Beslut efter tillsyn enligt personuppgiftslagen (1998:204)

Relevanta dokument
Beslut efter tillsyn enligt personuppgiftslagen (1998:204)

DOM Meddelad i Stockholm

Beslut efter tillsyn enligt personuppgiftslagen (1998:204) av Fitness24Seven

Tillsyn enligt personuppgiftslagen (1998:204) användning av s.k. elektroniska nycklar hos ett bostadsbolag

meddelad i Stockholm MOTPART Uddevalla kommun Uddevalla SAKEN Tillsyn enligt personuppgiftslagen

Beslut efter tillsyn enligt personuppgiftslagen (1998:204)

Tillsyn enligt personuppgiftslagen (1998:204) En forskningsstudie vid Örebro universitet med känsliga personuppgifter om barn

Ansökan om undantag från förbudet i 21 personuppgiftslagen (1998:204)

Tillsyn enligt personuppgiftslagen (1998:204); behandling av personuppgifter för kontroll av anställda

Beslut efter tillsyn enligt personuppgiftslagen (1998:204) av Stensjö Fastigheter

Tillsyn enligt personuppgiftslagen (1998:204) mot IOGT-NTO behandling av uppgifter i medlemsregister

Beslut efter tillsyn enligt personuppgiftslagen (1998:204)

Personuppgiftsombudet Eva-Karin Jonsson Dept: STOPX Scandinavian Airlines System STOCKHOLM. Samråd enligt personuppgiftslagen (1998:204)

Tillsyn enligt personuppgiftslagen (1998:204) Autentisering av användare som medges åtkomst till personuppgifter i kreditupplysningsregister

Föreningen kommer vidare att skriva avtal med sin systemleverantör. Leverantören kommer också att ta emot föreningens säkerhetskopior.

Ansökan om undantag från förbudet i 21 personuppgiftslagen

Ansökan om undantag från förbudet i 21 personuppgiftslagen (1998:204)

Tillsyn enligt personuppgiftslagen (1998:204) registrering av känsliga personuppgifter om anställda

Tillsyn enligt personuppgiftslagen (1998:204) Utökat elektroniskt informationsutbyte

Tillsyn enligt personuppgiftslagen (1998:204) användning av biometri inom arbetslivet

Tillsyn patienternas rätt till spärr enligt 4 kap. 4 och 6 kap. 2 patientdatalagen

Tillsyn enligt personuppgiftslagen (1998:204) utlämnande av uppgifter om medlemmar

Tillsyn - äldreomsorg

Tillsyn patienternas rätt till spärr enligt 4 kap. 4 och 6 kap. 2 patientdatalagen

Tillsyn enligt personuppgiftslagen (1998:204) registrering av kunduppgifter samt klagomåls- och reklamationshantering

Beslut efter tillsyn enligt patientdatalagen (2008:355) rutiner för registrering i Senior Alert.

Beslut efter tillsyn enligt personuppgiftslagen (1998:204) registrering av icke kyrkotillhöriga barn

Tillsyn enligt personuppgiftslagen

Tillsyn enligt personuppgiftslagen (1998:204) behandling av personuppgifter om personer som hämtar ut postpaket

Tillsyn enligt personuppgiftslagen (1998:204) registrering av kunduppgifter samt klagomåls- och reklamationshantering

Tillsyn enligt personuppgiftslagen (1998:204) Behandling av personuppgifter i molnet

Beslut efter tillsyn enligt personuppgiftslagen (1998:204) PuL

Undantag från förbudet i 21 personuppgiftslagen (1998:204)

Tillsyn enligt personuppgiftslagen (1998:204) - Sammanhållen journalföring 6 kap. patientdatalagen

Tillsyn enligt personuppgiftslagen (1998:204) Ideell förenings behandling av personuppgifter för löneutbetalningsändamål

Beslut efter tillsyn enligt personuppgiftslagen (1998:204)

Beslut efter tillsyn enligt personuppgiftslagen (1998:204)

Betänkandet EU:s direktiv om sanktioner mot arbetsgivare (SOU 2010:63)

Beslut efter tillsyn enligt patientdatalagen (2008:355) rutiner för registrering i Senior Alert.

