Beslut Diarienr 2011-05-30 1841-2010 Djurgårdens Elitfotboll AB Lidingövägen 1 114 33 Stockholm Er ansökan om undantag från förbudet att behandla personuppgifter om lagöverträdelser Datainspektionens beslut Datainspektionen beslutar med stöd av 9 personuppgiftsförordningen (1998:1191) att Djurgårdens Elitfotboll AB får behandla personuppgifter om lagöverträdelser på det sätt som har beskrivits i ansökan under förutsättning att samtliga personuppgifter hänförliga till ett ärende som har skrivits av gallras ur databasen så snart ärendet har avslutats, att samtliga registrerade informeras enligt 23-25 personuppgiftslagen, att det krävs stark autentisering vid inloggning i databasen och att inga uppgifter om lagöverträdelser kommuniceras över öppna nät utan att förses med krypteringsskydd. Undantaget gäller tills vidare, dock längst till och med den 30 juni 2013. Undantaget kan komma att återkallas om Djurgårdens Elitfotboll AB behandlar personuppgifter på ett sätt som strider mot förutsättningarna för detta beslut. Bakgrund Redan under 2007 fick Datainspektionen frågor från Föreningen Svensk Elitfotboll om att spara och sprida uppgifter om idrottsarrangörers avstängning av supportrar och åklagares beslut om tillträdesförbud till idrottsarrangemang (dnr 1068-2007). Datainspektionen bedömde då att den aktuella behandlingen av personuppgifter inte var förenlig med förbudet för andra än myndigheter att behandla uppgifter om lagöverträdelser och att den inte heller omfattades av något av undantagen från förbudet. För att behandlingen skulle vara tillåten krävdes alltså att man ansökte om och beviljades undantag från förbudet i det enskilda fallet. Datainspektionen uttalade också att både intresset Postadress: Box 8114, 104 20 Stockholm E-post: datainspektionen@datainspektionen.se Besöksadress: Drottninggatan 29, plan 5 Telefon: 08-657 61 00 Webbplats: www.datainspektionen.se Telefax: 08-652 86 52
av ett väl fungerande system för att hindra tillträde till arenorna och integritetsintresset talar för en författningsreglering. Datainspektionen uppmärksammade regeringen och dess utredare i den då pågående utredningen om ordningsstörningar i samband med idrottsarrangemang på problematiken (dnr 1636-2007). Under 2009 ställde Djurgårdens IF Fotboll frågor till Datainspektionen om idrottsarrangörers rätt att behandla uppgifter om arrangörsavstängningar och tillträdesförbud (dnr 1315-2009). Återigen svarade Datainspektionen att den beskrivna behandlingen föll under förbudet mot att behandla uppgifter om lagöverträdelser och att en sådan behandling förutsätter att Datainspektionen, efter ansökan, beviljar undantag från förbudet i det enskilda fallet. Ansökan Djurgårdens Elitfotboll AB (nedan Djurgården) har nu ansökt om undantag från förbudet i 21 personuppgiftslagen att behandla personuppgifter om lagöverträdelser. Av ansökan framgår i huvudsak följande. Bakgrund Djurgården bedriver elitfotboll i Allsvenskan och arrangerar ett antal elitmatcher i denna serie och i Svenska Cupen samt i förekommande fall även matcher administrerade av det europeiska fotbollförbundet UEFA. I dessa sammanhang är Djurgården att betrakta som arrangör utifrån såväl det idrottsliga regelverket som svensk lagstiftning. Genom arrangörsrätten, som finns uttryckligen manifesterad i det idrottsliga regelverket, finns en rätt, och i vissa fall en skyldighet, att förbjuda personer från att besöka fotbollsarrangemang. Dessa avstängningar är att betrakta som arrangörsavstängningar. För att en arrangörsavstängning ska kunna beslutas krävs sakliga skäl, t.ex. ordningsstörande beteende eller bristande respekt för de ordningsregler som finns på arenan. Det ställs inte krav på att beteendet i sig är brottsligt. Arrangörsavstängning är att betrakta som en bestraffning. Överträdelse av en arrangörsavstängning utgör i sig inget brott. Den som meddelas arrangörsavstängning kan i vissa fall erbjudas arbete inom föreningen såsom ett alternativ till avstängning. Vidare finns en rätt enligt lagen (2005:321) om tillträdesförbud vid idrottsarrangemang, och i vissa fall en skyldighet enligt det idrottsliga regelverket, att till åklagarmyndigheten ansöka om tillträdesförbud. Tillträdesförbud innebär att den enskilde, under straffansvar, förbjuds att besöka fotbollsarrangemang under viss tid, högst ett år. En person kan få tillträdesförbud om det p.g.a. särskilda omständigheter finns risk för att han eller hon kommer att begå brott under idrottsarrangemang och brottet är ägnat att störa ordningen eller Sida 2 av 16
