Tillsyn enligt datalagen (1973:289)

Relevanta dokument
Tillsyn enligt personuppgiftslagen (1998:204) Polismyndighetens behandling av personuppgifter i belastningsregistret och misstankeregistret

Svensk författningssamling

Polismyndighetens nya allmänna spaningsregister

Beslut efter tillsyn enligt personuppgiftslagen (1998:204)

Tillsyn enligt polisdatalagen (2010:361) och personuppgiftslagen (1998:204) av Polismyndighetens personuppgiftsbehandling i fingeravtrycksregistret

Personuppgiftsansvar för behandling av personuppgifter i det centrala kriminalunderrättelseregistret, KUR

Tillsyn enligt personuppgiftslagen (1998:204) användning av s.k. elektroniska nycklar hos ett bostadsbolag

Tillsyn enligt personuppgiftslagen (1998:204) Utökat elektroniskt informationsutbyte

Uppföljning av tidigare granskning avseende Rikspolisstyrelsens behandling av personuppgifter i penningtvättsregistret

Tillsyn enligt inkassolagen (1974:182) användande av konkursinstitutet

Regeringens proposition 2008/09:15

Svensk författningssamling

Beslut efter tillsyn enligt personuppgiftslagen (1998:204) av Stensjö Fastigheter

Förlängd övergångstid för tillämpning av vissa bestämmelser i polisdatalagen

Polismyndigheten i Uppsala län Box UPPSALA. Datainspektionen meddelar följande BESLUT

Tillsyn enligt personuppgiftslagen (1998:204) mot IOGT-NTO behandling av uppgifter i medlemsregister

Beslut efter tillsyn enligt patientdatalagen (2008:355) rutiner för registrering i Senior Alert.

Svensk författningssamling

Uppföljning av Polismyndighetens behandling av personuppgifter i signalementsregistret avseende gallring av och tillgången till uppgifter

Beslut efter tillsyn enligt personuppgiftslagen (1998:204)

Tillsyn av behandlingen av personuppgifter i allmänhetens terminal m.m.

Beslut efter tillsyn enligt personuppgiftslagen (1998:204) av Fitness24Seven

Tillsyn enligt inkassolagen (1974:182) indrivning mot omyndiga

Tillsyn enligt personuppgiftslagen

Polismyndighetens behandling av personuppgifter i signalementsregistret

Svensk författningssamling

Beslut efter tillsyn enligt patientdatalagen (2008:355) rutiner för registrering i Senior Alert.

Beslut efter tillsyn enligt personuppgiftslagen (1998:204) registrering av icke kyrkotillhöriga barn

Promemorian Vissa frågor om vapenlagen (Ds 2010:6)

Beslut efter tillsyn enligt personuppgiftslagen (1998:204)

Polismyndighetens behandling av personuppgifter i underrättelseverksamheten

Ansökan om undantag från förbudet i 21 personuppgiftslagen

Ansökan om undantag från förbudet i 21 personuppgiftslagen (1998:204)

Tillsyn enligt personuppgiftslagen (1998:204); behandling av personuppgifter för kontroll av anställda

Undantag från förbudet i 21 personuppgiftslagen (1998:204)

Beslut efter tillsyn enligt personuppgiftslagen (1998:204) PuL

Regeringens proposition 1997/98:97

Ansökan om undantag från förbudet i 21 personuppgiftslagen (1998:204)

Ansökan om undantag från förbudet i 21 personuppgiftslagen (1998:204)

Tillsyn - äldreomsorg

Beslut efter tillsyn enligt inkassolagen (1974:182) indrivning mot omyndiga

Tillsyn patienternas rätt till spärr enligt 4 kap. 4 och 6 kap. 2 patientdatalagen

Beslut efter tillsyn enligt inkassolagen (1974:182) indrivning mot omyndiga

Beslut efter tillsyn enligt personuppgiftslagen (1998:204)

Nämnden bedömer att den granskade personuppgiftsbehandlingen är förenlig med PDL:s bestämmelser.