Tillsynsbeslut; omdömen om elever

Tillsyn enligt personuppgiftslagen (1998:204) kontroll av anställda

Beslut efter tillsyn enligt personuppgiftslagen (1998:204) av Brf Kvarnberget

Tillsyn enligt personuppgiftslagen (1998:204) Intern åtkomst till personuppgifter hos Försäkringskassan

Tillsyn - äldreomsorg

Beslut efter tillsyn enligt personuppgiftslagen (1998:204) PuL

Beslut efter tillsyn enligt personuppgiftslagen (1998:204) PuL

Beslut efter tillsyn enligt personuppgiftslagen (1998:204)

Tillsyn enligt personuppgiftslagen (1998:204) användning av positioneringsteknik för kontroll av anställda

Tillsyn mot Wihlborgs Fastigheter AB avseende användning av positioneringssystemet ABAX

Tillsyn enligt personuppgiftslagen (1998:204) Kameraövervakning inomhus i skola

Tillsyn enligt personuppgiftslagen (1998:204) uppföljning av ärende om Socialdemokraternas medlemsregister

Tillsyn enligt personuppgiftslagen (1998:204) Utökat elektroniskt informationsutbyte

Tillsyn patienternas rätt till spärr enligt 4 kap. 4 och 6 kap. 2 patientdatalagen

Tillsyn patienternas rätt till spärr enligt 4 kap. 4 och 6 kap. 2 patientdatalagen

Tillsyn patienternas rätt till spärr enligt 4 kap. 4 och 6 kap. 2 patientdatalagen

Tillsyn enligt kameraövervakningslagen (2013:460) Försäkringskassans användning av webbkameror

Tillsyn patienternas rätt till spärr enligt 4 kap. 4 och 6 kap. 2 patientdatalagen

Tillsyn enligt personuppgiftslagen (1998:204) uppföljning av ärende om Kristdemokraternas medlemsregister

Tillsyn enligt personuppgiftslagen (1998:204) inspelning av telefonsamtal i kundtjänst

Tillsyn enligt personuppgiftslagen (1998:204), PuL. LifeGene

Instruktion för att tillvarata enskildas rättigheter

Tillsyn enligt kameraövervakningslagen (2013:460) kameraövervakning av hotell

Polismyndigheten i Uppsala län Box UPPSALA. Datainspektionen meddelar följande BESLUT

Tillsyn enligt personuppgiftslagen (1998:204) Behovs- och riskanalys samt riktlinjer till befattningshavare som utför loggkontroller

Tillsyn enligt personuppgiftslagen (1998:204) Behovs- och riskanalys samt riktlinjer till befattningshavare som utför loggkontroller

Tillsyn patienternas rätt till spärr enligt 4 kap. 4 och 6 kap. 2 patientdatalagen

Tillsyn enligt personuppgiftslagen (1998:204) användning av s.k. elektroniska nycklar hos ett bostadsbolag

Tillsyn enligt personuppgiftslagen (1998:204) samkörning av personuppgifter för gemensam verksamhetsuppföljning

Beslut efter tillsyn enligt personuppgiftslagen (1998:204) PuL

Medverkan av tjänsteleverantörer i ärenden om uppehålls- och arbetstillstånd (SOU 2016:36)

Mats Gustavsson Jurist Personuppgiftsombud Karolinska Institutet tfn ,

Personuppgiftslagen. Författningssamling. Vad är personuppgiftslagen (PuL)? Personuppgiftslagens syfte

Information om behandling av personuppgifter

Tillsyn enligt inkassolagen (1974:182) användande av konkursinstitutet

Beslut efter tillsyn enligt personuppgiftslagen (1998:204)

Riktlinjer för att tillvarata enskildas rättigheter

Beslut efter tillsyn enligt personuppgiftslagen (1998:204)

Tillsyn enligt personuppgiftslagen (1998:204) användning av s.k. elektroniska nycklar hos en bostadsrättsförening

Tillsyn enligt personuppgiftslagen (1998:204) socialtjänstens behandling av personuppgifter om etniskt ursprung

Tillsyn patienternas rätt till spärr enligt 4 kap. 4 och 6 kap. 2 patientdatalagen

Redogörelse för tillsynsärendet Datainspektionen har uppmärksammat att kreditupplysningar publiceras på bl.a. följande webbplatser:

Tillsyn enligt personuppgiftslagen (1998:204) hantering av personnummer i samband med prisförfrågan

Beslut efter tillsyn enligt personuppgiftslagen (1998:204)

Tillsyn enligt personuppgiftslagen (1998:204)

Tillsyn enligt personuppgiftslagen (1998:204) Behandling av personuppgifter i kollektivtrafiken; e-biljetter m.m.

