Datum Diarienr 2014-03-31 1293-2013 Kristdemokraterna Box 2373 103 18 STOCKHOLM Tillsyn enligt personuppgiftslagen (1998:204) uppföljning av ärende om Kristdemokraternas medlemsregister Datainspektionens beslut Datainspektionen förelägger Kristdemokraterna att komplettera informationen som lämnas till medlemmar om partiets behandling av personuppgifter. Datainspektionen förelägger Kristdemokraterna att införa sådana tekniska funktioner som gör det möjligt att utreda vem som har haft åtkomst till vilka personuppgifter i medlemsregistret och när. Ärendet avslutas. Redogörelse för tillsynsärendet Bakgrund Datainspektionen har i ett tidigare ärende (dnr 1675-2011) granskat hur Kristdemokraterna behandlar personuppgifter i ett centralt medlemsregister. Granskningen ingick i ett tillsynsprojekt i syfte att granska hur samtliga riksdagspartier behandlar personuppgifter om medlemmar och andra personer som kontaktar partierna för information eller liknande och om behandlingen av sådana personuppgifter uppfyller de krav som personuppgiftslagen ställer. Granskningen omfattade även IT-säkerheten vid behandlingarna. I det tidigare ärendet kunde Datainspektionen konstatera brister och förelade Kristdemokraterna att vidta åtgärder för att uppfylla kraven i personuppgiftslagen. Postadress: Box 8114, 104 20 Stockholm E-post: datainspektionen@datainspektionen.se Besöksadress: Drottninggatan 29, plan 5 Telefon: 08-657 61 00 Webbplats: www.datainspektionen.se Telefax: 08-652 86 52
Uppföljning I detta ärende följer Datainspektionen upp det tidigare ärendet genom att kontrollera vilka åtgärder Kristdemokraterna vidtagit för att rätta till vissa brister. Partiet har skriftligen svarat på frågor om vidtagna åtgärder och i de fall arbetet med att åtgärda bristerna ännu inte är avslutat har partiet redogjort för det arbete som pågår och hur länge det beräknas ta. Skäl för beslutet Information Den personuppgiftsansvarige är skyldig att självmant informera de registrerade om behandlingen av personuppgifter. Informationen ska innehålla uppgift om den personuppgiftsansvariges identitet, ändamålen med behandlingen och all övrig information som behövs för att den registrerade ska kunna ta till vara sina rättigheter i samband med behandlingen. Sådan övrig information är t.ex. information om vilka kategorier av uppgifter som behandlas, kategorier av mottagare av uppgifterna, hur länge uppgifterna sparas samt rätten att gratis en gång årligen efter ansökan få information och rätten att få rättelse av felaktiga eller missvisande uppgifter. Datainspektionen har i sitt tidigare beslut förelagt Kristdemokraterna att komplettera informationen till medlemmar och andra registrerade om partiets behandling av personuppgifter så att informationen uppfyller personuppgiftslagens krav på information. Kristdemokraterna har uppgett att partiet nu uppger vem som kan kontaktas gällande frågor om behandlingen av personuppgifter. Ansökan om medlemskapet sker i första hand via webbplatsens formulär. I trycksakerna hänvisar partiet till webbplatsens information. Datainspektionen, som tagit del av informationen som lämnas på webbplatsen, konstaterar att informationen inte fullt ut uppfyller de krav som ställs i personuppgiftslagen. Informationen till medlemmar saknar uppgifter om den personuppgiftsansvariges identitet, vilka personuppgifter som behandlas, ändamålen med behandlingen, hur länge uppgifterna sparas samt rätten för registrerade att ansöka om information och begära rättelse av felaktiga uppgifter. Det är också viktigt att det framgår om föreningar på regional och lokal nivå i vissa delar behandlar medlemsuppgifter i medlemsregistret gemensamt med riksorganisationen. Datainspektionen förelägger därför, med stöd av 45 första stycket personuppgiftslagen, Kristdemokraterna att komplettera den skriftliga Sida 2 av 6
information som lämnas till medlemmar så att informationen uppfyller kraven i 23 25 personuppgiftslagen. Känsliga personuppgifter Av personuppgiftslagen framgår att en uppgift om medlemskap i ett politiskt parti är en känslig personuppgift, eftersom den avslöjar politiska åsikter. Känsliga personuppgifter får behandlas med stöd av 15-19 personuppgiftslagen. Av 17 personuppgiftslagen framgår att en ideell organisation med ett politiskt syfte, inom ramen för sin verksamhet, får behandla personuppgifter om organisationens medlemmar och sådan andra personer som på grund av organisationens syfte har regelbunden kontakt med den. Tidigare medlem Uppgifter i medlemsregistret om en person som, t.ex. utträtt eller uteslutits från partiet och därför inte längre är medlem i organisationen är också en känslig personuppgift eftersom den kan anses avslöja en politisk åsikt. En organisation får inte med stöd av 17 personuppgiftslagen behandla känsliga personuppgifter om en person som inte längre är medlem och inte heller på grund av organisationens syfte har regelbunden kontakt med organisationen. För det fall medlemskapet avslutas när en medlem inte betalat medlemsavgiften, men denne fortfarande har uppdrag för partiet eller deltar i partiaktiviteter och själv uppfattar sig som medlem, kan partiet behandla känsliga personuppgifter om denne med stöd av 17 andra stycket personuppgiftslagen. Detta eftersom personen på grund av organisationens syfte har regelbunden kontakt med partiet. Frågan om en person är medlem eller inte får bestämmas enligt civilrättsliga regler med ledning av exempelvis organisationens stadgar och liknande. När det gäller ett medlemskap som avslutas är det rimligt att organisationen behöver en kortare tid för att administrera att medlemsförhållandet upphör. Tiden bör dock inte vara längre än tre månader efter att medlemskapet formellt upphör. Därefter anser Datainspektionen att medlemskapet måste kunna betraktas som avslutat och att det därmed inte längre finns stöd att behandla uppgifterna. Datainspektionen har i sitt tidigare beslut förelagt Kristdemokraterna att antingen upphöra med att behandla uppgifter om tidigare medlemmar eller inhämta de registrerades samtycke till behandlingen. Kristdemokraterna har uppgett att partiet inte behandlar uppgifter om tidigare medlemskap längre tid än att distrikt och avdelningar blivit Sida 3 av 6
