlingarna har man två datasystem, DocPol och DAR. Datainspektionen har gjort förhandskontroller av hur personuppgifter behandlas i systemen. DocPol förs med stöd av datalagen och är ett diariedokument- och ärendehanteringssystem som används av interpolavdelningen inom RPS. RPS har önskat bygga ut systemet för att bl.a. kunna förvara och utväxla handlingar med Europol. I sin förhandskontroll (dnr 489-2000) gjorde Datainspektionen bedömningen att ett sådant ändamål strider mot vissa bestämmelser i polisdatalagen. Samtidigt såg Datainspektionen behovet av en utbyggnad och skrev till regeringen att lagen bör ändras så att en sådan behandling kan genomföras (dnr 729-2000). RPS ansåg däremot att nuvarande lagstiftning tillåter utbyggnaden och klagade på Datainspektionens beslut hos Länsrätten i Stockholms län, som avslog överklagandet (mål nr 7167-00). RPS överklagade länsrättens beslut till Kammarrätten i Stockholm, som uttalade att Datainspektionens beslut var inte överklagningsbart. Kammarrätten undanröjde länsrättens dom och avvisade överklagandet (mål nr 5376-2000). DAR är ett nytt dokument- och ärendehanteringssystem som RPS har utvecklat inför Schengensamarbetet. Det ska användas för att lagra och återsöka handlingar hos det svenska Sirene-kontoret. Handlingarna innehåller bl.a. kompletterande information till rapporter som har registrerats i Schengens datasystem SIS. I sin förhandskontroll (dnr 1666-2000) bedömde Datainspektionen att DAR kan föras inom ramen för bestämmelserna i PuL och polisdatalagen. Ny lag kan komma att reglera kriminalvårdens register Justitiedepartementet har föreslagit en ny lag som ska reglera kriminalvårdens behandling av personuppgifter (Ds 2000:50). Idag regleras en del av kriminalvårdens register av RIförordningen (1970:517) medan andra regleras av tillstånd från Datainspektionen. Den nya lagen är tänkt att ersätta både RI-förordningen och Datainspektionens tillstånd. Lagförslaget är konstruerat som en ramlagstiftning som ska kompletteras med mer detaljerade regler i förordningar och föreskrifter. Om förslaget genomförs kommer lagen att träda i kraft den 1/10 2001. Departementet menar att det finns flera orsaker till att en ny lag behövs. En är att det idag råder osäkerhet på lokal nivå inom kriminalvården om vad som får registreras. En annan orsak är att det inte längre råder någon tvekan om att högerextremister har utvecklat sina kontaktnät på fängelserna. För att förhindra att brott begås eller planeras under fängelsetiden och för att skydda såväl intagna och personal som samhället i stort måste kriminalvården få samla, bearbeta och analysera information om intagna som kan anses utgöra en säkerhetsrisk. I det sammanhanget kan det också vara nödvändigt att behandla känsliga personuppgifter om politiska åsikter eller medlemskap i extrema organisationer. Förslaget har varit ute på remiss och Datainspektionen anser (dnr 1485-2000) att de behandlingar som föreslås är så integritetskänsliga att de i viss utsträckning bör regleras mer detaljerat i lagen så att riksdagen får ta ställning i frågan. Så som förslaget ser ut idag har man tänkt sig att detaljerade regler ska upprättas av regeringen och berörd myndighet. Svårare att kontrollera anställdas bakgrund Det är inte ovanligt att arbetsgivaren vill ha utdrag ur Rikspolisstyrelsens (RPS) belastningsregister för att kontrollera arbetssökandes bakgrund. Arbetsgivare har själva inte rätt att få sådana utdrag men kan istället kräva att den sökande visar upp ett innan han eller hon anställs. Varje vecka får RPS ca 1000 ansökningar från privatpersoner som vill ha ett utdrag ur registret. Daniel Tullner på RPS utvecklings- och strategienhet menar att inte mindre än 98% av ansökningarna görs för att arbetsgivare kräver det. Den 1 januari i år ersattes lagen (1963:197) om allmänt kriminalregister med lagen (1998:620) om belastningsregister och i samband med det ändrade RPS sina rutiner så att alla, straffade eller ostraffade, får likadana svarsbrev. De som är straffade får också en bilaga med domar men det framgår inte av svarsbrevet om en bilaga skickats eller ej. Tidigare var inte utdragen ur kriminalregistret uppdelade på detta sätt. RPS nya rutiner försvårar för arbetsgivare att kontrollera de anställdas bakgrund, de får helt enkelt lita på den sökandes uppgifter om att någon bilaga inte existerar. Varje vecka ringer en eller ett par arbetsgivare och är upprörda över att de inte längre kan få ett säkert besked om en person är straffad eller inte. Men syftet med registret är inte att underlätta arbetsgivares kontroll av anställda. I lagen om belastningsregister finns klart angivet vilka som har rätt att ta del av uppgifterna i registret och bland dessa finns inte arbetsgivare uppräknade, säger Daniel Tullner. 4 MAGAZIN DIREKT #4/2000

TEMA Polisregister Gamla brott kan lösas med DNA-analys Nu matas polisens datorer med DNA-profiler. Även om det inte finns någon misstänkt, kan man nu se om samma person har varit på flera brottsplatser. Spåren kan vara 10 år gamla, så även brottslingar som tror att de har sluppit undan har anledning att vara nervösa. DE FÖRSTA 30 GROVA BROTTSLINGARNAS DNA-PROFILER har nu registrerats i polisens DNA-register. Ann Jangblad är chef för biologiska enheten på Statens kriminaltekniska laboratorium i Linköping, som för registret. Än så länge har vi manuella rutiner, så det går lite långsamt att bygga upp personregistret. Restriktionerna är stränga och vi måste få klartecken från Rikspolisstyrelsen innan vi får lägga in nya data. Meningen är att vi så småningom ska få uppgifterna som datafiler. Det går snabbare med spårregistret, alltså registret med DNA som har hittats på brottsplatser men inte har kunnat kopplas till person. Där har vi hittills registrerat 1 000 profiler. DET FINNS ALLTSÅ TVÅ DNA-REGISTER, som båda regleras av Polisdatalagen. Statens kriminaltekniska laboratorium för registren, men Rikspolisstyrelsen är personuppgiftsansvarig. DNA-REGISTRET ÄR ETT PERSONREGISTER