Beslut efter tillsyn enligt personuppgiftslagen (1998:204) PuL

För att tillvarata medlemmarnas enskildas rättigheter

ATT TILLVARATA ENSKILDAS RÄTTIGHETER

Instruktion för att tillvarata enskildas rättigheter. Instruktion för att tillvarata enskildas rättigheter

Beslut efter tillsyn enligt personuppgiftslagen (1998:204) Nationella kvalitetsregister, 7 kap. patientdatalagen

Beslut efter tillsyn enligt personuppgiftslagen (1998:204)

Tillsyn enligt personuppgiftslagen (1998:204) bankers användning av s.k. appar

Tillsyn enligt personuppgiftslagen (1998:204) socialtjänstens behandling av personuppgifter om etniskt ursprung

Betänkandet låt fler forma framtiden! (SOU 2016:5)

PERSONUPPGIFTSBITRÄDESAVTAL Hantering av personuppgifter i Skyddat Webbaserat informationssystem (WIS)

Yttrande i Förvaltningsrätten i Stockholms mål

Tillsyn avseende undersökningen Hälsa Stockholm

Tillsynsbeslut mot Försvarsmakten avseende behandlingen av personuppgifter i IT-stöden PRIO och ReachMee

Tillsyn enligt personuppgiftslagen (1998:204) utlämnande genom direktåtkomst

Tillsyn enligt personuppgiftslagen (1998:204) Hantering av patientuppgifter via e-post

Transkript:

1 Beslut Dnr 2005-03-09 1976-2004 Barn- och utbildningsnämnden, Värnamo kommun Stadshuset 331 83 Värnamo Beslut efter tillsyn enligt personuppgiftslagen (1998:204) Datainspektionens beslut Datainspektionen konstaterar att den behandling av personuppgifter som utförs vid Finnvedens gymnasium i samband med avläsning av elevers handstorlek för att ge behöriga elever rätt att äta i matsalen strider mot de grundläggande kraven i 9 e) och f) personuppgiftslagen. Datainspektionen förelägger Barn- och utbildningsnämnden i Värnamo kommun att upphöra med behandlingen. Med dessa påpekanden avslutar Datainspektionen ärendet. Datainspektionen kommer att följa upp ärendet. Redogörelse för tillsynsärendet I en fråga till Datainspektionen om hanteringens förenlighet med personuppgiftslagen, framgår att en gymnasieskola har en tallriksautomat i matsalen där handavtryck används för att eleven ska få ut en tallrik. Med anledning av förfrågans innehåll har Datainspektionen inlett ett tillsynsärende och begärt att Barn- och utbildningsnämnden i Värnamo kommun (nämnden) lämnar en redogörelse. Nämnden har bl.a. uppgett följande. Finnvedens gymnasium i Värnamo har 1340 elever. Måltiderna är avgiftsbelagda för elever som är folkbokförda i kommunen. Ändamålet med behandlingen av personuppgifterna är hantering av skolmåltider för gymnasieelever genom handavläsning. Av informationen till de registrerade framgår att syftet är att ge behöriga elever rätt att äta i matsalen på Finnvedens gymnasium. Det finns en tallriksautomat där eleverna lägger en hand på en platta för att få en tallrik. Tallriksautomaten läser av handstorlek. Nya elever får sin hand registrerad genom att man tre gånger tar två bilder, underifrån och från sidan av handen. Bilderna ligger till grund för en s.k. hashberäkning, främst av fingerlängder, från medelvärden av de tre avläsningarna. Beräkningen