Polismyndighetens behandling av personuppgifter i utredningsverksamheten

Polisens tillgång till signalspaning i försvarsunderrättelseverksamhet (Ds 2011:44)

Beslut efter tillsyn enligt personuppgiftslagen (1998:204)

Beslut efter tillsyn enligt personuppgiftslagen (1998:204)

Tillsyn enligt personuppgiftslagen (1998:204) hantering av personnummer i samband med prisförfrågan

Beslut efter tillsyn enligt personuppgiftslagen (1998:204)

Betänkandet Skyddet för den personliga integriteten Bedömningar och förslag (SOU 2008:3)

Personuppgiftsombudet Eva-Karin Jonsson Dept: STOPX Scandinavian Airlines System STOCKHOLM. Samråd enligt personuppgiftslagen (1998:204)

Tillsyn mot Wihlborgs Fastigheter AB avseende användning av positioneringssystemet ABAX

Tillsyn patienternas rätt till spärr enligt 4 kap. 4 och 6 kap. 2 patientdatalagen

Tillsyn av behandlingen av personuppgifter i allmänhetens terminal m.m.

Remissyttrande över departementspromemorian Behandling av personuppgifter i polisens brottsbekämpande verksamhet (Ds 2007:43)

Tillsyn enligt personuppgiftslagen (1998:204) kontroll av anställda

Tillsyn enligt inkassolagen (1974:182) indrivning mot omyndiga

Dåvarande Rikspolisstyrelsens register över spaningsfilmer.

Tillsyn patienternas rätt till spärr enligt 4 kap. 4 och 6 kap. 2 patientdatalagen

Polismyndighetens behandling av personuppgifter i mappstrukturer vid region Öst

Ansökan om undantag från förbudet i 21 personuppgiftslagen (1998:204)

Tillsyn enligt personuppgiftslagen (1998:204) Intern åtkomst till personuppgifter hos Försäkringskassan

Tillsyn enligt personuppgiftslagen (1998:204) registrering av kunduppgifter samt klagomåls- och reklamationshantering

Tillsyn patienternas rätt till spärr enligt 4 kap. 4 och 6 kap. 2 patientdatalagen

Tillsynsbeslut; omdömen om elever

Tillsyn enligt personuppgiftslagen (1998:204) inspelning av telefonsamtal i kundtjänst

SOU 2014:67 Inbyggd integritet inom Inspektionen för socialförsäkringen

Tillsyn enligt personuppgiftslagen (1998:204) behandling av personuppgifter om personer som hämtar ut postpaket

Beslut efter tillsyn enligt personuppgiftslagen (1998:204) av Brf Kvarnberget

Beslut efter tillsyn enligt personuppgiftslagen (1998:204)

Transporter av frihetsberövade (SOU 2011:7) och Transporter av frihetsberövade en konsekvensanalys (Statskontoret, rapport 2011:28)

Lag (1998:620) om belastningsregister

Tillsyn enligt personuppgiftslagen (1998:204) uppföljning av ärende om Socialdemokraternas medlemsregister

Tillsyn patienternas rätt till spärr enligt 4 kap. 4 och 6 kap. 2 patientdatalagen

Svensk författningssamling

Tillsyn enligt personuppgiftslagen (1998:204) Utökat elektroniskt informationsutbyte

Polismyndigheternas behandling av känsliga personuppgifter

Tillsyn - äldreomsorg

Tillsyn patienternas rätt till spärr enligt 4 kap. 4 och 6 kap. 2 patientdatalagen

Tillsyn enligt personuppgiftslagen (1998:204) socialtjänstens behandling av personuppgifter om etniskt ursprung

Tillsyn enligt personuppgiftslagen (1998:204) - Sammanhållen journalföring 6 kap. patientdatalagen

Svensk författningssamling

Tillsyn enligt personuppgiftslagen (1998:204) Hantering av patientuppgifter via e-post

Föreningen kommer vidare att skriva avtal med sin systemleverantör. Leverantören kommer också att ta emot föreningens säkerhetskopior.