med DNA-analyser av personer som har dömts för brott som kan ge minst 2 års fängelse. För att få registrera uppgifterna krävs att analysen är gjord under polisutredningen och att domen har vunnit laga kraft. Förutom DNA-profilen får enbart identitetsuppgifter registreras. Uppgifterna gallras samtidigt som belastningsregistret, dvs. 10 år efter avtjänat straff om personen inte under den tiden döms för nya brott. Prognosen är att när registret är fullt utbyggt kommer det att innehålla 20 000 brottslingar. SPÅRREGISTRET INNEHÅLLER DNA-analyser som är gjorda under brottsutredningar och som ännu inte har kunnat kopplas till någon person. Kriminalteknikerna analyserar blod, sperma, hud, saliv eller annat biologiskt material som hittas på brottsplatser. Uppgifterna får sparas i 30 år. Idag finns 1 000 analyser i spårregistret som förutom analysresultatet bara får ange i vilket ärende analysen har gjorts. Registret fylls på fortlöpande, inte bara med uppgifter från nya utredningar. Teknikerna går också upp till 10 år tillbaka i tiden och gör DNA-analyser av material från gamla ouppklarade brott. För att få fram en DNA-profil räcker det med t.ex. saliv på en fimp, en hårsäck eller en mycket liten blodfläck, säger Ann Jangblad. När vi gör vår standardanalys använder MAGAZIN DIREKT #4/2000 5

vi en blodfläck som är 3x3 millimeter. Vi löser upp provet i en vätska och sönderdelar cellerna. I en kopieringsmaskin börjar DNA dela sig, det kopierar sig själv. På några timmar har vi miljontals kopior och kan göra en analys. Vi analyserar bara en miljondel av all information som finns i DNA, men det räcker för att säkert identifiera en person. RESULTATET AV ANALYSEN blir en bild av DNA-sekvensen som ser ut som en streckkod. Den översätts till en sifferserie som datorerna lätt kan hantera. På några sekunder kan man se om samma DNA finns i spårregistret, dvs. om samma person har varit på andra brottsplatser. Med ett sådant brottsmönster kan man få fram en misstänkt. Och har man riktig tur, blir det träff i DNA-registret så att spåret direkt kan kopplas till en person. DNA-analys kan också användas för att fria en person från misstankar. Vad händer med prover från oskyldiga? Alla blodprov kastas när analysen är klar. Däremot ligger alla analysresultat kvar i ärendet, de måste sparas enligt arkivlagen och hamnar så småningom i Riksarkivet. Men analyser av oskyldiga får inte föras in i register och vara sökbara. DNA-ANALYS ÄR ETT MYCKET ANVÄNDBART REDSKAP i polisarbetet, flera andra länder bygger upp DNA-register och ofta är reglerna betydligt liberalare än de svenska. I Storbritannien DNAregistreras alla dömda brottslingar, alltså även sådana som har dömts för småbrott. När det registret är fullt utbyggt kommer det att innehålla 5 miljoner profiler. I Danmarks DNA-register finns även personer som har varit misstänkta för vissa grova brott, men som senare har frikänts. Registreringen motiveras med att mätningar visar på stor risk för senare kriminalitet hos misstänkta men frikända personer. Det finns många som skulle önska en mer omfattande registrering även i Sverige, men vi måste väga in kraven på integritetsskydd, slutar Ann Jangblad. Vi analyserar bara en miljondel av all information som finns i DNA, men det räcker för att säkert identifiera en person, säger Ann Jangblad som är chef för biologiska enheten på Statens kriminaltekniska laboratorium i Linköping. Alla övervakas men ingen bryr sig Många sätter likhetstecken mellan Det öppna samhället och Det genomskinliga (transparenta) samhället, men de är i själva verket varandras motsats. Runt den frågeställningen kretsar tolv essäer som Georg Apenes, sedan tio år direktör för norska Datatilsynet, har samlat i den lilla vackra volymen Panoptikon. I det öppna samhället är medborgaren subjektet som har möjlighet att övervaka statsmakten och den övriga makteliten. I det transparenta samhället, som vi är på väg in i, är medborgaren objektet, konsumenten som övervakas, oklart av vem. Robinson Crusoe blev skräckslagen när han fick se ett fotspår på stranden. Han hade trott att han var ensam. Vem var främlingen? Var det kanske LÄSTIPS mer än en? Visste de om honom och, i så fall, vad visste de om honom? Den trygga tillvaron hade förbytts i osäkerhet. Apenes menar att vi på samma sätt som Robinson borde oroa oss för de elektroniska spåren. Men det är få som bryr sig; dels är spåren osynliga, dels öppnar många beredvilligt sin privata sfär om belöningen är några bonuspoäng. Därmed är fältet fritt för det transparenta samhället där vem som helst kan övervaka vem som helst. Syftena kan vara många: kommers, nyfikenhet, kontroll. De här frågorna debatteras för lite, menar Apenes. Målen för övervakningen är begripliga och ofta behjärtansvärda. Polisen vill fånga bovar, sjukvården vill effektivisera och säljarna vill sälja. Men nu är det dags att sätta gränser och finna balanser, och ansvaret ligger både på myndigheterna och den enskilde. Det brådskar. Idag håller vi på att bygga ett modernt IT-panoptikon. Georg Apenes: Panoptikon, Vårt gjennomsiktige samfunn. Forlaget Geelmuyden.Kiese, ISBN 82-7547-060-9. Fotnot: Panoptikon. På 1700-talet konstruerade engelsmannen Jeremy Bentham ett cirkelformat fängelse där en enda vakt kunde se samtliga fångar utan att själv synas. En finess var att vakten inte alltid behövde vara på plats fångarna visste ju inte när de var övervakade. 6 MAGAZIN DIREKT #4/2000