2 resulterar i en profil som är en 72 bitars kod som därefter representerar handen i systemet. Vid registreringen får eleven en personlig kod. Det sker varken lagring av bilder av handen eller av mellandata från beräkningen av 72 bitars koden. En elev som inte vill läsa in sin hand anmäler sig i köket före måltiden för att få en tallrik. Tallriksautomaten är kopplad till en centraldator som lagrar födelsedatum, klass och namn samt handstorleken i form av 72 bitars koden. När eleven vill ha en tallrik matar eleven in sin personliga kod och lägger handen på plattan. En ny 72 bitars kod räknas fram i tallriksautomaten och jämförs med den lagrade koden varefter centraldatorn kan godkänna utlämnande av en tallrik. Centraldatorn är isolerad från övrig IT-miljö och står enbart i kontakt med tallriksautomaten. Datorn är lösenordsskyddad och förvaras i ett låst rum som är larmat. Nämnden har skriftlig information om personuppgiftsbehandlingen samt formulär för skriftligt samtycke och eventuell återkallelse av samtycket. Av informationen framgår bl.a. att syftet är att ge behöriga elever rätt att äta i matsalen på Finnvedens gymnasium, att det sker registrering av biometrisk uppgift i form av handstorlek, ej fingeravtryck, för avläsning i tallriksautomaten och att uppgifterna inte lämnas ut till någon annan. Vidare framgår bl.a. att man får anmäla sig personligen i köket om man inte samtycker till behandlingen. Personuppgifterna bevaras så länge eleven går på gymnasiet och förstörs därefter. Likaså förstörs uppgifterna om en elev inte längre vill äta i matsalen eller vill anmäla sig manuellt istället för att vara registrerad i automaten. Skäl för beslutet Bakgrund När det gäller biometriska uppgifter har Datainspektionen tidigare prövat frågan om s.k. fingeravläsning i samband med kontroll av skolmåltidsavgift i ett tillsynsärende mot Barn- och utbildningsnämnden i Vetlanda kommun (beslut den 15 juni 2004, ärendenummer 42-2004). Beslut i det ärendet fattades av Datainspektionens styrelse som ansåg att personuppgiftsbehandlingen stred mot de grundläggande kraven i 9 e) och f) personuppgiftslagen. Tre av sju styrelseledamöter, däribland Datainspektionens generaldirektör, var dock skiljaktiga och ansåg att man borde kunna acceptera användningen av fingeravläsning under förutsättning att eleverna får lämna sitt samtycke och att det finns en alternativ metod för identifiering. Barn- och utbildningsnämnden i Vetlanda kommun överklagade inte Datainspektionens beslut till länsrätten. Frågan har därför inte prövats av domstol. Datainspektionen har därefter prövat två nya tillsynsärenden rörande fingeravläsning. Prövningen har utgått från uppfattningen som majoriteten av Datainspektionens styrelse hade i tillsynsärendet mot Barn- och utbildningsnämnden i Vetlanda kommun. Dessa nya tillsynsärenden avsåg gymnasieskolorna i Uddevalla och Lerum (beslut den 13 januari 2005, ärendenummer 1601-2004 och 1602-2004). Datainspektionens beslut innebar i båda fallen ett föreläggande att upphöra med behandlingen. Barn- och utbildningsnämnden i Uddevalla kommun och Utbildningsnämnden i Lerums

3 kommun har överklagat Datainspektionens beslut till länsrätten. I en dom den 2 mars 2005 har länsrätten avslagit överklagandet från Barn- och utbildningsnämnden i Uddevalla kommun (mål nr 2458-05). Länsrätten har funnit att Datainspektionen har haft fog för sitt föreläggande. Länsrätten anser att ändamålet bör kunna tillgodoses på ett enklare och mindre integritetskränkande sätt än genom att partiella fingeravtryck används som identifieringsmetod. Enligt länsrätten kan de behandlade uppgifterna därmed inte anses adekvata, relevanta eller nödvändiga i förhållande till ändamålen med behandlingen. Vid bedömningen av personuppgiftsbehandlingen i dessa tre ärenden har Datainspektionen bland annat tagit hänsyn till ett uttalande i den så kallade 29- gruppen, en arbetsgrupp som inrättats enligt artikel 29 i dataskyddsdirektivet, och som är EU:s oberoende rådgivande instans för dataskydd och skydd av privatlivet. I ett antaget arbetsdokument om biometri som syftar till att bidra till en effektiv och enhetlig tillämpning av de nationella bestämmelserna om dataskydd inom EU (12168/02/SV WP 80) har 29-gruppen uttalat bland annat att en ökad användning av biometriska uppgifter kan medföra att allmänheten blir mindre uppmärksam på hur behandlingen av dessa uppgifter kan påverka deras vardag. Som ett exempel ger 29-gruppen biometri som används i skolbibliotek och att det kan leda till att barnen blir mindre medvetna om de risker rörande dataskydd som de eventuellt utsätts för senare i livet. Även om det i dessa tillsynsärenden inte var fråga om att registrera fullständiga fingeravtryck och dessa uppgifter inte är att betrakta som känsliga enligt personuppgiftslagen ansåg Datainspektionen att registreringen kunde uppfattas som ett intrång i den personliga integriteten. Kontrollen kunde vidare genomföras på ett för eleverna mindre integritetskänsligt sätt utan att deras fingrar lästes av. Mot denna bakgrund och med hänsyn till 29-gruppens uttalande ovan bedömde Datainspektionen därför att den behandling av personuppgifter som utfördes i samband med avläsning av elevers fingrar för att kontrollera att inga obehöriga utnyttjar skolrestaurangen och att matgästerna betalat sin skolmåltidsavgift stred mot de grundläggande kraven i 9 e) och f) personuppgiftslagen. Grundläggande krav Datainspektionen har bland annat som mål att säkerställa att behandling av personuppgifter inte medför otillbörligt intrång i den personliga integriteten. Målet ska uppnås utan att användningen av teknik onödigt förhindras eller försvåras samtidigt som behandlingen av personuppgifter inte får utföras i strid med bestämmelserna i personuppgiftslagen. Av de grundläggande kraven i 9 personuppgiftslagen följer av punkten e) att den personuppgiftsansvarige ska se till att de uppgifter som behandlas är adekvata och relevanta i förhållande till ändamålet med behandlingen. Av punkten f) samma paragraf framgår att inte fler personuppgifter får behandlas än vad som är nödvändigt med hänsyn till ändamålet med behandlingen.