Tillsyn patienternas rätt till spärr enligt 4 kap. 4 och 6 kap. 2 patientdatalagen

Säkerhetspolisens behandling av känsliga personuppgifter i fristående databaser

Sida l (3) KAMMARRÄTTEN y^ ^ny r Mål nr I STOCKHOLM JJUiVL Avdelning Meddelad i Stockholm

Tillsyn enligt personuppgiftslagen (1998:204) utlämnande genom direktåtkomst

Tillsyn av personuppgiftsbehandlingen vid Polismyndigheten Dalarna

Beslut efter tillsyn enligt inkassolagen (1974:182) indrivning mot omyndiga

Utdrag ur protokoll vid sammanträde Utvidgad användning av DNA-tekniken inom brottsbekämpningen

Svensk författningssamling

Personuppgiftslagen konsekvenser för mitt företag

Tillsyn enligt personuppgiftslagen (1998:204) användning av s.k. elektroniska nycklar hos ett bostadsbolag

Behandlingen av personuppgifter i Länskriminalpolisen i Västra Götalands uppgiftssamlingar med spaningsfilmer

Svensk författningssamling

Beslut efter tillsyn enligt personuppgiftslagen (1998:204) behandling av personnummer

Svensk författningssamling

Transkript:

Datum Dnr 2007-11-19 1093-2007 Rikspolisstyrelsen Per Thollin Box 12256 102 26 STOCKHOLM Tillsyn enligt datalagen (1973:289) 1. Ni bereds möjlighet att senast den 14 december 2007 inkomma med en åtgärdsplan och därtill hörande tidplan utvisande vilka åtgärder Ni avser att vidta för att efterfölja gallringsföreskrifter meddelade av Datainspektionen med stöd av 6 och 18 datalagen (1973:289) avseende fingeravtrycksregistret (beslut den 1 december 2005 dnr 698-2005) och signalements- och känneteckensregistret (beslut den 20 juni 2006 dnr 1939-2005) 2. Nu gällande gallringsföreskrifter för signalements- och känneteckensregistret är endast giltiga till och med den 31 december 2007. Datainspektionen överväger att förlänga dessa föreskrifter med ett år. Ni bereds möjlighet att inom samma tid som ovan yttra Er över detta. Ärendets bakgrund Datainspektionen uppmärksammades under 2005 på att Rikspolisstyrelsen (RPS) inte gallrade fingeravtrycksregistret och signalements- och känneteckensregistret. Med anledning av detta inledde inspektionen tillsyn mot RPS, dnr 698-2005 och 1939-2005. I tillsynsärendena kunde det konstateras att giltiga gallringsbestämmelser saknades för dessa register sedan polisregisterkungörelsen (1969:38) upphävdes den 1 januari 2000. I samråd med RPS utarbetades gallringsbestämmelser för de båda registren. Datainspektionen meddelade gallringsföreskrifter med stöd av 6 och 18 datalagen den 1 december 2005 (fingeravtrycksregistret) och den 20 juni 2006 (signalements- och känneteckensregistret). P.g.a. signalements- och känneteckensregistrets ålderdomliga tekniska uppbyggnad meddelades på RPS begäran olika bestämmelser för de båda registren. Besluten har vunnit laga kraft. Förevarande ärende inleddes för att följa upp RPS tillämpning av de meddelade gallringsbestämmelserna. Datainspektionen har den 2 oktober 2007 genomfört en inspektion hos RPS. RPS har beretts möjlighet att yttra sig över inspektionsprotokollet och har härvid uppgett att man inte har några synpunkter på protokollet. Postadress: Box 8114, 104 20 STOCKHOLM E-post: datainspektionen@datainspektionen.se Besöksadress: Fleminggatan 14, plan 9 Telefon: 08-657 61 00 Webbplats: www.datainspektionen.se Telefax: 08-652 86 52

