Personuppgiftsansvar för behandling av personuppgifter i det centrala kriminalunderrättelseregistret, KUR

Relevanta dokument
Rikspolisstyrelsens rutiner för och kontroll av behandling av känsliga personuppgifter i det centrala kriminalunderrättelseregistret, KUR

Säkerhetspolisens behandling av känsliga personuppgifter i fristående databaser

Granskning av polismyndigheternas användning av centrala säkerhetsloggen

Uppföljning av tidigare granskning avseende Rikspolisstyrelsens behandling av personuppgifter i penningtvättsregistret

Uppföljning av polismyndigheternas användning av centrala säkerhetsloggen

Säkerhetspolisens behandling av personuppgifter inom ramen för NCT-samarbetet

Tilldelning och användning av behörigheter i DurTvå

Polismyndighetens nya allmänna spaningsregister

Polismyndighetens behandling av personuppgifter i mappstrukturer vid region Öst

Behandlingen av personuppgifter i Rikskriminalpolisens register över spaningsfilmer

HÖGSTA FÖRVALTNINGSDOMSTOLENS DOM

Rikspolisstyrelsens rutiner för och kontroll av behandling av känsliga personuppgifter i polisens allmänna spaningsregister, ASP

Rikspolisstyrelsens IT-system OBS-portalen

Bevarande av personuppgifter i Säkerhetspolisens dokument- och ärendehanteringssystem

Användningen av kvalificerade skyddsidentiteter inom det särskilda personsäkerhetsarbetet

Polismyndigheternas behandling av känsliga personuppgifter

Postadress Telefon E-post Organisationsnummer Box 22523, Stockholm

Nämnden bedömer att den granskade personuppgiftsbehandlingen är förenlig med PDL:s bestämmelser.

Dåvarande Rikspolisstyrelsens register över spaningsfilmer.

Remissyttrande över departementspromemorian Behandling av personuppgifter i polisens brottsbekämpande verksamhet (Ds 2007:43)

Polismyndighetens behandling av personuppgifter i underrättelseverksamheten

Rikspolisstyrelsens behandling av personuppgifter i penningtvättsregistret

Postadress Telefon E-post Organisationsnummer Box 22523, Stockholm

Förstöring av upptagningar och uppteckningar från vissa hemliga tvångsmedel en granskning av två åklagarkammare och en polismyndighet

Personuppgiftsbiträdesavtal

Personuppgiftsbehandling i forskning

Samråd om registrering av beslutsoförmögna i det nationella kvalitetsregistret Senior Alert

Allmänna riktlinjer för behandling av personuppgifter enligt Personuppgiftslagen (PuL)

Beslut efter tillsyn enligt patientdatalagen (2008:355) rutiner för registrering i Senior Alert.

Personuppgiftsansvar och ändamålsprövning enligt fastighetsregisterlagen

Behandlingen av personuppgifter i Länskriminalpolisen i Västra Götalands uppgiftssamlingar med spaningsfilmer

Tillsyn enligt personuppgiftslagen (1998:204) En forskningsstudie vid Örebro universitet med känsliga personuppgifter om barn

Personuppgiftsbehandling för forskningsändamål

Postadress Telefon E-post Organisationsnummer Box 22523, Stockholm

Riktlinjer för hantering av personuppgifter

Tillsyn enligt personuppgiftslagen (1998:204) samkörning av personuppgifter för gemensam verksamhetsuppföljning

Loggning och logguppföljning i Polismyndighetens säkerhetslogg

RIKTLINJE FÖR HANTERING AV PERSONUPPGIFTER

Användning av kvalificerade skyddsidentiteter inom Polismyndighetens undercoververksamhet

Beslut efter tillsyn enligt patientdatalagen (2008:355) rutiner för registrering i Senior Alert.