informerade om utträdet eller om uteslutningen. Uppgifterna sparas längst i tre månader. Datainspektionen konstaterar att Kristdemokraterna åtgärdat de aktuella bristerna och har inga synpunkter i denna del. IT-säkerhet Den personuppgiftsansvarige ska enligt 31 personuppgiftslagen vidta lämpliga tekniska och organisatoriska åtgärder för att skydda de personuppgifter som behandlas. Åtgärderna ska åstadkomma en säkerhetsnivå som är lämplig med beaktande av a. de tekniska möjligheterna som finns, b. vad det skulle kosta att genomföra åtgärderna, c. de särskilda risker som finns med behandlingen av personuppgifterna, och d. hur pass känsliga de behandlade personuppgifterna är Stark autentisering Känsliga personuppgifter får lämnas ut via öppet nät, t.ex. Internet, endast till identifierade användare vars identitet är säkerställd med stark autentisering. Stark autentisering, också kallat multifaktorsautentisering, kan realiseras på olika sätt. Det kan ske exempelvis med e-legitimation, men även andra tekniska funktioner för asymmetrisk kryptering. Vissa lösningar för engångslösenord och liknande kan också användas. Datainspektionen har i sitt tidigare beslut förelagt Kristdemokraterna att skydda åtkomsten till personuppgifter i det centrala medlemsregistret med stark autentisering. Kristdemokraterna har uppgett att en användare för inloggning i medlemsregistret behöver både ett fast lösenord och ett engångslösensord samt en egenutvecklad programvara. Programvaran är inte knuten till någon speciell dator utan kan installeras på vilken dator som helst. Användare loggar in sig över en krypterad förbindelse för att komma åt engångslösensordet. Datainspektionen konstaterar att Kristdemokraterna åtgärdat de aktuella bristerna och har inga synpunkter i denna del. Skyddad filöverföring Datainspektionen förelade Kristdemokraterna i sitt tidigare beslut att upphöra med att skicka medlemsuppgifter i okrypterad excelfil via öppet nät till tryckeriet. Datainspektionen konstaterar att Kristdemokraterna åtgärdat de aktuella bristerna och har inga synpunkter i denna del. Sida 4 av 6
Skyddad överföring av uppgifter via webbformulär Datainspektionen förelade Kristdemokraterna i sitt tidigare beslut att skydda överföringen av personuppgifter via webbformuläret genom kryptering. Datainspektionen konstaterar att Kristdemokraterna åtgärdat de aktuella bristerna och har inga synpunkter i denna del. Behandlingshistorik Av Datainspektionens allmänna råd för säkerhet vid behandling av personuppgifter framgår att en behandlingshistorik normalt bör vara så detaljerad att den kan användas för att utreda felaktig eller obehörig användning av personuppgifter. När ett politiskt parti behandlar uppgifter om medlemmar i ett medlemsregister måste det vara möjligt att utreda vem som haft åtkomst till vilka personuppgifter i medlemsregistret och när. Vidare ska det gå att utreda vem som ändrat eller raderat personuppgifter och när förändringen skett. En behandlingshistorik har också en förebyggande funktion, vilket förutsätter att användarna informeras om att det förs en behandlingshistorik och att den kontrolleras. Datainspektionen förutsatte i sitt tidigare beslut att Kristdemokraterna skulle se över behandlingshistoriken och inför sådana tekniska funktioner som gör det möjligt att utreda vem som haft åtkomst till vilka personuppgifter i medlemsregistret och när. Kristdemokraterna har uppgett att man byggt ett speciellt loggningsprogram som loggar när en användare ändrar viktiga personuppgifter. Programmet har även en funktion där man kan logga vilka behörigheter varje användare har i olika delar av medlemssystemet. Sedan tidigare finns en funktion som loggar mac-adress och ip-nummer på den dator som används för att göra ändringar. Datainspektionen konstaterar att Kristdemokraterna inte visat att man åtgärdat bristerna. Datainspektionen förelägger därför, med stöd av 45 första stycket personuppgiftslagen, Kristdemokraterna att införa sådana tekniska funktioner som gör det möjligt att utreda vem som haft åtkomst (läser) till vilka personuppgifter i medlemsregistret och när. Ärendet avslutas. Hur man överklagar Om ni vill överklaga beslutet skall ni skriva till Datainspektionen. Ange i skrivelsen vilket beslut som överklagas och den ändring som ni begär. Inspektionen måste ha fått ert överklagande inom tre veckor från den dag ni fick ta del av beslutet, annars kan överklagandet inte prövas. Sida 5 av 6
Datainspektionen sänder överklagandet vidare till Förvaltningsrätten i Stockholm för prövning om inspektionen inte själv ändrar beslutet på det sätt ni har begärt. Gunilla Öberg I handläggningen av detta ärende har även IT-säkerhetsspecialisten Adolf Slama deltagit. Kopia till: Sida 6 av 6