2 (11) Tillämplig lag Fingeravtrycksregistret och signalements- och känneteckensregistret förs av RPS med stöd av tillstånd meddelat av Datainspektionen den 23 december 1974 (dnr 13066-74 respektive 13067-74). Enligt punkten 2 i övergångsbestämmelserna till polisdatalagen (1998:622) gäller för de personregister, som den 24 oktober 1998 fördes med Datainspektionens tillstånd, bestämmelserna i datalagen (1973:289) till och med den 31 december 2007. Datalagen är således tillämplig beträffande fingeravtrycksregistret och signalements- och känneteckensregistret. Överväganden Datainspektionen konstaterar att de av inspektionen meddelade gallringsföreskrifterna inte följs av RPS och att RPS inte heller har vidtagit några åtgärder för att efterleva dessa, detta trots att det har förflutit nästan två år sedan de meddelades. Av den genomförda inspektionen framgår att denna underlåtenhet inte är orsakad av tekniska problem utan att det handlar om interna prioriteringar hos RPS. Av utredningen i ärendet framgår att den nationella fingeravtrycksavdelningen vid RPS, som ansvarar för driften av de båda här aktuella registren, inte vidtagit några åtgärder i anledning av gallringsföreskrifterna avseende fingeravtrycksregistret. Vidare framgår att den nationella fingeravtrycksavdelningen har ansökt om interna medel för arbetet med att möjliggöra gallring enligt punkterna 1-3 i gallringsbestämmelserna för signalements- och känneteckensregistret. Några medel har dock inte tilldelats detta arbete. Nationella fingeravtrycksavdelningen har även beställt en förändring av RAR för att kunna efterleva punkten 5 i dessa gallringsbestämmelser. Huruvida arbetet har påbörjats eller medel har tilldelats detta arbete är oklart. RPS har sålunda underlåtit att följa de meddelade gallringsföreskrifterna. De båda registren innehåller integritetskänsliga uppgifter som i inte ringa omfattning avser personer som har frikänts av domstol eller där förundersökningen lagts ned. Uppgifterna har vidare en omfattande spridning som genom den pågående utvecklingen av det internationella polissamarbetet kan förväntas öka kraftigt. I detta sammanhang är det även av intresse att gallringsbestämmelserna utarbetades i samråd med RPS. Sammantaget anser Datainspektionen att bristerna i RPS hantering av de båda registren är allvarliga. Om skydd mot otillbörligt intrång i den personliga integriteten inte kan åstadkommas på annat sätt kan Datainspektionen enligt 18 2 st. datalagen ytterst återkalla tillstånd att föra personregister. Till följd av den stora betydelse som här aktuella register har för brottsbekämpningen bör dock RPS i första hand ges tillfälle att åtgärda de konstaterade bristerna avseende gallring. Datainspektionen ger därför RPS möjlighet att till Datainspektionen redovisar en åtgärdsplan för hur styrelsen snarast skall kunna tillämpa gällande gallringsbestämmelser.

3 (11) Avslutningsvis vill Datainspektionen erinra om att den som enligt 20 p. 2 datalagen uppsåtligen eller av oaktsamhet bryter mot föreskrifter som meddelats enligt 6 och 18 datalagen döms till böter eller fängelse i högst ett år. Göran Gräslund Jens Västberg Bilagor: 1. Beslut om gallringsföreskrifter för fingeravtrycksregistret, dnr 698-2005 2. Beslut om gallringsföreskrifter för signalements- och känneteckensregistret, dnr. 1939-2005 Kopia till: 1. Rikspolischefen Stefan Strömberg, Box 122 56, 102 26 STOCKHOLM 2. Personuppgiftsombudet Mats-Ove Edvinsson, Box 122 56, 102 26 STOCK- HOLM 3. Justitiedepartementet, Annika Waller, 103 33 STOCKHOLM