säkerheten där. Det är en preventiv åtgärd baserad på en riskbedömning av framtida brottslighet. Det ställs inget krav på att ett brott har begåtts. Överträdelse av tillträdesförbud är straffsanktionerat. Då arrangören agerar sker det främst genom att specialidrottsförbundet, i detta fall Svenska Fotbollförbundet, ansöker om tillträdesförbud hos åklagare. Då polisen initierar ett ärende om tillträdesförbud genom anmälan till åklagare träder Svenska Fotbollförbundet in som part i stället för polisen innan det att beslut fattas. En arrangörsavstängning och ett tillträdesförbud kan löpa parallellt och ha beslutats mot bakgrund av en och samma förseelse. Längden på förbuden att besöka fotbollsmatcherna kan dock variera och behöver alltså inte löpa ut samtidigt. Svenska Fotbollförbundet uppskattar antalet meddelade tillträdesförbud till 150-180 stycken under 2010 (inom samtliga idrotter och gällande hela landet). Djurgården Fotboll har under 2009 och 2010 behandlat 34 ärenden om arrangörsavstängning. Syftet med behandlingen och typ av uppgifter Djurgården ansöker om undantag från förbudet för behandling av uppgifter om lagöverträdelser för handläggning och uppföljning av personer som har blivit föremål för arrangörsavstängning och/eller tillträdesförbud. Enligt Djurgården är det ett viktigt samhällsintresse att fotbollsarrangemang (och liknande arrangemang) kan ske utan att ordningen störs samt att arrangörer kan beivra den eller de som stör ordningen. Om inte arrangörer får möjlighet att beivra ordningsstörare med förbud att besöka idrottsevenemang blir det svårt att bedriva trygga och säkra evenemang och detta kan få konsekvenser som sviktande publiksiffror. Djurgården betraktar behovet av att få föra register löpande över avstängda personer som mycket stort. Risken är annars att lagstiftningen blir omöjlig att efterleva och att den i så fall inte lever upp till sitt syfte att motverka att ordningsstörningar inträffar på och i samband med matcher. Djurgården menar att skälen för att möjliggöra trivsamma, trygga och säkra fotbollsarrangemang väger mångt mycket tyngre än skyddande av integriteten hos den enskilde som genom sitt egna otillbörliga beteende förorsakat att han eller hon finns med i registret. Vid handläggning av arrangörsavstängningar är det av yttersta vikt att en rättssäker hantering kan garanteras. Av denna anledning är det av största betydelse att handläggaren kan föra noggranna anteckningar över möten, samtal, vittnesuppgifter m.m. och även föra in dessa i rätt akt. Vidare kan tänkas Sida 3 av 16
att åklagaren vid sin riskbedömning i vissa fall kontaktar arrangören för att kunna skapa sig en bättre uppfattning om en persons framtida riskbenägenhet att begå brott som är ägnat att störa ordningen och/eller säkerheten på arrangemanget. Denna uppgift måste då kunna vidimeras genom noga dokumentation och inte vara avhängigt ett synnerligen gott minne hos den som handlägger avstängningsärenden. Djurgården ämnar behandla följande uppgifter: 1) Namn, personnummer, folkbokföringsadress eller annan stadigvarande adress, telefonnummer, e-postadress samt i förekommande fall foto; Dessa uppgifter behandlas för att säkerställa att det är rätt person som är föremål för avstängning och för att kunna kommunicera med denne. Det kommer att förekomma stillbilder från arenans övervakningssystem. 2) Beskrivning av påstådd förseelse/misskötsamhet; Exempelvis upprättad händelserapport med uppgift om vad som läggs någon till last. Dessa uppgifter bör vara av så precis karaktär som möjligt då de utgör grunden för initierande av avstängningsärende och är också den beskrivning som personen ifråga ställs till svars för. 3) Övrig dokumentation i ärendet såsom vittnesuppgifter, händelserapporter, redogörelser, videodokumentation; Detta material kan få stor betydelse vid handläggningen av ärenden om avstängningar, såväl till den som är föremål för avstängnings fördel som till dennes nackdel. Av rättssäkerhetsskäl och en objektiv bedömning av sakfrågan är allt material i frågan av intresse att bevara, i synnerhet om ärendet lett till arrangörsavstängning och/eller tillträdesförbud. 4) Beskrivning av överträdelser av arrangörsavstängningar/tillträdesförbud och därtill hörande dokumentation (vittnesuppgifter, händelserapporter, redogörelser, videodokumentation m.m.); Om en person konsekvent bryter mot arrangörsavstängningar och/eller tillträdesförbud är detta något som är värdefull kunskap vid framtida bedömningar avseende exempelvis risken att begå brott och hur beslut efterlevs. I sådana fall kan det finnas skäl att helt bortse från arrangörsavstängningar (överträdelser är ej straffbart) och istället ansöka om tillträdesförbud. På samma sätt kan en person som har visat upp skötsamhet vid tidigare avstängningar istället erbjudas arrangörsavstängning och/eller alternativ avstängning om detta kan anses vara ett mer adekvat straff för förseelsen. Sida 4 av 16