PERSONUPPGIFTSBITRÄDESAVTAL

Polismyndighetens utlämnande av personuppgifter till tredje land

Postadress Telefon E-post Organisationsnummer Box 22523, Stockholm

Uppföljning av Polismyndigheten i Skånes behandling av personuppgifter i uppgiftssamlingen benämnd Kringresande

Personuppgiftsbiträdesavtal

Postadress Telefon E-post Organisationsnummer Box 22523, Stockholm

Personuppgiftspolicy. Fastställd efter FS-beslut 19 april 2018

Hanteringen av hemliga tvångsmedel vid Ekobrottsmyndigheten

Granskning av underrättelser om beslut om inhämtning av uppgifter enligt inhämtningslagen

Uppföljning av Polismyndighetens behandling av personuppgifter i signalementsregistret avseende gallring av och tillgången till uppgifter

Beslut efter tillsyn enligt personuppgiftslagen (1998:204)

Tillsyn enligt personuppgiftslagen (1998:204) av Göteborgs universitet (Svensk nationell datatjänst)

Betänkandet Uppgiftslämnarservice för företagen (SOU 2015:33)

Granskning av underrättelser om beslut om inhämtning av uppgifter enligt inhämtningslagen

Postadress Telefon E-post Organisationsnummer Box 22523, Stockholm

Säkerhetspolisens användning av s.k. misstankemärkning i it-systemet för bearbetning och analys

Tillsyn av behandlingen av personuppgifter i allmänhetens terminal m.m.

Polismyndigheten i Östergötlands läns behandling av personuppgifter i underrättelseverksamheten

Förslag till föreskrifter och allmänna råd om behandling av personuppgifter och journalföring i hälso- och sjukvården

Postadress Telefon E-post Organisationsnummer Box 22523, Stockholm

Beslut efter tillsyn enligt personuppgiftslagen (1998:204) PuL

Granskning av landstingets hantering av personuppgifter

Polisens tillgång till signalspaning i försvarsunderrättelseverksamhet (Ds 2011:44)

DOM Meddelad i Stockholm

Polismyndighetens behandling av personuppgifter i signalementsregistret

Beslut efter tillsyn enligt personuppgiftslagen (1998:204)

Granskning av underrättelser om beslut om inhämtning av uppgifter enligt den s.k. inhämtningslagen

Nämnden är kritisk till att Polismyndigheten inte har genomfört någon logguppföljning avseende de granskade uppgiftssamlingarna.

Polismyndighetens behandling av känsliga personuppgifter i uppgiftssamling om inhemsk extremism

Beslut efter tillsyn enligt personuppgiftslagen (1998:204) PuL

Polismyndighetens behandling av personuppgifter i utredningsverksamheten

Tillsyn av behandlingen av personuppgifter i allmänhetens terminal m.m.

SÄKERHETSPLAN FÖR PERSONUPPGIFTSBEHANDLING SOCIALFÖRVALTNINGEN GISLAVEDS KOMMUN

Rikspolisstyrelsens författningssamling

Vägtrafikregisterutredningens betänkande (SOU 2010:76) Transportstyrelsens databaser på vägtrafikområdet integritet och effektivitet

Beslut efter tillsyn enligt personuppgiftslagen (1998:204) Nationella kvalitetsregister, 7 kap. patientdatalagen

Beslut efter tillsyn enligt personuppgiftslagen (1998:204) Nationella kvalitetsregister, 7 kap. patientdatalagen

PERSONUPPGIFTSBITRÄDESAVTAL Hantering av personuppgifter i Skyddat Webbaserat informationssystem (WIS)

Avtal MELLAN PERSONUPPGIFTSANSVARIG OCH PERSONUPPGIFTSBITRÄDE

Integritetspolicy Våra Gårdar

PERSONUPPGIFTSBITRÄDESAVTAL

Bilaga Personuppgiftsbiträdesavtal

Yttrande i Förvaltningsrätten i Stockholms mål

2 kap. 3 och 5 kap. 4 patientdatalagen (2008:355) Högsta förvaltningsdomstolen meddelade den 4 december 2017 följande dom (mål nr ).

Polismyndighetens behandling av personuppgifter i underrättelseverksamheten

Stockholm den 8 augusti 2014

Tillsyn enligt polisdatalagen (2010:361) och personuppgiftslagen (1998:204) av Polismyndighetens personuppgiftsbehandling i fingeravtrycksregistret

Postadress Telefon E-post Organisationsnummer Box 22523, Stockholm

Uppföljning av tidigare granskningar avseende Polismyndighetens behandling av personuppgifter i penningtvättsregistret

Polismyndighetens behandling av personuppgifter i underrättelseverksamheten

Inhämtning av uppgifter om elektronisk kommunikation vid Polismyndigheten (region Stockholm)

Tillsyn enligt personuppgiftslagen (1998:204) socialtjänstens behandling av personuppgifter om etniskt ursprung

Personuppgiftsbiträdesavtal

Postadress Telefon E-post Organisationsnummer Box 22523, Stockholm

Nämnden är starkt kritisk till hur ärendet har hanterats.