4 (11) Bilaga 1 Beslut Dnr 2005-12-01 698-2005 Ert Dnr RKP-182-1829/05 Rikspolisstyrelsen Box 12256 102 26 STOCKHOLM Beslut efter tillsyn enligt datalagen (1973:289) Datainspektionens beslut Datainspektionen konstaterar att det, vid sidan av datalagens allmänna bestämmelse, saknas formellt giltiga gallringsbestämmelser för Rikspolisstyrelsens fingeravtrycksregister. Med anledning av detta meddelar Datainspektionen följande föreskrifter avseende gallring av uppgifter i registret. Uppgifter i fingeravtrycksregistret om en misstänkt person skall gallras när förundersökning eller åtal mot personen läggs ned eller när åtal ogillas. Uppgifterna får dock bevaras längre om andra uppgifter om den registrerade skall behandlas med stöd av 10 eller 11 polisdatalagen (1998:622). När dessa uppgifter gallras skall även uppgifter i fingeravtrycksregistret gallras. Om den registrerade döms skall uppgifterna i registret gallras senast vid den tidpunkt då uppgifterna gallras ur belastningsregistret enligt lagen (1998:620) om belastningsregister. Med detta beslut avslutas ärendet. Datainspektionen kommer att följa upp gallringen i fingeravtrycksregistret med en inspektion hos Rikspolisstyrelsen under 2006. Redogörelse för tillsynsärendet Datainspektionen har uppmärksammat flera artiklar i massmedia enligt vilka mellan 15 000 och 20 000 personer finns kvar i polisens fingeravtrycksregister trots att de skulle ha gallrats. Med anledning av detta har Datainspektionen inlett tillsyn mot Rikspolisstyrelsen, som yttrat sig.

5 (11) Rikspolisstyrelsens yttranden Rikspolisstyrelsen har i sitt första yttrande uppgett i huvudsak följande. Polisdatalagen trädde i kraft den 1 april 1999. I lagen finns bestämmelser (31 ) om gallring av uppgifter i fingeravtrycksregistret. Enligt polisdatalagens övergångsbestämmelser gäller bestämmelserna i datalagen (1973:289) till och med den 31 december 2005 för de personregister som den 24 oktober 1998 fördes med Datainspektionens tillstånd. För ett sådant register skall dock 6-8 i polisdatalagen gälla från ikraftträdandet. Eftersom fingeravtrycksregistret den 24 oktober 1998 fördes med Datainspektionens tillstånd ska polisdatalagens bestämmelser om gallring inte börja tillämpas på registret förrän den 1 januari 2006. Hänvisningen till datalagen innebär att registret även fortsättningsvis regleras av Datainspektionens tillstånd och att registret således skall föras i enlighet med datalagen och de föreskrifter som Datainspektionen meddelat. I Datainspektionens tillstånd finns inga föreskrifter om gallring. I tillståndet konstaterar Datainspektionen att registret utgör ett så kallat polisregister och att gallringsbestämmelser för denna typ av register ges i 14 polisregisterkungörelsen (1969:38). Den kungörelsen upphävdes dock den 1 januari 2000. Enligt Rikspolisstyrelsen saknas således formellt giltiga bestämmelser om gallring av uppgifter i fingeravtrycksregistret, sannolikt till följd av ett lagtekniskt förbiseende. Rikspolisstyrelsen har i den komplicerade rättsliga situation som föreligger så långt möjligt tillämpat de upphävda bestämmelserna i 14 polisregisterkungörelsen. Detta innebär att rutinmässig gallring idag endast sker när en registrerad har avlidit eller när det förflutit 80 år från den registrerades födelseår. Övrig gallring sker manuellt när uppgifter motsvarande gallringskriterierna i bestämmelsen kommer in till registeradministrationen. Det vanligaste är att sådana uppgifter inkommer genom att den registrerade själv påtalar dessa. Rikspolisstyrelsen har inte lyckats finna någon teknisk lösning för kommunikation mellan å ena sidan belastningsregistret och misstankeregistret, å andra sidan fingeravtrycksregistret. Registrens tekniska beskaffenhet har därmed hindrat Rikspolisstyrelsen från att införa en automatiserad rutin för gallring. Den gallring som sker idag motsvarar inte vad som kommer att gälla när gallringsbestämmelserna i polisdatalagen träder i kraft. Rikspolisstyrelsen har under hösten 2004 gjort en framställning till regeringen om ändring av bestämmelserna om gallring av uppgifter i fingeravtrycks- och signalementsregistren. Ett nytt moderniserat fingeravtrycksregister planeras att bli infört sommaren 2005. Det nya registret kommer att vara förberett för att uppfylla kommande gallringsbestämmelser, oavsett om de kommer att vara i enlighet med verksamhets- och effektivitetskrav eller kommer att kräva samkörningar och rapporteringsrutiner med andra register/system. Datainspektionen har, som en del av handläggningen av ärendet, berett Rikspolisstyrelsen möjlighet att yttra sig över ett förslag till gallringsföreskrifter. Förslaget utgår från den upphävda bestämmelsen i 14 polisregisterkungörelsen. Rikspolisstyrelsen har i denna del anfört följande. Det