TEMA Polisregister Schengensamarbetet: Glöm inte passet när du reser till Norge! I vår kommer vi svenskar att kunna resa i Europa utan att behöva visa upp pass vid gränskontrollerna. Men att Sverige blir medlem i Schengensamarbetet innebär också att vi måste visa upp pass när vi tar in på hotell i Norge! DEN 25 MARS 2001 blir Sverige och de övriga nordiska länderna operativa medlemmar i det s.k. Schengensamarbetet som innebär passfrihet inom EU. De enda som valt att stå utanför samarbetet är Storbritannien och Irland. Den nya friheten har en avigsida för svenska medborgare. Vi behöver visserligen inte visa upp pass när vi reser mellan Schengenländerna, men när vi tar in på hotell kommer det att krävas att vi visar upp vårt pass. Schengenkonventionen föreskriver nämligen att hotell- och pensionatsinnehavare ska se till att alla utländska gäster fyller i registreringskort och styrker sin identitet. En godkänd identitetshandling ska visa medborgarskap och för oss svenskar innebär det att vi måste visa upp våra pass. Vi måste alltså framöver räkna med att ta med oss passet också när vi ska övernatta i något av de nordiska länderna. FÖR ATT GARANTERA SÄKERHETEN i medlemsländerna, bekämpa internationell kriminalitet och illegal invandring samarbetar medlemsländernas polismyndigheter allt mer och kontrollen mot omvärlden (s.k. tredje land) skärps. Ett viktigt hjälpmedel i det arbetet är Schengens informationssystem SIS. Det är ett datasystem där medlemsländerna matar in uppgifter om efterlysta personer, fordon och föremål. Uppgifterna kan kombineras med t.ex. en begäran om att en person ska tas i förvar eller övervakas om han eller hon upptäcks i ett annat medlemsland. SVERIGE KOMMER ATT INFÖRA NYA VISERINGSREGLER när vi blir operativa medlemmar. Det innebär att medborgare från 19 länder i Afrika och Västindien som tidigare inte har behövt visum, nu måste ha det om de vill besöka Sverige. Alla som kommer från tredje land ska vid gränsen kontrolleras mot SIS-registrets spärrlista. Spärrlistan innehåller uppgifter om utlänningar som anses utgöra ett hot mot allmän ordning och säkerhet eller har avvisats eller utvisats. Det är administrativa myndigheter eller behörig domstol i respektive land som kan fatta beslut om att en person ska föras upp på spärrlistan. Nytt för Sveriges del är också passkontroll vid utresa till tredje land. Att kontrollera inresande personer mot en spärrlista är inget nytt. Redan idag finns en spärrlista med uppgifter om personer som avvisats eller utvisats från de nordiska länderna. Nyheten är att SIS-registrets spärrlista omfattar uppgifter om personer som är oönskade i Schengenländerna. SIS-REGISTRET BESTÅR AV nationella delregister och en central stödfunktion som ser till att alla delregister innehåller identiska uppgifter. I dag innehåller databasen cirka 10 miljoner poster. 1,3 miljoner av dessa poster innehåller information om människor, resten är uppgifter om efterlysta bilar och föremål. MAGAZIN DIREKT #4/2000 7

SCHENGENSAMARBETET HAR KRÄVT flera förändringar i den svenska lagstiftningen, bl.a. SFS 2000:344 som reglerar den svenska delen av SIS-registret. Rikspolisstyrelsen är personuppgiftsansvarig och den svenska polisen kommer att börja mata in uppgifter i registret under december. Åklagarmyndigheter, polismyndigheter, Tullverket, Kustbevakningen och Migrationsverket har rätt att få ut uppgifter ur registret. Den nationella tillsynsmyndigheten, Datainspektionen, har också tillgång till registret för sin tillsynsverksamhet. Enskildas rätt att få ta del av uppgifterna i SIS-registret ska följa nationell rätt vilket i Sverige innebär att prövning av utlämnande av uppgifterna sker med tillämpning av sekretesslagens bestämmelser. EU tar upp striden mot penningtvätt Under hösten har EU:s medlemsländer enats om flera principer som ska hindra ekonomisk brottslighet. Men även om det finns en samsyn så tar det tid innan reglerna är klara eftersom alla formella beslut ännu inte är fattade. EU:s finansministrar har kommit överens om ett nytt direktiv som ska hindra s.k. penningtvätt. Det innebär att fler yrkesgrupper än bankpersonal ska vara skyldiga att rapportera misstänkta penningtransaktioner. De yrkesgrupper som omfattas av direktivet är advokater, fastighetsmäklare, kasinopersonal, notarier, auktionsfirmor, revisorer och skatterådgivare. En tvistefråga har varit i vilken omfattning advokater ska omfattas av skyldigheten och man har slutligen enats om att skyldigheten bara gäller advokater när de ger juridisk rådgivning vid planering och genomförande av penningtransaktioner. I Sverige finns redan en lag (1993:768) om åtgärder mot penningtvätt. Den gäller för bl.a. banker och försäkringsbolag men även andra yrkesgrupper är skyldiga att rapportera misstänkta penningtransaktioner, t.ex. de som yrkesmässigt bedriver handel med antikviteter, konst, ädelstenar och metaller. Liksom för dem som förmedlar fastigheter, bostadsrätter eller bedriver lotteri- och spelverksamhet. Medlemsländernas justitie- och finansministrar har också enats om att banksekretessen i medlemsländerna inte ska hindra brottsutredningar. En särskild konvention som ministerrådet senare ska enas om ska beskriva hur det ska gå till. Innan konventionen träder i kraft ska EU-parlamentet godkänna den. Regeringen vill ändra dataskyddsdirektivet I oktober nästa år ska EU-kommissionen lämna en rapport till Europaparlamentet om hur genomförandet av direktivet har gått och vilka förändringar som behövs. Inför det kommande svenska ordförandeskapet i EU och kommissionens rapport vill regeringen nu intensifiera sina ansträngningar för att få till stånd en ändring av direktivet. Regeringen anser att EG-direktivet som PuL bygger på är alltför omfattande och komplicerat och vill att det förenklas och koncentreras så att vi kan få en lagstiftning som tar sikte på att ingripa mot missbruk av personuppgifter. För att skapa bredast möjliga förankring har regeringen bildat en samrådsgrupp med representanter från alla politiska partier. Gruppen kommer att vara ett forum för tankeutbyte kring konkreta förslag, men ska också skapa ett brett underlag för Sveriges kommande ställningstagande. I gruppen ingår Henrik Sjöholm (c), Helena Bargholtz (fp), Ingvar Svensson (kd), Inger Renè (m), Per Lager (mp), Barbro Hietala Nordlund (s) och Mats Einarsson (v). OS-register olagligt men preskriberat I augusti rapporterade Dagens Eko att Stockholm 2004 AB (OS-bolaget) under 1997 hade fört ett hemligt register som innehöll nedsättande omdömen om delegaterna i Internationella