Underrättelser till enskilda vid internationell rättslig hjälp vid två internationella åklagarkammare

Beslut efter tillsyn enligt personuppgiftslagen (1998:204)

SÄKERHETSPLAN FÖR PERSONUPPGIFTSBEHANDLING SOCIALFÖRVALTNINGEN GISLAVEDS KOMMUN

Personuppgiftsbiträdesavtal

Användning av en kvalificerad skyddsidentitet som upphört att gälla vid Polismyndigheten, region Nord

Transkript:

Uttalande SÄKERHETS- OCH INTEGRITETSSKYDDSNÄMNDEN 2013-09-04 Dnr 37-2013 Personuppgiftsansvar för behandling av personuppgifter i det centrala kriminalunderrättelseregistret, KUR 1 SAMMANFATTNING Det centrala kriminalunderrättelseregistret (KUR) är ett kriminalunderrättelseregister som förs och används gemensamt av polismyndigheterna och Rikspolisstyrelsen (RPS). I samband med nämndens tidigare granskning av RPS behandling av känsliga personuppgifter i KUR, uppstod fråga om vilken myndighet som har personuppgiftsansvar för vissa uppgifter i registret. RKP, som är en del av RPS, uttryckte då att RPS inte har något personuppgiftsansvar för behandling av uppgifter i ärenden i KUR som initierats av en länspolismyndighet, trots att de registrerats som inkomna och fått nya ärendenummer hos RKP. RPS rättsenhet har i huvudsak instämt i RKP:s uppfattning. Nämndens granskning har avgränsats till att gälla ärenden i KUR som initierats av en länspolismyndighet och därefter registrerats som inkomna hos RKP. I denna typ av ärenden bedömer nämnden att RPS har ett personuppgiftsansvar för den fortsatta behandling som sker efter det att ärendet registrerats som inkommet hos RKP. Nämnden bedömer vidare att personuppgiftsansvaret i denna typ av ärenden delas med länspolismyndigheten, men att den närmare fördelningen av personuppgiftsansvaret i det enskilda fallet är en fråga som måste avgöras av rättstillämpningen. För att så långt som möjligt säkerställa att anspråk från enskilda kan tas om hand på ett lagenligt sätt, och därmed att integritetsskyddet i polisdatalagen upprätthålls, uppmanar nämnden RPS att snarast möjligt och i samråd med länspolismyndigheterna analysera hur myndigheterna själva ser på den närmare fördelningen av personuppgiftsansvaret i den typ av ärenden som granskats här. Nämnden uppmanar vidare RPS att dokumentera och sprida resultatet av analysen i polisorganisationen, lämpligen i någon form av internt styrdokument. Nämnden förutsätter slutligen att RPS föreskrifter om Postadress Telefon E-post Organisationsnummer Box 22523, 104 22 Stockholm 08-617 98 00 sakint@sakint.se 202100-5703 Besöksadress Telefax Webbplats Bankgiro Norr Mälarstrand 6, Stockholm 08-617 98 88 www.sakint.se 782-4329