6 (11) nya fingeravtrycksregistret kommer att driftsättas under oktober 2005. Det nya systemet skiljer sig på väsentliga punkter från det gamla, bland annat överförs fingeravtrycken på elektronisk väg genom en bildfil från polismyndigheterna till Rikspolisstyrelsen. Enligt Rikspolisstyrelsen införs därför det nya systemet med stöd av personuppgiftslagen och polisdatalagen och regleras av gallringsbestämmelserna i 31 polisdatalagen. Gallring enligt den bestämmelsen förutsätter att information kan erhållas från belastnings- och misstankeregistret som förs av Rikspolisstyrelsen. Ett arbete pågår för att skapa rutiner som möjliggör att nödvändiga uppgifter från dessa register kan föras över till fingeravtryckssystemet. Detta system är byggt så att uppgifterna kan tas emot. Eftersom det nya fingeravtryckssystemet regleras av bestämmelserna i personuppgiftslagen och polisdatalagen saknas, enligt Rikspolisstyrelsen, förutsättningar att meddela föreskrifter för det nya systemet med stöd av datalagen. Rikspolisstyrelsen finner inte heller att de föreslagna bestämmelserna är vare sig ändamålsenliga eller lämpliga för det nya fingeravtryckssystemet. Skäl för beslutet Datainspektionen meddelade år 1976 tillstånd för Rikspolisstyrelsen att föra fingeravtrycksregistret (dnr 13066-74). I beslutet meddelades inga föreskrifter om gallring, istället hänvisades till 14 polisregisterkungörelsen. Några föreskrifter om gallring har inte heller meddelats senare. Efter det att polisregisterkungörelsen upphävts saknas, utöver den generella gallringsbestämmelsen i 12 datalagen, formellt giltiga bestämmelser om gallring av uppgifter i fingeravtrycksregistret. Undantaget i övergångsbestämmelserna till polisdatalagen gällde ursprungligen till och med den 30 september 2001 men har förlängts två gånger, senast till den 31 december 2005. Bakgrunden till förlängningarna har varit eventuella lagändringar som Polisdatautredningens arbete kan resultera i. Det föreligger nu ett förslag att ytterligare förlänga undantaget till den 31 december 2007 (prop. 2005/06:29, s. 8). Rikspolisstyrelsen anser att det nya fingeravtryckssystemet kommer att innebära att registret regleras av bestämmelserna i personuppgiftslagen och polisdatalagen. Ett personregister är, enligt 1 datalagen, ett register, förteckning eller andra anteckningar som förs med hjälp av automatisk databehandling och som innehåller personuppgift som kan hänföras till den som avses med uppgiften. Personregisterbegreppet tar, som Datainspektionen uppfattar saken, i första hand sikte på uppgiftssamlingen, inte på tekniska frågor som med vilken teknik uppgifterna överförs till registret. Vad Rikspolisstyrelsen anfört beträffande byte av system innebär därför inte att de uppgifter som kommer att finnas i det nya systemet utgör ett annat personregister än det som den 24 oktober 1998 fördes med Datainspektionens tillstånd. Enligt Datainspektionens mening ska fingeravtrycksregistret således, även efter systembytet, föras med stöd av tillståndet från år 1976. Det förhållandet att fingeravtrycksregistret ska föras med stöd av Datainspektionens tillstånd innebär att datalagen fortfarande gäller beträffande registret. Därmed gäller alla bestämmelser i datalagen för registret (jfr prop.