Olympiska Kommittén (IOK). OS-bolaget, som skulle förmå IOK att utse Stockholm till OS-stad år 2004, uppgav att man hade raderat uppgifterna vid årsskiftet 1997/98, men därefter hade polisen beslagtagit datorutrustningen och återskapat det raderade materialet, som den vägen hade kommit till Ekots kännedom. Registret innehöll värderande upplysningar och omdömen om IOK-delegater och deras makar. Datainspektionen granskade registret och konstaterade att enligt datalagen, som gällde 1997, krävdes Datainspektionens tillstånd för att få registrera värderande uppgifter. OS-bolaget hade inte sökt tillstånd att få föra registret men, skriver Datainspektionen i sitt beslut, även om man hade lämnat in en ansökan skulle man inte ha fått tillstånd att föra ett register med sådant innehåll. Registret hade alltså förts i strid med datalagen. Dock fann inspektionen ingen anledning att ifrågasätta OS-bolagets uppgift att registret förstördes vid årsskiftet 97/98, vilket innebär att brottet nu är preskriberat. Ärendet avskrevs (dnr 1377-2000). SJ:s webbplats läckte personuppgifter På SJ:s webbplats kan man beställa biljetter som skickas hem och betalas i efterskott mot faktura. För att undvika fusk kräver SJ personnummer och sänder biljetter enbart till folkbokföringsadressen. Vid en inspektion tidigare i år (dnr 683-2000, se DIrekt 3/00) har Datainspektionen konstaterat att det är tillåtet att registrera personnummer i samband med kreditförsäljning. Däremot påpekades att SJ inte informerade enligt 23-25 PuL och att den bristen skulle åtgärdas. För att biljettköparen ska kunna kontrollera att adressen är korrekt, har den folkbokföringsadress som SJ hämtar från SPAR-registret visats på skärmen. Därefter har beställaren kunnat klicka OK för att bekräfta beställningen. Metoden har emellertid medfört att vem som helst har kunnat gå in på SJ:s webbplats, fylla i ett valfritt personnummer och få fram tillhörande adress utan att beställa biljett. Efter klagomål bl.a. från SPAR har Datainspektionen gjort ny tillsyn (dnr 1879-2000) varefter SJ har ändrat systemet så att enbart texten biljetterna skickas till din folkbokföringsadress visas på skärmen. Nu finns också information enligt PuL. Ärendet avskrevs. Inget bilregister på nätet Vägverket ansökte om att få publicera Centrala Bilregistret (CBR) på Internet. Uppgifterna är offentliga och Vägverket besvarar årligen 1,2 miljoner frågor per telefon och fax. Dessutom har bilhandlare och motsvarande tillgång till CBR on-line. Datainspektionens styrelse avslog ansökan med motivet att det kan antas att uppgifterna skulle behandlas i strid med dataskyddslagstiftningen och att ett utlämnande på Internet kunde medföra otillbörligt integritetsintrång (dnr 1113-2000). 8 MAGAZIN DIREKT #4/2000

TILLSTÅND & TILLSYN NYA SKRIFTER Nytt faktablad om personuppgifter på Internet Vilka uppgifter kan publiceras på Internet utan att de registrerade har samtyckt? Vad räknas som harmlösa uppgifter? Det är två frågor som ofta ställs till Datainspektionen, som nu har sammanställt ett informationsblad som reder ut begreppen och ger några praktiska exempel på hur personuppgiftslagens regler tillämpas idag. Tjänsteman läckte uppgifter till nazister En kvinnlig handläggare vid försäkringskassan i Göteborg misstänks för dataintrång och brott mot tystnadsplikten efter att ha lämnat ut information om personer med skyddad identitet. Kvinnan hade lämnat utskrifterna till sin son som lämnat informationen vidare till nazister. Förundersökningen som leds av Riksåklagaren är ännu inte avslutad. Datainspektionen har tidigare granskat hanteringen av skyddade personuppgifter hos försäkringskassorna med flera. I rapporten Skyddade uppgifter i folkbokföringen 1999:3 konstateras att det var utmärkande för försäkringskassorna att många i personalen hade tillgång till skyddade personuppgifter. Efter händelsen i Göteborg har Datainspektionen på nytt kontaktat Riksförsäkringsverket (RFV) angående hanteringen av skyddade personuppgifter (dnr 1830-2000). RFV skriver i sin redogörelse att man har förbättrat säkerhetsrutinerna för sådana register som RFV är systemägare till. Datainspektionen har också tillfrågat samtliga allmänna försäkringskassor i landet om de har några egna register, om de innehåller skyddade personuppgifter och hur säkerheten för dessa uppgifter är ordnad. Olaglig försäljning av studentadresser Under sensommaren uppmärksammade media att Verket för Högskoleservice (VHS) hade sålt adressuppgifter om sökande till läkarutbildningen. De sökande hade fått hem reklam för privata läkarutbildningar utomlands och flera reagerade kraftigt på detta. Datainspektionen inledde tillsyn (dnr 1368-2000) och begärde en redogörelse från VHS som motiverade försäljningen med att man följt offentlighetsprincipen. Datainspektionen menade dock att försäljningen varit olaglig och att den hade gått utöver vad som enligt offentlighetsprincipen kan krävas av en myndighet. I Tryckfrihetsförordningen stadgas att myndigheter inte är skyldiga att lämna ut allmänna handlingar i annan form än utskrift, alltså varken på IT-medium eller i form av adressetiketter. För ett sådant utlämnande eller försäljning av uppgifterna krävs ett särskilt bemyndigande. Flera myndigheter har ett sådant bemyndigande, men inte VHS. Om VHS vill fortsätta att sälja personuppgifter ur antagningssystemet bör de, enligt Datainspektionens uppfattning, först ta reda på regeringens inställning genom att begära ett försäljningsbemyndigande. Vet du vad som finns registrerat om dig? Nu har Datainspektionen tryckt en ny PuL-anpassad upplaga av skriften Personregister i Sverige. Skriften innehåller aktuell information om de vanligaste svenska registren och hur enskilda kan gå till väga för att ta reda på vad som finns registrerat om dem. En normal medborgare finns idag med i ett hundratal register. Enligt både datalagen och personuppgiftslagen har varje person rätt att få veta om myndigheter, företag eller organisationer behandlar personuppgifter om honom eller henne och vad som i så fall finns registrerat. Vill du utnyttja din rätt, måste du själv begära att få ta del av uppgifterna. Lämpligen skriver du till dem som du tror behandlar uppgifter om dig. Det finns inget centralt register som visar var du är registrerad utan varje företag, myndighet eller organisation för sina register oberoende av varandra. Den nya upplagan av Personregister i Sverige innehåller information om de vanligaste registren, adresser till företag och myndigheter där registren finns. Det finns också information om hur man kan skriva för att ta reda på vad som finns registrerat om en själv och fakta om hur man stoppar direktreklam. Båda skrifterna är gratis och finns att hämta på www.datainspektionen.se. En tryckt version kan beställas via nätet eller per telefon 08-657 61 42. MAGAZIN DIREKT #4/2000 9