5) Bevarande av tillträdesförbud av åklagare samt därtill hörande dokumentation (vittnesuppgifter, händelserapporter, redogörelser, videodokumentation m.m.) samt på samma sätt gällande arrangörsavstängningar; Syftet med att bevara tillträdesförbud och beslut om arrangörsavstängningar är att säkerställa att framtida beslut blir av så korrekt karaktär som möjligt. Inte sällan är det samma personer som blir föremål för arrangörsavstängning och/eller tillträdesförbud. Ju mer beslutsunderlag som då finns, desto mer sannolikt är det att ett korrekt beslut från början kan fattas. Djurgården kommer enbart att registrera beslut om tillträdesförbud som rör sina supportrar. 6) Uppgifter om målsmän/föräldrar om underårig (under 18 år) Djurgården avser att behandla uppgifterna dels i en SQL-databas som är sökbar med hjälp av t.ex. namn och personnummer, dels i manuella akter för var och en av de berörda personerna med all dokumentation i respektive ärende. De manuella akterna kommer att sorteras efter efternamn från A till Ö. Omslaget till akten kommer att, förutom för- och efternamn, innehålla uppgift om personnummer. Akterna kommer härefter att vara relaterade till personer och inte till händelser. Detta innebär att alla ärenden och tillträdesförbud/arrangörsavstängningar som träffat en och samma person kommer att sorteras in i en och samma akt. Om en person har varit involverad i flera ärenden och händelser finns dessa samlade i en akt. De olika ärendena och händelserna är dock separerade i akten för att underlätta gallringsproceduren. Sökning i materialet blir således på namn och personnummer då dessa uppgifter framgår på aktomslaget. Någon övrig koppling mellan databasen och den manuella akten finns inte. Databasen och de manuella akterna ska, så långt möjligt, ha identiskt innehåll. Dokument skannas in i databasen. För att säkerhetspersonal ska kunna identifiera de som har tillträdesförbud eller en arrangörsavstängning kommer en lista med fotografier på de avstängda personerna och information om vilken typ av avstängning respektive person har att tas ut ur databasen. Om en person blir identifierad via fotografiet kontrolleras dennes personnummer. Säkerhetspersonalen anropar samordnaren, eller av samordnaren tillsatt person, som söker i registret på den misstänktes personnummer eller namn. Säkerhetspersonalen får sedan information om hur de ska behandla ärendet. Sida 5 av 16
Hur länge uppgifterna sparas Gallring av uppgifter i databasen och manuell akt sker två år efter att det sista beslutet om tillträdesförbud och/eller arrangörsavstängning har löpt ut. Eftersom det ofta är samma personer som är föremål flera gånger (återkommande avstängningar), och att det skulle te sig märkligt om det inte fanns någon bakomliggande information om att så varit fallet, föreligger ett behov av att behålla uppgifterna en tid efter det att avstängningen löpt ut. En persons historik kan också ha avgörande betydelse vid en åklagares bedömning om framtida risk, eftersom avstängningsgrundande beteenden då kan ha inverkan på ett sådant beslut. Den normala rutinen i avstängningsärenden är att personen är avstängd från att besöka matcherna redan när ett ärende initieras. Personen ifråga kommer alltså att förekomma i databasen och i en manuell akt även om något slutligt beslut om arrangörsavstängning inte har meddelats. Om Djurgården beslutar att inte stänga av personen ifråga, utan skriver av ärendet, kommer uppgifterna att gallras två år efter avskrivningsbeslutet. Detta för att t.ex. kunna svara på frågor från åklagare om huruvida personen ifråga är känd sedan tidigare. Uppgifter som är hänförliga till ärenden om enbart tillträdesförbud registreras först efter att åklagare har fattat ett sådant beslut. Om Djurgården är den som initierar ett ärende om tillträdesförbud aktualiseras dock alltid även ett avstängningsärende. All information raderas