2 behandlingen av uppgifter i KUR uppdateras så att de speglar ansvarsförhållandena enligt polisdatalagen. 2 BAKGRUND OCH AVGRÄNSNING Viktigt att slå fast vem som har personuppgiftsansvar Syftet med polisdatalagen är att ge polisen möjlighet att behandla personuppgifter på ett ändamålsenligt sätt i sin brottsbekämpande verksamhet och att skydda människor mot att deras personliga integritet kränks vid en sådan behandling. Det är den personuppgiftsansvarige som har ansvar för att personuppgiftsbehandlingen sker i enlighet med polisdatalagen. Ansvaret innebär bl.a. en skyldighet att på begäran av en registrerad rätta, blockera eller utplåna personuppgifter som behandlas i strid med polisdatalagen (2 kap. 2 sjätte punkten) samt en skyldighet att i vissa fall utge skadestånd till den registrerade om behandling av personuppgifter har skett i strid med polisdatalagen (2 kap. 2 tolfte punkten polisdatalagen). För att integritetsskyddet som föreskrivs i polisdatalagen ska upprätthållas är det därför en grundläggande förutsättning att det står klart vilken myndighet som har personuppgiftsansvar för behandlingen av personuppgifter i polisens register. Även ur tillsynsperspektiv är det viktigt att det är klarlagt vilken myndighet som har personuppgiftsansvar för ett visst register. Personuppgiftsansvar för vissa uppgifter i KUR I samband med nämndens granskning av RPS rutiner för och kontroll av behandling av känsliga personuppgifter i KUR (dnr 231-2012) uppstod fråga om vilken myndighet som har personuppgiftsansvaret för vissa uppgifter i registret. Förutsättningar saknades för att utreda frågan om personuppgiftsansvar inom ramen för det tillsynsärendet. Vid den tidigare granskningen av KUR framförde RKP bl.a. följande angående personuppgiftsansvaret för uppgifter i systemet. Ärenden i KUR kan initieras av en länspolismyndighet eller av RKP. Länspolismyndigheterna skickar ibland ärenden som de initierat i KUR till RKP, på grund av att de bedömt att ärendena kan vara av intresse för RKP. Sådana ärenden registreras som inkomna och får egna ärendenummer hos RKP. Att ett ärende registreras som inkommet hos RKP innebär dock inte att det faktiskt skapas något nytt ärende i KUR. Det ursprungliga ärendet har istället två olika ärendenummer, ett från länspolismyndigheten och ett från RKP. Båda myndigheterna kan ändra i ärendet och ändringarna syns hos båda myndigheterna. Handläggare vid RKP kan inte ta bort ett ärende som skapats hos en länspolismyndighet. Det är endast centraladministratören för KUR, placerad vid RKP, som kan utföra gallring i systemet. RPS är enbart personuppgiftsansvarig för RKP:s behandling av personuppgifter i KUR, dvs. för ärenden i KUR som initierats av RKP. RPS är däremot inte personuppgiftsansvarig för ärenden i KUR som

3 skapats av en länspolismyndighet, även om de registrerats som inkomna av RKP. Avgränsning Nämndens granskning i detta ärende sker med anledning av de frågor om personuppgiftsansvar i KUR som har aktualiserats i den tidigare tillsynen av KUR. Nämndens uttalande avser därför enbart personuppgiftsansvaret för behandling av uppgifter i ärenden som initierats av en länspolismyndighet och därefter registrerats som inkomna hos RKP. 3 RÄTTSLIGA UTGÅNGSPUNKTER Enligt 2 kap. 4 polisdatalagen är RPS personuppgiftsansvarig för den behandling av personuppgifter som myndigheten utför och den behandling som utförs i polisens verksamhet vid Ekobrottsmyndigheten. Enligt bestämmelsen är vidare varje polismyndighet personuppgiftsansvarig för den behandling av personuppgifter som myndigheten utför. Enligt förarbetena till polisdatalagen kan personuppgiftsansvaret delas av flera. 1 Enligt 2 kap. 2 polisdatalagen gäller bl.a. 3 personuppgiftslagen (1998:204) för personuppgifter som behandlas enligt polisdatalagen. I 3 personuppgiftslagen definieras personuppgiftsansvarig som den som ensam eller tillsammans med andra bestämmer ändamålen med och medlen för behandlingen av personuppgifter. I 3 personuppgiftslagen definieras behandling av personuppgifter som varje åtgärd eller serie av åtgärder som vidtas i fråga om personuppgifter, vare sig det sker på automatisk väg eller inte, t.ex. insamling, registrering, organisering, lagring, bearbetning eller ändring, återvinning, inhämtande, användning, utlämnande genom översändande, spridning eller annat tillhandahållande av uppgifter, sammanställning eller samkörning, blockering, utplåning eller förstöring. Behandlingen av uppgifter i KUR regleras även av RPS föreskrifter RPSFS 2008:9 FAP 447-1. Av 2 kap. 1 nämnda föreskrifter framgår att KUR förs av polismyndigheterna och Rikspolisstyrelsen. I nämnda paragraf hänvisas också till 18 polisdatalagen (1998:622), där det stadgas att den myndighet som för registret är personuppgiftsansvarig för behandlingen av personuppgifter i registret. Föreskrifterna har inte uppdaterats i samband med polisdatalagens ikraftträdande. 1 Prop. 2009/10:85 s. 92.