Safe Harbor avtalet klart Nya regler för att skicka personuppgifter från EU EU och USA är nu överens om hur man ska lösa skillnaderna i synen på integritetsskydd. Den s.k. Safe Harboröverenskommelsen som blev klar i somras ska överbrygga skillnaderna genom förutsägbara regler för när personuppgifter får överföras från EU till USA. NÄR PUL INFÖRDES i Sverige rörde den nya lagen upp en häftig debatt. Mest handlade debatten om möjligheten att publicera personuppgifter på Internet. Men den gällde också problemet med att i fortsättningen överföra personuppgifter till tredje land, dvs. länder som inte är med i EU eller EES-samarbetet. USA är Europas viktigaste handelspartner och möjligheten att överföra personuppgifter är viktig för t.ex. flygbolag som har behov av att på ett enkelt sätt överföra information om resande mellan olika länder. Ett annat exempel är amerikanska bolag som samlar in personaluppgifter om personer anställda i dotterbolag inom EU. Men USA har en annan tradition när det gäller behovet av lagstiftning för att skydda den personliga integriteten vid behandling av personuppgifter. Någon gemensam federal lagstiftning finns inte, man har hittills ansett det vara tillräckligt med lagstiftning inom vissa sektorer i kombination med självregle- rande system. Denna avsaknad av generell lagstiftning om dataskydd i USA medför att överföring av personuppgifter från EU till USA i princip är förbjuden. Att tillämpa de undantag från förbudet som finns, t.ex. att uppgifterna antingen är harmlösa eller att de registrerade personerna samtycker är inte alltid praktiskt möjligt. SAFE HARBOR-ÖVERENSKOMMELSEN är ett resultat av två års diskussioner mellan EU och USA. Överenskommelsen består bl.a. av sju principer om integritetsskydd som amerikanska organisationer i USA frivilligt förbinder sig att följa. Till dessa företag kan sedan personuppgifter skickas från EU till USA på samma villkor som uppgifterna får överföras mellan EU-länder. Information om vilka företag och organisationer som är anslutna finns på en lista som det amerikanska handelsdeparte- 10 MAGAZIN DIREKT #4/2000

till USA Sju principer som ska följas Amerikanska företag och organisationer som frivilligt ansluter sig till Safe Harbor-överenskommelsen förbinder sig att följa dessa sju principer: MEDDELANDE innebär att den registrerade har rätt att få information om behandlingen av sina personuppgifter. VALMÖJLIGHET den enskilde får rätt att välja (opt-out) att deras uppgifter inte lämnas vidare eller behandlas på annat sätt än det ursprungliga ändamålet. Om det är känsliga personuppgifter som finns registrerade måste den enskilde först bekräfta (opt-in) att uppgifterna får lämnas vidare eller behandlas på annat sätt än det ursprungliga ändamålet. VIDARE ÖVERFÖRING innehåller villkor som måste uppfyllas innan uppgifter får lämnas ut till en servicebyrå eller annan som hanterar personuppgifterna på uppdrag av organisationen. SÄKERHET bestämmelser om IT-säkerhet. DATAINTEGRITET allmänna krav på att organisationen ska se till att personuppgifter alltid är relevanta, tillförlitliga, fullständiga och aktuella i förhållande till ändamålet med behandlingen. TILLGÅNG innebär att registrerade personer har rätt att få veta vad som finns registrerat om dem och vid behov få möjlighet att rätta, ändra eller utplåna uppgifter. GENOMFÖRANDE OCH UPPFÖLJNING innebär att det måste finnas ett system som ger enskilda möjlighet att vidta rättsliga åtgärder om inte principerna följs och att det finns påföljder. Detta innebär bland annat att organisationer som ansluter sig också förbinder sig att åtgärda problem som uppstår om principerna inte följs i organisationen. Fotnot: Stavningen av Safe Harbor är amerikansk. mentet (US Department of Commerce) håller uppdaterad. Listan finns tillgänglig på www.ita.doc.gov/kpiframeset.html. Där finns också ytterligare information om vilka krav som ställs för att få ansluta sig. DE FÖRETAG SOM HAR ANSLUTIT SIG till de sju principerna övervakas av amerikanska myndigheter eller organisationer som har godkänts av Europeiska kommissionen. Hittills har bara två myndigheter godkänts; den federala konkurrensmyndigheten (Federal Trade Commission, FTC) och transportministeriet (Department of Transportation). I praktiken innebär detta att Safe Harbor idag endast kan tillämpas inom de sektorer som omfattas av dessa myndigheters tillsyn. Safe Harbor kan därmed för närvarande inte tillämpas på bank- och försäkringsverksamhet. För att underlätta tillämpningen av dessa principer finns en lista med konkreta frågor och svar. Där ges bland annat vägledning för hur en organisation ska göra för att ansluta sig; det krävs t.ex. att organisationen offentliggör sin vilja att följa principerna och att det finns en policy för integritetsskydd. I frågorna och svaren finns också vägledning för hur vissa typer av personuppgifter får behandlas, t.ex. personaluppgifter och reseuppgifter. Information om de sju principerna och listan med frågor och svar kan hämtas på http://europa.eu.int/comm/ internal_market/en/media/dataprot/news/index.htm. Beslutet om Safe Harbor är införd i Europeiska gemenskapernas officiella tidning, EGT L215, 25.8.2000, s. 7 (Celex 300D0520). Schweiz och Ungern godkända I samband med beslutet om Safe Harbor-överenskommelsen godkände kommissionen också Schweiz och Ungern som länder med en adekvat skyddsnivå för personuppgifter. Det innebär att det nu går att överföra personuppgifter till dessa länder på samma villkor som till länder inom EU och EES. MAGAZIN DIREKT #4/2000 11