automatiskt från databasen när ärendet inte längre ska registerhållas. Detta datum sätts vid registrering av ärendet. Vilka som ska ha åtkomst till uppgifterna De som har tillgång till uppgifterna är Djurgården Fotbolls styrelseordförande och säkerhetsansvarig i styrelsen samt den som normalt handlägger ärendet. I Djurgården Fotboll finns det två handläggare i nuläget. De manuella akterna förvaras i särskilt dokumentskåp med lås. Dokumentskåpet har brandklass 3. Kanslichefen och dennes företrädare har tillgång till skåpet. Endast de två handläggarna har rätt att ta ut akter ur skåpet. Alla som har möjlighet att ta del av uppgifterna handläggare, administratörer etc. kommer att få skriva på sekretessavtal. Sida 6 av 16
Utlämnande av uppgifter De uppgifter som finns rörande en person och/eller ett ärende och som finns registrerat kan komma att överlämnas i enlighet med följande. 1) Svenska Fotbollförbundets disciplinnämnd (och eventuella överklagandeinstanser såsom Besvärsnämnden (tillhörig Svenska Fotbollförbundet) och Riksidrottsnämnden (tillhörig Riksidrottsförbundet); För det fall frågan om avstängning överklagas till Disciplinnämnden och Disciplinnämnden begär in materialet. Hela akten kan bli föremål för överlämnande i pappersform. 2) Specialidrottsförbundet (Svenska Fotbollförbundet); För det fall en person är föremål för tillträdesförbud (i samma eller annat ärende). Hela akten kan bli föremål för överlämnande i pappersform. 3) Specialidrottsförbundet (Svenska Fotbollförbundet); För samordning av arrangörsavstängningar i nationella ligan. Endast helt avidentifierade beslut kan bli föremål för överlämnande i såväl pappersform som i elektronisk form via e-post. 4) Åklagarmyndigheten; För det fall en person är föremål för tillträdesförbud (i samma eller annat ärende). Åklagare kan själv begära ut materialet i ärenden som initierats av polismyndigheten (anmälan om tillträdesförbud) och få materialet då tillträdesförbud ansöks genom Specialidrottsförbundet (ansökan om tillträdesförbud). Hela akten kan bli föremål för överlämnande i pappersform. 5) Polismyndigheten; För det fall Polismyndigheten begär detta av olika anledningar. Hela akten kan bli föremål för överlämnande i pappersform. 6) Säkerhetspersonal (ordningsvakter) hos Svensk Evenemangssäkerhet AB; Lista med foton på avstängda personer och uppgift om vilken typ av avstängning respektive person har kommer att lämnas till ordningsvaktgruppcheferna i pappersform vid varje matchtillfälle. Listan ska kvitteras av dessa vid utlämnande och återlämnas omedelbart efter avslutat tjänstgöringstillfälle. De kommer också att få skriva på ett sekretessavtal. Samma information kommer att lämnas till övrig säkerhetspersonal muntligen. Sida 7 av 16
Information till de registrerade I samband med att brev tillsänds någon rörande fråga om avstängning framgår följande till adressaten: Dina personuppgifter behandlas i syfte att pröva ärendet. Djurgårdens Elitfotboll AB, 556680-5320, Lidingövägen 1, 114 33 Stockholm, ansvarar för att personuppgifterna hanteras på ett korrekt sätt. Information om personuppgiftsbehandlingen ges till den som omfattas av behandlingen efter ansökan till Djurgårdens Elitfotboll AB, adress enligt ovan. Begäran om rättelse av personuppgifter kan göras till samma adress. Informationen om registerföring skickas eller lämnas muntligen till den som är föremål för registreringen (den som akten handlar om), eventuella målsmän, vittnen och andra som tagits upp i ansökan. Den som är registrerad har rätt att när som helst begära att få del av den information som finns i registret som rör honom eller henne. Informationen som lämnas till de registrerade och rättelse av uppgifter ska följa vad som står i personuppgiftslagen. IT-systemet Systemet bygger på en.net webbapplikation som använder en SQL-databas. Systemet körs via Internet över https. Djurgården använder ett SSL-certifikat med 256-bit kryptering. Databasen är lösenordsskyddad. Användarna loggar på med användarnamn och lösenord som är krypterade i databasen. Personliga behörigheter ger administratören möjligheten att begränsa tillgängligheten för olika användare eller grupper. Inloggade användare med tillräcklig behörighet kan lägga till, ändra och ta bort information i systemet. Andra behörigheter kan t.ex. bara söka efter personer via namn eller personnummer. Det går också att sätta behörigheter för exakt vilken information en användare ska få tillgång till. All information och alla dokument versionshanteras. Alla personuppgifter (personnummer och namn) och dokument som innehåller dessa uppgifter krypteras i databasen från webbapplikationen för att undvika att känslig information kommer ut vid eventuellt intrång på databasservern. På detta vis går det inte att koppla data till person. Följande loggas i systemet: In- och utloggning När dokument och sidor öppnas Ändringar på dokument Sida 8 av 16