4 4 GRANSKNINGEN Nämndens kansli har skriftligen sammanfattat RKP:s uppfattning om personuppgiftsansvaret i KUR, så som den framfördes av RKP i samband med nämndens tidigare granskning. Sammanfattningen motsvarar det som anförs i avsnitt 2 under rubriken Personuppgiftsansvar för vissa uppgifter i KUR. RPS rättsenhet har yttrat sig över sammanfattningen och uppgett i huvudsak följande. Sammanfattningen är korrekt. RPS är personuppgiftsansvarig för den behandling av personuppgifter i KUR som görs av RKP medan de lokala polismyndigheterna är ansvariga för den personuppgiftsbehandling som de utför. RKP:s åtgärder i samband med att ett ärende registreras som inkommet från en länspolismyndighet utgör inte personuppgiftsbehandling. RPS har efter sitt yttrande över sammanfattningen förtydligat att det endast är centraladministratören som kan gallra s.k. personobjekt i systemet. Med personobjekt menas uppgifter om en person som kan länkas till ärenden i KUR. RPS har vidare tillagt att efter att ett ärende har registrerats som inkommet till RKP gör handläggare vid RKP en bedömning av om ärendet har operativ betydelse för RKP. Är så inte fallet görs en anteckning i systemet om att ärendet hos RKP ad actas. 5 NÄMNDENS BEDÖMNING Personuppgiftsansvaret i den nya polisorganisationen I Polisorganisationskommitténs förslag att polisen ska ombildas till en enda myndighet ingår en följdändring i polisdatalagen som innebär att den nya Polismyndigheten har personuppgiftsansvar för all behandling som myndigheten utför. 2 De oklarheter som finns idag om personuppgiftsansvarets fördelning i KUR kommer med stor sannolikhet därför att undanröjas i samband med reformens genomförande. Enligt nämndens mening är det trots detta angeläget ur integritetssynpunkt att förhållandena tydliggörs så långt möjligt fram till ett eventuellt ikraftträdande av den nämnda ändringen. RPS har ett personuppgiftsansvar Utgångspunkten i polisdatalagens reglering av personuppgiftsansvar är att den myndighet som utför personuppgiftsbehandlingen är personuppgiftsansvarig för behandlingen. Enligt 3 personuppgiftslagen, som gäller för personuppgifter som behandlas enligt polisdatalagen, utgör varje åtgärd eller serie av åtgärder som vidtas i fråga om personuppgifter behandling av personuppgifter. Alla former av hantering av personuppgifter, även ren lagring, 2 SOU 2012:78 s. 341.