Globala regler för dataskydd Världskonferens i Venedig: nödvändigt eller omöjligt? Behövs en ny global konvention för dataskydd? Är en sådan överhuvudtaget genomförbar? Är tekniken integritetsneutral eller behöver politikerna gå in och styra? Det var ett par frågor som diskuterades på årets världskonferens för integritetsskydd. Datainspektionen ledde ett särskilt möte för EU:s dataskyddschefer. ONE WORLD, ONE PRIVACY var rubriken på årets världskonferens för persondataskydd som i slutet av september gick av stapeln i den magnifika Fondazione Giorgio Cini i Venedig. Stefano Rodotà, president för Italiens datainspektion stod för värdskapet och på talarlistan hade han förutom det vanliga kopplet av Data Protection Commissioners från hela världen och professorer från USA och Kanada lyckats mobilisera en imponerande mängd inhemska potentater. Italiens president, Carlo Azeglio Costa och premiärminister Guiliano Amato använde den moderna tekniken och gjorde sina inlägg via länk och storbilds-tv. Antonio Vitorino, den italienske EU-kommissionären för juridik var på plats, liksom inrikesministern, landshövdingen, borgmästaren och många andra. ITALIENARNA OCH MÅNGA ANDRA var ense om att sättet att leva upp till konferensens rubrik One World, One Privacy är en ny, global konvention för dataskydd. Det hela mynnade ut i att konferensen antog en deklaration om behovet av globala principer för hur personuppgifter ska få hanteras. The Venice Declaration kan hämtas på www.garanteprivacy.it. Där finns också omfattande dokumentation från konferensen och videoupptagningar av samtliga föredrag tolkade till fem språk. Den som inte kunde vara med i Venedig och har ett par dagar till övers, kan alltså framför sin dator uppleva hela konferensen utan att behöva trassla med simultantolkningens sladdar och lurar. Förnämligt! 12 MAGAZIN DIREKT #4/2000

ALLA HÖLL DOCK INTE MED om det italienska initiativets förträfflighet. Mr Privacy, Spiros Simitis, juridikprofessor i Frankfurt am Main, världens förste dataskyddskommissionär (Hessen 1971) och gästföreläsare på ett par av Datainspektionens konferenser, talade ur djupet av sin erfarenhet. Han rubricerade sitt inlägg: A Convention what for? För den som möjligen har missat det, kan jag berätta att det redan finns en konvention, utfärdad av Europarådet 1981. Den har alltsedan dess utvecklats och kompletterats med en rad rekommendationer och är till skillnad från EGdirektivet öppen för alla. Alla länder USA, Australien, Kina kan alltså ansluta sig. De som ropar efter en ny konvention måste ha något annat i sinnet: kanske vill de bli av med EGdirektivet, som jag vet att många vill ändra eller överge. Professor Simitis påminde om den långa smärtsamma process som det innebär att kompromissa sig fram till en konvention. Hessens datalag tog det ett år att ta fram från idé till färdig lag. Det var 1971. Idag är allt så mycket mer komplicerat. Tyskland har ännu inte genomfört EG-direktivet, som det först tog minst 5 år att ta fram, och som nu har varit i kraft i ytterligare 5 år. Det har alltså tagit över 10 år trots att det är obligatoriskt för EU-länderna att genomföra direktivet. Förmodligen är det idag omöjligt att åstadkomma en ny konvention. The law moves 30x slower than the Net. Professor Simitis var också orolig för vilket organ som skulle komma att administrera en konvention, om nu en sådan skulle komma till stånd. E-handelsbolagen driver på när det gäller globala regler, de vill gärna ha smidiga flöden av personuppgifter över hela Sverige ledde EU-möte I anslutning till konferensen höll EU:s dataskyddschefer ett slutet möte med Datainspektionens generaldirektör Ulf Widebäck som ordförande. Där avslutades några frågor som väcktes på EU-konferensen i Stockholm i maj (se DIrekt 2/00). Nästa EU-möte äger rum i Aten i maj 2001. världen. Men jag vill betona att persondataskydd inte är ett bihang till e-handel. WTO (World Trade Organization) är mycket intresserad av globala regler, men om en konvention skulle administreras av WTO kommer personuppgifter att behandlas som varor. Och personuppgifter är inte varor! Al Gore, USA:s dåvarande vicepresident, hade skrivit ett brev till konferensen. Han är inte heller intresserad av fler regleringar. USA, skriver han, har tagit fram tuffa lagar för att skydda våra mest personliga data: ekonomisk, medicinsk och genetisk information (i den ordningen!) I övrigt är det bäst att överlåta skyddet till marknadens självreglering, det kommer att fungera av det enkla skälet att säkerhet och diskretion är bra för affärerna. Dessutom lever vi i en global ekonomi och vilket lands lagar ska tillämpas på ett multinationellt företag? 22 ND INTERNATIONAL CONFERENCE on Privacy and Personal Data Protection var konferensens underrubrik. Flera talare tog upp Privacy i en vidare mening. Umberto Eco väckte i sitt inledningsanförande frågan om hur man ska kunna försvara rätten till en privat sfär i ett samhälle där man kan bli kändis och tjäna pengar på att i TV offentligt ge upp sin integritet. Många tar villigt fram sina skelett ur garderoben och berättar att de har blivit bedragna, är misslyckade som föräldrar eller impotenta. I program som Big Brother lämnar folk ut sig helt och hållet. Förr gick byfånen på värdshuset, lät sig skrattas åt och fick en slant eller ett glas. Den globala TV-fånen blir en celebritet. Allt fler viker också ut sig på Internet eller står på offentliga platser och talar vitt och brett om intimiteter i mobiltelefon. En man har i jakten på kändisskap på Internet lagt ut rektoskopibilder från insidan av