Alla ändringar på personer/ärende Alla förfrågningar mot systemet Loggen sparas så länge ett ärende är öppet och raderas sedan tillsammans med ärendet. En gång i veckan skickas en logg-dump från systemet till utsedd ansvarig. Alla inloggningar och andra händelser på servern registreras och gås igenom av ansvarig person en gång i veckan eller vid behov. Servern står i en bevakad serverhall (fotolegitimation krävs) och det är endast företaget som är tekniskt ansvarigt för servern som har nycklar till det skåp servern är placerad i. Det finns övervakningsverktyg på servern som larmar vid t.ex. intrång. Det är i dagsläget fyra personer som har fysisk tillgång till servern. Den som utvecklar systemet kommer också ha tillgång till servern via Remote Desktop genom VPN. Skäl för beslutet Vilka regler är tillämpliga? Personuppgiftslagen gäller för sådan behandling av personuppgifter som helt eller delvis är automatiserad och för annan, dvs. manuell, behandling av personuppgifter, om uppgifterna ingår i eller är avsedda att ingå i en strukturerad samling av personuppgifter som är tillgängliga för sökning eller sammanställning enligt särskilda kriterier (5 ). De s.k. hanteringsreglerna i personuppgiftslagen behöver inte tillämpas på behandling av personuppgifter som inte ingår i eller är avsedda att ingå i en samling av personuppgifter som har strukturerats för att påtagligt underlätta sökning efter eller sammanställning av personuppgifter (5 a ). Datainspektionen kan konstatera att den behandling av personuppgifter som Djurgården avser att utföra i databasen är helt automatiserad och strukturerad på ett sådant sätt att hanteringsreglerna är tillämpliga. Att även delvis automatiserad behandling av personuppgifter omfattas av personuppgiftslagen innebär att lagen tillämpas redan när man samlar in personuppgifter manuellt med syfte att senare registrera uppgifterna i datorformat. Det innebär vidare t.ex. att muntligt utlämnande eller utlämnande på papper av personuppgifter som finns i datorformat omfattas av lagen. Även manuell, intern användning av sådana personuppgifter omfattas av lagen. Sida 9 av 16
Datainspektionen bedömer att Djurgårdens manuella insamlande av personuppgifter i syfte att registrera dem i databasen, liksom då uppgifter överförs från databasen till pappersform för att ingå i manuella akter, utgör sådan delvis automatiserad behandling av personuppgifter. Datainspektionen anser att Djurgårdens behandling av personuppgifter i de manuella akterna även i övrigt utgör ett sådant naturligt led i den automatiserade behandlingen att den ska anses delvis automatiserad. Datainspektionen gör alltså bedömningen att även Djurgårdens behandling av personuppgifter i de manuella akterna omfattas av personuppgiftslagen. Är behandlingen tillåten enligt 10 personuppgiftslagen? I 10 personuppgiftslagen finns en uttömmande uppräkning av i vilka situationer som personuppgifter över huvud taget får behandlas. Huvudregeln är att personuppgifter får behandlas bara om den registrerade har lämnat sitt samtycke till behandlingen. Ett undantag från denna huvudregel är att personuppgifter får behandlas om behandlingen är nödvändig för att en arbetsuppgift av allmänt intresse ska kunna utföras (10 punkten d). Huliganismen och kriminaliteten kring och på fotbollsarenorna innebär stora kostnader för samhället. Allmänheten påverkas också genom att trivseln och säkerheten försämras. Lagstiftaren har infört lagen om tillträdesförbud vid idrottsarrangemang för att förstärka skyddet mot denna brottslighet och därigenom öka tryggheten och trivseln i samband med idrottsarrangemang. Även idrottsliga regelverk, i form av t.ex. möjligheten att stänga av ordningsstörare, har införts för att fotbollsarrangemang ska bli bra och säkra. Mot denna bakgrund anser Datainspektionen att ansökan rör en arbetsuppgift av allmänt intresse. Djurgårdens behandling av personuppgifter för handläggning och uppföljning av personer som har blivit föremål för arrangörsavstängning