7 (11) 2000/01:91, s. 9 och prop. 2002/03:144, s. 12). Datainspektionen kan således med stöd av datalagen meddela föreskrifter för registret om bevarande och gallring av personuppgifter. Med anledning av att det saknas särskilda gallringsbestämmelser för fingeravtrycksregistret finner Datainspektionen skäl att meddela sådana föreskrifter. Angående innehållet i gallringsbestämmelserna har Datainspektionen, i det regleringsmässiga tomrum som uppstått, övervägt två möjliga utgångspunkter för föreskrifterna. Föreskrifterna kan antingen ha den tidigare gällande bestämmelserna i 14 polisregisterkungörelsen som utgångspunkt eller den ännu inte ikraftträdda bestämmelserna i 31 polisdatalagen. Datainspektionen har noterat Rikspolisstyrelsens uppfattning att bestämmelserna i polisregisterkungörelsen vare sig är ändamålsenliga eller lämpliga att införa. Mot bakgrund av detta samt att bestämmelserna i polisdatalagen tar nödvändig hänsyn till den enskildes integritet meddelar Datainspektionen föreskrifter med utgångspunkt från dessa. Hur man överklagar Om ni vill överklaga beslutet ska ni skriva till Datainspektionen. Ange i skrivelsen vilket beslut som överklagas och den ändring som ni begär. Överklagandet ska ha kommit in till Datainspektionen senast tre veckor från den dag ni fick del av beslutet för att kunna prövas. Datainspektionen sänder överklagandet vidare till regeringen för prövning om inspektionen inte själv ändrar beslutet på det sätt ni har begärt. Även Justitiekanslern får överklaga beslutet för att ta tillvara allmänna intressen. Tiden för överklagandet för Justitiekanslern räknas från den dag denne fick del av beslutet. Detta beslut har fattats av generaldirektören Göran Gräslund i närvaro av chefsjuristen Leif Lindgren, tillsynsdirektören Britt-Marie Wester samt byrådirektörerna Ulrika Nilsson och David Säfwe, föredragande. Göran Gräslund David Säfwe Kopia till: 1. Justitiekanslern 2. Riksarkivet (för kännedom) 3. Anders Fällgren, Rikskriminalpolisen, Box 12256, 102 26 STOCKHOLM 4. Personuppgiftsombudet Matts Dahlberg, Rikspolisstyrelsen, Box 12256, 102 26 STOCKHOLM

8 (11) Bilaga 2 Beslut Dnr 2006-06-20 1939-2005 Ert Dnr USE 182 473-6263/05 Rikspolisstyrelsen Box 12256 102 26 STOCKHOLM Beslut efter tillsyn enligt datalagen (1973:289) Datainspektionens beslut Datainspektionen konstaterar att det, vid sidan av datalagens allmänna bestämmelse, saknas formellt giltiga gallringsbestämmelser för Rikspolisstyrelsens signalements- och känneteckensregister. Med anledning av detta meddelar Datainspektionen följande föreskrifter avseende gallring av uppgifter i registret; Uppgifter om en person i signalements- och känneteckensregistret ska gallras senast, 1. när registrering skett på grund av misstanke om brott för vilket det inte föreskrivs strängare straff än två års fängelse, tio år efter den dag registreringen skett, 2. när registrering skett på grund av misstanke om brott för vilket det föreskrivs strängare straff än två års fängelse men inte strängare straff än åtta års fängelse, femton år efter den dag registreringen skett, 3. när registrering skett på grund av misstanke om brott för vilket det föreskrivs strängare straff än åtta års fängelse, tjugofem år efter den dag registreringen skett, 4. när åtal ogillats genom dom, som vunnit laga kraft, och den registrerade personen därefter skriftligen begärt att hans uppgifter ska gallras, en månad efter den dag en sådan begäran inkom till Rikspolisstyrelsen, 5. när förundersökning lagts ner med beslutsmotiveringen gärningen ej brott eller misstänkt oskyldig, en månad efter den dag förundersökningen lades ner, 6. åttio år efter den registrerade personens födelseår, eller 7. då den registrerade personen har avlidit. Om det före utgången av den tid som anges i punkt 1, 2, 3 eller 4 har gjorts anteckning om misstanke om något nytt brott behöver ingen av uppgifterna beträffande personen gallras förrän den senaste av dessa gallringstidpunkter inträder.