sin ändtarm. Eco kallade det en grandios insats, men var ska myndigheterna dra gränsen för den personliga integriteten när sådant förekommer? Även andra talare tog upp den frågan, som onekligen rör den personliga integriteten, men samtidigt kan man fundera över var den hör hemma. I många länder kallas Datainspektionens motsvarigheter för Privacy Commissioners och på sina håll finns uppenbarligen ambitioner att vidga sitt ansvarsområde till alla aspekter av integritet. Umberto Eco väckte i sitt inledningsanförande frågan om hur man ska kunna försvara rätten till en privat sfär i ett samhälle där man kan bli kändis och tjäna pengar på att i TV offentligt ge upp sin integritet. TEKNIKEN PÅSTÅS JU VARA NEUTRAL, men det synsättet fick kritik av flera talare. Professor Joel Reidenberg från USA var en av dem. Tekniken kan själv skapa regler som är lika kraftfulla som lagar. Ta som exempel filterprogram som används i många skolor i USA och som blockerar texter med vissa ord bröst, homosexuell, aids, abort. Sådana filter begränsar yttrande- MAGAZIN DIREKT #4/2000 13

friheten. Det finns också teknik som bidrar till integritetsintrång som cookies och registrering av ip-nummer. Även teknik för anonymisering kan missbrukas av personer som vill sända budskap och slippa stå för innehållet. Utvecklingen av den här sortens teknik drivs av kommersiella intressen. Politikerna borde gripa in och styra, men det gör man inte. Varför? Jo, säger professor Reidenberg, det beror på att staten själv kan dra nytta av tekniken. Skattemyndigheten kan t.ex. köpa vissa data som man behöver. En annan som hade sett exempel på icke integritetsneutral teknik var Jason Catlett som på vägen till Venedig hade besökt tortyrmuseet i San Gimignano med redskap från inkvisitionen. I en skrift från den tiden prisade man tumskruven som ett kostnadseffektivt sätt att få fram information. ETT MER DISKRET SÄTT ATT SAMLA IN DATA är att smyglyssna. Professor Michael Froomkin från Miami räknade upp en hel lista med tekniker att snappa upp data, bl.a. signaler från trådlösa tangentbord, sensorer och kameror på allmän plats, signaler från fordon och mobiltelefoner, mönsterigenkänning, cookies, märkning av program- och maskinvara, och slutligen det senaste: intelligent damm, sensorer så små att de kan sväva fritt i luften. Men all teknik hotar inte integriteten. Många av talarna som såg svårigheterna med att ta fram regler och att se till att reglerna följs, grep efter tekniken som sitt sista halmstrå: Use privacy-enhancing technology! En brist idag är att kostnaderna för t.ex. program för anonymisering läggs på användaren. Den som tillhandahåller information bör vara skyldig att se till att man anonymt kan ta del av den. AKTUELLA UTREDNINGAR Bred utredning om integritetslagar planeras Regeringen planerar att tillsätta en parlamentarisk utredning som ska göra en bred kartläggning av skyddet för den personliga integriteten i det moderna samhället. Enligt regeringens planer ska utredningen undersöka hur integritetsaspekten har hanterats och reglerats i befintlig lagstiftning både på det offentligrättsliga och privaträttsliga området. Utredningen ska också överväga om det finns behov av att ändra och komplettera nuvarande lagstiftning till skydd för den personliga integriteten. Direktiven för utredningen föväntas bli färdigställda före årsskiftet. Offentlighet- och sekretesskommittén Kommittén ska göra en översyn av bestämmelserna om allmänna handlingars offentlighet i syfte att vidga möjligheterna för offentlighetsprincipens tillämpning i IT-samhället. Ett första delbetänkande som behandlar behovet av grundlagsändringar ska enligt planerna presenteras den 18 januari 2001. Kommittén ska också göra en allmän översyn av sekretesslagen. Arbetet med denna del kommer att påbörjas den 1 januari 2001 (dir. 1998:32). Utredning om den personliga integriteten i arbetslivet Utredningen ska se över behovet av lagstiftning eller andra åtgärder för att stärka skyddet av den personliga integriteten i arbetslivet. I översynen ska det i första hand ingå frågor om användning av drogtester och andra medicinska kontroller samt frågor om användning av persondatorer, e-post och Internet i arbetet. Men även andra integritetsfrågor där den personliga integriteten i arbetslivet kan vara hotad, ska tas upp. Behovet av skydd för arbetssökande ska särskilt belysas. Ett slutbetänkande är planerat till den sista december 2001 (dir. 1999:73). Mediegrundlagsutredningen Den parlamentariskt tillsatta kommittén ska analysera behovet av och förutsättningarna för en mer teknikoberoende grundlagsreglering av yttrandefriheten. Kommitténs förslag kommer att presenteras i ett slutbetänkande i slutet av januari 2001 (dir. 1999:8). Ökad samkörning ska minska bidragsfusket A-kassorna betalar årligen ut 30 miljarder kronor. Studier har visat att bidragsfusk, till exempel att man får a-kassa samtidigt som man är sjukskriven, uppgår till 65-80 miljoner kronor per år. A-kassorna omfattas inte av sekretesslagen och kan därför inte få tillgång till de uppgifter om t.ex. studiemedel och sjukpenning som behövs för att kunna kontrollera att utbetalningarna är korrekta. Nu föreslår utredningen SOU 2000:97, Rätt underlag rätt beslut att a-kassorna ska omfattas av handlingsoffentlighet och sekretess och få direktåtkomst till relevanta uppgifter hos de allmänna försäkringskassorna, Riksförsäkringsverket (RFV), Centrala studiestödsnämnden (CSN) och länsarbetsnämnderna. Därmed ska man kunna stoppa en del av fusket. Utredningen föreslår också att överföringen av uppgifter från a-kassorna till försäkringskassorna, RFV och CSN ska författningsregleras. Förutom att avslöja fusk ska det ökade utbytet av information medföra att det ska gå snabbare från det att man söker ett bidrag till dess man får det. De system som utredningen har tittat på betalar varje år ut 300 miljarder kronor. Ingen vet hur stort det totala fusket är, men de klart största beloppen gäller personer som tar ut a-kassa eller sjukpenning och samtidigt arbetar. Det fusket kan inte upptäckas med samkörning. Samkörning innebär alltid risk för integritetsintrång, men utredningen anser att i det här fallet är samhällsintresset starkare. Nu ska betänkandet ut på remiss. DIrekt återkommer när svaren kommer in. 14 MAGAZIN DIREKT #4/2000