5 omfattas av begreppet personuppgiftsbehandling. 3 Den lagring av personuppgifter som sker sedan ett ärende delgetts RKP genom att åsättas ett nytt ärendenummer får därför anses utgöra behandling av personuppgifterna. Eftersom uppgifterna då anses inkomna till RKP, bedömer nämnden att uppgifterna fortsättningsvis också måste anses behandlade hos RKP. RKP är en del av RPS, varför behandlingen formellt sett utförs av RPS. I vart fall har RPS således ett ansvar för den behandling som sker i och med att uppgifterna lagras. I och med att en länspolismyndighet delger RKP ett ärende kan både RKP och länspolismyndigheten ändra uppgifter i ärendet. Sammantaget med att RKP ensam kan gallra personobjekt i systemet innebär detta att RKP har faktiska möjligheter att vidta sådana åtgärder i ärendet som åligger en personuppgiftsansvarig, såsom att se till att de behandlade personuppgifterna är adekvata och relevanta i förhållande till ändamålen för behandlingen och att uppgifter gallras i rätt tid. RPS faktiska möjligheter att uppfylla lagens krav på en personuppgiftsansvarig ger därmed enligt nämndens uppfattning stöd för tolkningen att RPS har ett relativt långtgående ansvar för den fortsatta behandlingen av personuppgifter efter det att ett ärende har delgetts RKP. Frågan är då om ansvaret bör anses vara delat mellan RPS och länspolismyndigheten. Ett delat personuppgiftsansvar Frågan om personuppgiftsansvarets fördelning vid utlämnande av uppgifter från en polismyndighet till en annan utvecklas i förarbetena på följande sätt. Den polismyndighet som samlar in och lagrar personuppgifter är personuppgiftsansvarig för den behandlingen. Om samma uppgift lämnas ut till en annan myndighet, genom direktåtkomst eller på annat sätt, blir den mottagande myndigheten personuppgiftsansvarig för den fortsatta behandlingen av uppgiften hos den myndigheten. När uppgifter lämnas ut till olika myndigheter kan alltså personuppgiftsansvaret för en och samma uppgift komma att ligga hos flera myndigheter. Var och en av dessa ansvarar för den egna behandlingen. 4 Den tekniska lösningen i KUR innebär att det finns ett enda underliggande, gemensamt ärende där såväl länspolismyndigheten som RKP kan göra ändringar efter det att ärendet åsatts ett nytt ärendenummer hos RKP. Även efter det att uppgiften delgetts RKP, och alltså behandlas av RPS, påverkar således länspolismyndighetens åtgärder i ärendet vilka uppgifter som måste anses lagrade hos RKP. Denna gemensamma behandling av uppgifter talar för 3 Öman & Lindblom, Personuppgiftslagen (1 oktober 2012, Zeteo), kommentaren till 3. 4 A. prop. s. 316.

6 att personuppgiftsansvaret måste anses delat efter nämnda tidpunkt. Den närmare innebörden av ett delat personuppgiftsansvar i en situation som denna är dock inte helt klar. För en enskild som söker rättelse eller skadestånd leder oklarheten till osäkerhet om var han eller hon kan vända sig med sina anspråk. Detta är en allvarlig brist ur ett integritetsperspektiv. I avsaknad av tydlig reglering av personuppgiftsansvarets närmare fördelning vid en sådan gemensam behandling som avses här talar mycket enligt nämnden för att personuppgiftsansvaret för all behandling i det gemensamma ärendet ska anses vara solidariskt. 5 Den närmare fördelningen av personuppgiftsansvaret i det enskilda fallet är dock en fråga som måste avgöras av rättstillämpningen. Det är därför inte möjligt för nämnden att inom ramen för detta ärende helt undanröja de oklarheter som finns. Bedömningen av hur långt respektive myndighets personuppgiftsansvar sträcker sig i ett enskilt fall beror dock bland annat på faktiska förhållanden, såsom hur de tekniska förutsättningarna, organisation och samarbetsformer ser ut. För att så långt som möjligt säkerställa att anspråk från enskilda kan tas om hand på ett lagenligt sätt, och därmed att integritetsskyddet i polisdatalagen upprätthålls, uppmanar nämnden därför RPS att snarast möjligt och i samråd med länspolismyndigheterna analysera hur myndigheterna själva ser på den närmare fördelningen av personuppgiftsansvaret i den typ av ärenden som granskats här. Nämnden uppmanar vidare RPS att dokumentera och sprida resultatet av analysen i polisorganisationen, lämpligen i någon form av internt styrdokument. Nämnden förutsätter slutligen att RPS föreskrifter om behandlingen av uppgifter i KUR uppdateras så att de speglar ansvarsförhållandena enligt polisdatalagen. Sändlista: Rikspolisstyrelsen (personuppgiftsombudet, rättsavdelningen och Rikskriminalpolisen) Kopia för kännedom: Datainspektionen Genomförandekommittén för nya Polismyndigheten (Ju 2012:16) 5 I förarbetena till patientdatalagen (2008:355) har olika vårdgivares gemensamma tillgång till uppgifter i en sammanhållen journal ansetts innebära att det föreligger ett solidariskt ansvar för de olika vårdgivarna, om inget annat föreskrivs, prop. 2007/08:126 s. 255.

2024 © DocPlayer.se Sekretesspolicy | Användarvillkor | Kontakta oss