och/eller tillträdesförbud torde väsentligt underlätta att uppnå reglernas syfte. Datainspektionen kan således konstatera att behandlingen är nödvändig för att en arbetsuppgift av allmänt intresse ska kunna utföras, och att den därför är tillåten enligt 10 personuppgiftslagen. Omfattas behandlingen av förbudet i 21 personuppgiftslagen? Enligt 21 personuppgiftslagen är det förbjudet för andra än myndigheter att behandla personuppgifter om lagöverträdelser som innefattar brott, domar i brottmål, straffprocessuella tvångsmedel eller administrativa frihetsberövanden. Av förarbetena till personuppgiftslagen framgår bl.a. att en uppgift om att någon har eller kan ha begått brott utgör en personuppgift om lagöverträdelse, även om det inte finns någon dom eller motsvarande om brottet. Även registrering av misstanke av brott är således förbjudet enligt denna paragraf. Sida 10 av 16
Beslut om tillträdesförbud grundar sig på att det finns risk för att personen i fråga kommer att begå brott. Vid bedömningen av om det finns sådan risk ska det särskilt beaktas om personen tidigare begått liknande brott (2 lagen om tillträdesförbud vid idrottsarrangemang). Att en person har tillträdesförbud registreras vidare i belastningsregistret (3 lagen (1998:620) om belastningsregister). Såvitt Datainspektionen har förstått baseras även fotbollsklubbars beslut om att stänga av någon på att personen i fråga har begått ett brott eller i vart fall överträtt ordningsregler på eller kring en fotbollsarena. Mot denna bakgrund menar Datainspektionen att Djurgårdens planerade behandling av personuppgifter kommer att innefatta personuppgifter om lagöverträdelser i den mening som avses i 21 personuppgiftslagen, och är alltså som utgångspunkt förbjuden. Datainspektionen har dock meddelat föreskrifter om undantag från förbudet (DIFS 1998:3, omtryckt 2010:1). Av punkten d) i föreskrifterna framgår att personuppgifter om lagöverträdelser får behandlas utan hinder av förbudet i 21 om behandlingen avser endast enstaka uppgift som är nödvändig för att rättsliga anspråk ska kunna fastställas, göras gällande eller försvaras i ett enskilt fall. Bestämmelsen tar sikte på enstaka uppgifter. Datainspektionen anser att den mängd uppgifter som Djurgården avser att behandla är fler än enstaka. Datainspektionen kan därför konstatera att undantaget i punkten d), och inte heller något annat av undantagen i föreskrifterna, är tillämpligt på Djurgårdens behandling. För att Djurgården ska få behandla uppgifter om lagöverträdelser krävs således att Datainspektionen beviljar undantag från förbudet i 21 personuppgiftslagen i det enskilda fallet. Ska undantag från förbudet i 21 beviljas i det enskilda fallet? Datainspektionen får besluta om undantag från förbudet att behandla personuppgifter om lagöverträdelser i enskilda fall (21 fjärde stycket personuppgiftslagen och 9 personuppgiftsförordningen). När det gäller Datainspektionens möjlighet att besluta om undantag anges i förarbetena till personuppgiftslagen (se SOU 1997:39 s. 379) som exempel den behandling av uppgifter om t.ex. brottmålsdomar som privata vård- och behandlingshem kan behöva utföra för att vårda och behandla den dömde på ett effektivt sätt. Vidare nämns att det även kan vara befogat med undantag för försäkringsbolagens kravhantering eftersom det ofta är försäkringsbolagen som får betala för de ekonomiska skador som kriminalitet vållar. Sida 11 av 16
Varken av ordalydelsen i 21 personuppgiftslagen eller av 9 personuppgiftsförordningen framgår närmare under vilka förutsättningar undantag kan beviljas. Bestämmelsen i 21 personuppgiftslagen har sin grund i artikel 8.5 i dataskyddsdirektivet. I artikeln anges att behandling av uppgifter om lagöverträdelser, brottmålsdomar eller säkerhetsåtgärder får utföras endast under kontroll av en myndighet eller om lämpliga skyddsåtgärder finns i nationell lag med förbehåll för de ändringar som medlemsstaterna kan tillåta med stöd av nationella bestämmelser som innehåller lämpliga och specifika skyddsåtgärder. I förarbetena till personuppgiftslagen förutsätts att undantag föreskrivs på det sätt som krävs enligt dataskyddsdirektivet när enskilda har ett befogat intresse av behandlingen och den står under tillfredsställande kontroll av en myndighet (se SOU 1997:39 s. 379). Av bl.a. uttalandena i förarbetena, drar Datainspektionen slutsatsen att möjligheten att bevilja undantag från förbudet ska utnyttjas restriktivt. Datainspektionen