4 På Finnvedens gymnasium används en metod som bygger på att det inledningsvis måste tas flera bilder av en hand. Bilderna ligger till grund för en envägsfunktion, en så kallad hashberäkning som levererar en 72 bitars kod. Denna kod utgör den profil som därefter representerar handen i systemet. Till grund för beräkningen ligger främst fingerlängden. Det sparas inte några bilder eller mellandata vid beräkningen av profilen. Med avseende på insamling och användning av biometrisk uppgift skiljer sig systemet med handavläsning inte nämnvärt från fallen med fingeravläsning. Några risker för användning på ett för individen okontrollerbart sätt, t.ex. genom att den biometriska uppgiften samlas in utan den registrerades vetskap eller att representation av handen skulle kunna användas i andra system, kan normalt sätt inte antas föreligga. Ej heller är uppgifterna känsliga enligt definitionen i 13 personuppgiftslagen. Dock anser Datainspektionen vid en helhetsbedömning att det inte finns anledning att bedöma detta ärende på annat sätt än de tidigare besluten rörande fingeravläsning och att även denna behandling kan uppfattas som ett intrång i den personliga integriteten. Kontrollen kan vidare genomföras på ett för eleverna mindre integritetskänsligt sätt utan att handstorleken läses av. Mot denna bakgrund och med hänsyn till 29-gruppens uttalande ovan bedömer Datainspektionen därför att den behandling av personuppgifter som utförs vid Finnvedens gymnasium i samband med avläsning av elevers handstorlek för att ge behöriga elever rätt att äta i matsalen strider mot de grundläggande kraven i 9 e) och f) personuppgiftslagen. Hur man överklagar Om ni vill överklaga beslutet skall ni skriva till Datainspektionen. Ange i skrivelsen vilket beslut som överklagas och den ändring som ni begär. Överklagandet skall ha kommit in till Datainspektionen senast tre veckor från den dag beslutet meddelades för att kunna prövas. Datainspektionen sänder överklagandet vidare till Länsrätten i Stockholms län för prövning om inspektionen inte själv ändrar beslutet på det sätt ni har begärt. Beslut i detta ärende har fattats av Datainspektionens styrelse i närvaro av chefsjuristen Leif Lindgren, tillsynsdirektören Britt Marie Wester, ITspecialisten Magnus Bergström och avdelningsdirektören Suzanne Carlsson Isberg, föredragande. I beslutet deltog generaldirektören Göran Gräslund, ordförande (avvikande mening, se bilaga), samt ledamöterna Marielle Andréasson Nakunzi, Mats Berglind (avvikande mening, se bilaga), Bertil Kjellberg, Ylva Lindahl, Åke Rangborg, Rigmor Stenmark och Majléne Westerlund Panke (avvikande mening, se bilaga). Göran Gräslund Suzanne Carlsson Isberg

Kopia till: Personuppgiftsombudet, Patrik Gustafsson Värnamo kommun Stadshuset 331 83 Värnamo 5

2024 © DocPlayer.se Sekretesspolicy | Användarvillkor | Kontakta oss