NYA LAGAR & FÖRFATTNINGAR Kommunala diarier får läggas ut på Internet Från den 1 januari 2001 får kommuner, landsting och kommunalförbund lägga ut sina diarier samt justerade protokoll från sammanträden med fullmäktige eller nämnd på Internet. Det är innebörden av en ändring i personuppgiftsförordningen, PuF, (SFS 1998:1191) som regeringen har beslutat om. I PuF finns bestämmelser om hur PuL ska tillämpas. För att skydda enskildas personliga integritet är huvudregeln att uppgifter som direkt pekar ut den registrerade, exempelvis namn, ska avlägsnas före publiceringen. Detta är dock inte nödvändigt om det inte finns anledning att anta att den enskildes integritet kränks genom att uppgifterna läggs ut på nätet. Personuppgifter som rör en förtroendevalds uppdrag kan alltid läggas ut. TINGSRÄTTSDOMAR Sköterska dömd för dataintrång En sjuksköterska på Sahlgrenska Universitetssjukhuset som åtalades efter att ha läst statsrådet Leif Blombergs sjukjournal, har av Göteborgs tingsrätt dömts för dataintrång till 30 dagsböter. Sköterskan hade inte del i vården av Blomberg, men har hävdat att hon läste journalen i utbildningssyfte. Om domen ska överklagas är ännu inte bestämt (Målnr 11913-99). Datainspektionen vid flera tillfällen granskat rutinerna för kontroll av anställdas åtkomst till journaluppgifter inom sjukvården, t.ex. i rapporten Personregistrering vid sjukhus, som kan beställas på webbplatsen www.datainspektionen.se. Hur vill du ha i fortsättningen? På www.datainspektionen.se Vi lägger fortlöpande ut nyhetsnotiser på vår webbplats. Fyra gånger per år samlar vi ihop, redigerar och kompletterar materialet som då bildar ett nytt nummer av magazin DIrekt. Magazinen samlas i pdf-format under rubriken Kunskapsbanken. e-post med länk Du kan prenumerera på Datainspektionens nyheter. När något nytt publiceras på vår webbplats, t.ex. när ett nytt nummer av magazin DIrekt har kommit ut, får du som prenumerant ett e-brev med en länk. Anmäl dig som prenumerant på www.datainspektionen.se. Med post Vi kan också sända magazin DIrekt på papper. Fyll i uppgifterna på kupongen här nedanför och skicka eller faxa den till oss. Du kan också e-posta uppgifterna. Oavsett distributionsform är DIrekt gratis. magazin DIrekt produceras av Datainspektionen, Box 8114, 104 20 Stockholm. Tel: 08-657 61 00 (växel), 08-657 61 42 (beställningar). Fax: 08-652 86 52. E-post: datainspektionen@datainspektionen.se. Webbplats: www.datainspektionen.se Grafisk form: Neo Media. Foto och illustration: Kristoffer Thessman s. 1 2, Christina Andersson och Annika Ulltin s. 2 3, Benny Wilhelmson s. 3, Stone/Paul Morrell s. 5, Peter Jigerström s. 6, Pressens bild/johan Adelgren s. 7, Micael Engström s. 9, Thomas Fröhling s. 10 11, Pictor/IBL Bildbyrå s. 12, Pressens bild/michel Euler s. 13. Ansvarig utgivare: Ulf Widebäck. ISSN 1404-7632 JA! JAG VILL HA MAGAZIN DIREKT med post Brevporto SKRIV TYDLIGT! (Du behöver inte svara om du tidigare skickat in kupongen eller om du hämtar DIrekt via Internet) Företag/myndighet/organisation:... Personnamn... Postadress... Jag medger att uppgifterna dataregistreras. DATAINSPEKTIONEN BOX 8114 104 20 STOCKHOLM MAGAZIN DIREKT #4/2000 15

B PORTO BETALT Bry dig! DIN RÖST ÄR LIKA UNIK som ditt fingeravtryck. Snart finns teknik som kan identifiera den med full säkerhet. Då kan man utveckla utrustning som söker av telenätet och spelar in just dina samtal. Och snart kan just ditt ansikte med hjälp av mönsterigenkänning pekas ut på en bild av en fullsatt idrottsläktare. DNA-analys är en redan beprövad teknik och blod från de flesta av oss finns redan i biobankerna. Datainspektionen Box 8114 104 20 Stockholm ÄR TEKNIKEN INTEGRITETSNEUTRAL? Nej! svarade flera talare på dataskyddskonferensen i Venedig och krävde politisk styrning. Det är ett naivt krav, för ny teknik kommer alltid att utvecklas. Någonstans. Teknik som naturligtvis inte är ond i sig, men en sak är säker: När den väl finns, kommer den att användas. Förr eller senare. Någonstans. Och även om uppgifterna samlas in med de bästa avsikter, kan de komma på drift. Genom slarv, men också på grund av pengar, hot, nyfikenhet eller konkurrens. Ingen kan skydda sig mot insiderbrott. SE BARA PÅ RUBRIKERNA de senaste veckorna: Nazister har fått tag på skyddade uppgifter från Försäkringskassan. Nyfiken vårdpersonal har tittat i Leif Blombergs sjukjournal. Polis riskerar avsked för dataintrång. Hemliga telefonnummer har avslöjats. Sjukjournaler har sänts till fel adress. Och detta är bara toppen på isberget, det som har upptäckts. Överskottsinformation från kontokort, telefoni, passerkort och övervakningskameror finns i ständigt växande mängder och kan missbrukas om bara priset är det rätta. Eller tänk dig att en grupp människor med dokumenterat perfekta gener går till ett försäkringsbolag och kräver sänkta premier. Bolaget får visserligen inte diskriminera på grund av genetiska data. Men sänkt premie?? EN DEL AV DET HÄR kan du inte skydda dig mot, men du kan göra en hel del och mycket av ansvaret ligger på dig själv: Använd den skyddsteknik som finns, kryptera och anonymisera, men framför allt: Lämna ifrån dig så få uppgifter som möjligt. Bry dig! Det ligger mycket i vad Umberto Eco sa på dataskyddskonferensen: Att säkra privatlivet är egentligen inget problem. Problemet är att göra det viktigt för alla dem som inte bryr sig! Leif Stenström DATAINSPEKTIONENS INFORMATIONSCHEF God Jul och Gott Nytt År önskar vi på Datainspektionen! NÄSTA NUMMER KOMMER I MARS OCH DÅ KAN DU LÄSA OM: PERSONREGISTRERING I ARBETSLIVET FINNS DET REGLER FÖR INTERNETANVÄNDNINNG PÅ JOBBET? 16 MAGAZIN DIREKT #4/2000 24-TIMMARS MYNDIGHETER ELEKTRONISKA SIGNATURER