anser att följande faktorer talar för att bevilja undantag i Djurgårdens fall: Det som den planerade behandlingen avser att stävja huliganismen och kriminaliteten kring och på fotbollsarenorna är ett stort problem, vilket inte minst incidenter på senare tid visar. Allmänheten påverkas av problemen genom att trivseln och säkerheten i samband med arrangemangen försämras. Problemen innebär också stora kostnader för samhället. Djurgården har vidtagit en mängd andra åtgärder för att stävja problemen. Dessa åtgärder har visat sig vara otillräckliga. För att uppnå bakomliggande reglers syfte är det nödvändigt med någon form av kontroll över de som har stängts av eller förbjudits tillträde. Tämligen få personer torde komma att förekomma i registret, i vart fall om Djurgården stänger av personer och åklagare meddelar tillträdesförbud i samma omfattning som i dagsläget. Åtkomsten till stora delar av uppgifterna är begränsad till ett fåtal personer. Även utlämnande av uppgifterna till andra aktörer är begränsat. Datainspektionen anser att följande omständigheter talar mot att bevilja Djurgården undantag från förbudet: Behandlingen kan innebära att många och integritetskänsliga personuppgifter om en och samma person kommer att registreras. Djurgården kommer att spara personuppgifterna under en längre tid. Sida 12 av 16
Djurgården kommer att registrera personuppgifter hänförliga till ett avstängningsärende redan innan frågan om avstängning har prövats slutligt. Det finns en risk för förväxling av person, vilket torde kunna leda till att oskyldiga registreras eller av misstag pekas ut som avstängd eller förbjuden tillträde. Det är svårt att på förhand överblicka vilken effekt Djurgårdens behandling får i förhållande till syftet med den. Datainspektionen anser att Djurgården har ett befogat intresse av att utföra den beskrivna behandlingen av personuppgifter. Det är fråga om ett så tungt vägande intresse att det klart överväger de registrerades intresse av skydd mot kränkning av deras personliga integritet. Efter en avvägning mellan Djurgårdens behov av att behandla uppgifter på det sätt som har beskrivits i ansökan och de registrerades intresse bedömer Datainspektionen att behandlingen är proportionerlig med hänsyn till syftet med behandlingen. Datainspektionen bedömer därför att det finns förutsättningar att meddela undantag från förbudet att behandla uppgifter om lagöverträdelser. Datainspektionen anser dock att det finns brister i den behandling av personuppgifter som Djurgården beskriver i sin ansökan när det gäller gallringen av personuppgifter, informationen till de registrerade och säkerheten kring uppgifterna. Gallring av personuppgifter Av ansökan framgår att Djurgården avser att gallra personuppgifter hänförliga till ett avstängningsärende, som har skrivits av efter att man har kommit fram till att personen ifråga inte ska stängas av, först två år efter avskrivningsbeslutet. Syftet uppges vara att t.ex. kunna svara på frågor från åklagare om huruvida personen ifråga är känd sedan tidigare. Såvitt Datainspektionen har förstått är det primära syftet med den registrering som Djurgården vill göra att hindra personer som är avstängda eller förbjudna tillträde från att ta sig in på arenan. Datainspektionen kan inte se att bevarande av uppgifter hänförliga till avskrivna ärenden är nödvändig för att uppnå det syftet. Datainspektionen har förståelse för att det i vissa situationer kan underlätta framtida bedömningar att bevara personuppgifter hänförliga till avskrivna ärenden. Det kan dock finnas många olika skäl till att skriva av ärenden, allt ifrån att personen i fråga inte har begått en sådan allvarlig förseelse som föranleder avstängning till att ärendet helt enkelt rörde fel person. Sida 13 av 16
Datainspektionen bedömer att det inte föreligger tillräckligt starka skäl för att få bevara personuppgifterna i den enkelt sökbara databasen efter att ett avstängningsärende har skrivits av, utan att personen i fråga har stängts av. En förutsättning för att Djurgården ska kunna beviljas undantag från förbudet att behandla personuppgifter om lagöverträdelser är därför att samtliga personuppgifter hänförliga till avstängningsärenden som har skrivits av, utan att personen i fråga har stängts av, gallras ur databasen så snart ärendet är avslutat. Däremot bedömer Datainspektionen att det är motiverat för Djurgården att bevara uppgifter i de manuella akterna under två år efter avskrivningsbeslutet för att t.ex. kunna svara på frågor från åklagare. Information till registrerade Enligt 23-25 personuppgiftslagen är den personuppgiftsansvarige skyldig att självmant lämna information till de registrerade. Informationen ska innehålla uppgift om den personuppgiftsansvariges identitet, ändamålen med behandlingen och all övrig information som behövs för att den registrerade ska kunna ta till vara sina rättigheter i samband med behandlingen. Sådan övrig information är t.ex. information om vilka kategorier av uppgifter som behandlas, kategorier av mottagare av uppgifterna, hur länge uppgifterna bevaras samt rätten att gratis en gång årligen efter ansökan erhålla information och rätten att få rättelse av felaktiga eller missvisande uppgifter. Delar av denna information saknas i den informationstext som Djurgården har presenterat i sin ansökan. En förutsättning för att undantag från förbudet mot att behandla personuppgifter om lagöverträdelser ska kunna beviljas är att samtliga registrerade ges fullständig information i enlighet med 23-25 personuppgiftslagen. Säkerhet kring personuppgifterna Enligt 31 personuppgiftslagen ska den personuppgiftsansvarige vidta lämpliga tekniska och organisatoriska åtgärder för att skydda de personuppgifter som behandlas. Åtgärderna ska åstadkomma en säkerhetsnivå som är lämplig med beaktande av de tekniska möjligheter som finns, kostnaden för åtgärderna, särskilda risker med behandlingen och hur pass känsliga uppgifterna är. Sida 14 av 16
Datainspektionen har tidigare slagit fast att personuppgifter, definierade som känsliga personuppgifter enligt 13 personuppgiftslagen, får lämnas ut via öppet nät endast till identifierade användare vars identitet är säkerställd med stark autentisering, t.ex. e-legitimation, engångslösenord eller motsvarande. Vid överföring via öppet nät, t.ex. Internet, ska känsliga personuppgifter dessutom förses med krypteringsskydd. I Datainspektionens allmänna råd Säkerhet för personuppgifter framgår att personuppgifter om lagöverträdelser bör jämställas med känsliga uppgifter enligt 13 personuppgiftslagen när det gäller säkerhet. Mot denna bakgrund gör Datainspektionen bedömningen att Djurgården kan beviljas undantag från förbudet att behandla personuppgifter om lagöverträdelser endast under förutsättning att det krävs stark autentisering vid inloggning i databasen och att inga uppgifter om lagöverträdelser kommuniceras över öppna nät, t.ex. via e-post, utan att förses med krypteringsskydd. Slutsats Djurgården beviljas undantag från förbudet att behandla personuppgifter om lagöverträdelser under vissa förutsättningar. Det innebär att Djurgården får behandla personuppgifter om lagöverträdelser på det sätt som har beskrivits i ansökan under förutsättning att samtliga personuppgifter hänförliga till ett ärende som har skrivits av gallras ur databasen så snart ärendet har avslutats, att samtliga registrerade informeras enligt 23-25 personuppgiftslagen, att det krävs stark autentisering vid inloggning i databasen och att inga uppgifter om lagöverträdelser kommuniceras över öppna nät utan att förses med krypteringsskydd. För att säkerställa att behandlingen sker på det sätt som har beskrivits och i övrigt i enlighet med personuppgiftslagen avser Datainspektionen att följa upp Djurgårdens behandling. Mot den bakgrunden, och eftersom det är svårt att på förhand överblicka effekterna av ett undantag, finner Datainspektionen skäl att tidsbegränsa undantaget till att gälla längst t.o.m. den 30 juni 2013. Beslutet om att bevilja undantag kan återkallas om det visar sig att Djurgården behandlar personuppgifter på ett sätt som strider mot förutsättningarna för detta beslut. Sida 15 av 16
Hur man överklagar Om ni vill överklaga beslutet ska ni skriva till Datainspektionen. Ange i skrivelsen vilket beslut som överklagas och den ändring som ni begär. Inspektionen måste ha fått ert överklagande inom tre veckor från den dag ni fick ta del av beslutet, annars kan överklagandet inte prövas. Datainspektionen sänder överklagandet vidare till Förvaltningsrätten i Stockholms län för prövning om inspektionen inte själv ändrar beslutet på det sätt ni har begärt. Detta beslut har beslutats av generaldirektören Göran Gräslund i närvaro av chefsjuristen Hans-Olof Lindblom, teamledaren Catharina Fernquist, ITsäkerhetsspecialisten Adolf Slama och juristen Malin Fredholm, föredragande. Göran Gräslund Malin Fredholm Sida 16 av 16