9 (11) Beslutet gäller till och med den 31 december 2007. Med detta beslut avslutas ärendet. Datainspektionen kommer att följa upp gallringen i signalements- och känneteckensregistret med en inspektion hos Rikspolisstyrelsen under hösten 2006. Redogörelse för tillsynsärendet Datainspektionen inledde i december 2005 tillsyn enligt datalagen mot Rikspolisstyrelsen angående gallring i polisens signalements- och känneteckensregister. Rikspolisstyrelsen har inkommit med yttranden i ärendet. Rikspolisstyrelsens yttranden Rikspolisstyrelsen har i sitt första yttrande uppgett i huvudsak följande. Signalements- och känneteckensregistret förs med stöd av Datainspektionens tillståndsbeslut från 1976. Tillståndet innehåller inte några föreskrifter om gallring men Datainspektionen konstaterar att registret utgör ett s.k. polisregister och att gallringsbestämmelser för denna typ av register ges i 14 polisregisterkungörelsen (1969:38). Polisregisterkungörelsen upphävdes den 1 januari 2000. Den 1 april 1999 trädde polisdatalagen (1998:662) i kraft. I polisdatalagens övergångsbestämmelser anges att för de personregister som den 24 oktober 1998 fördes med Datainspektionens tillstånd gäller bestämmelserna i datalagen. Tiden för övergångsbestämmelserna har förlängts och gäller till och med den 31 december 2007. Då formellt giltiga bestämmelser om gallring i signalements- och känneteckensregistret saknas, har Rikspolisstyrelsen valt att så långt det är möjligt tillämpa den upphävda bestämmelsen i 14 polisregisterkungörelsen. Registret gallras idag manuellt när en registrerad har avlidit. Därutöver sker årliga gallringskörningar då personer över 80 år samt registreringar där inga nya brott tillförts de senaste 20 åren gallras. Vissa grövre brott, t.ex. mord och våldtäkt, är undantagna från denna gallring. Nästa gallring är planerad till andra kvartalet 2006 och då kommer dokument innehållande brott som inte är grova, t.ex. stöld och skadegörelse, och där inget nytt brott tillförts de senaste 10 åren, att gallras. I övrigt genomförs manuella gallringar t.ex. efter prövning på framställan från en enskild person. Rikspolisstyrelsen har inte lyckats finna någon teknisk lösning för kommunikation mellan å ena sidan belastningsregistret, och å den andra sidan signalements- och känneteckensregistret. Det är därmed inte möjligt att automatiskt gallra uppgifter i signalements- och känneteckensregistret när uppgifterna gallras i belastningsregistret. Det nuvarande signalements- och känneteckensregistret är detsamma som det ursprungliga systemet från 1970-talet. Någon teknisk revidering eller förnyelse har inte genomförts. Det innebär svårigheter att införa nya regler och rutiner utan att registerkvaliteten försämras. Konsekvenserna av förändringar i så gamla system är svåra att överblicka och förutse. Polisdatalagen innehåller bestämmelser om gallring av signalements- och känneteckensregistret. Dessa bestämmelser är emellertid inte ändamålsenliga

10 (11) för polisens brottsspanings- och identifieringsverksamhet. Rikspolisstyrelsen har därför den 25 oktober 2004 gjort en framställning till regeringen om ändring av reglerna för gallring av uppgifter i fingeravtrycks- och signalementsregistren. Av framställningen framgår bl.a. att reglerna för närvarande är så utformade att registren inte på ett nöjaktigt sätt kan tillgodose polisens behov av identifieringsuppgifter i den brottsutredande verksamheten. Det hänger i allt väsentligt samman med att reglerna är kopplade till gallringsregler för andra register som förs för andra ändamål. Enligt Datainspektionens tillståndsbeslut är ändamålet för signalements- och känneteckensregistret följande; Registret används som hjälpmedel i brottsspaningssammanhang främst för identifiering av okända personer efter av målsägare och vittnen gjorda beskrivningar. Rikspolisstyrelsen gör den bedömningen att om registret skulle gallras enligt bestämmelserna i polisdatalagen skulle registret inte kunna användas fullt ut för det ändamål för vilket det infördes. I avvaktan på ny polisdatalag föreslår Rikspolisstyrelsen att uppgifter i signalements- och känneteckensregistret gallras då den registrerade personen avlidit, då den registrerade personen fyllt 80 år och när uppgiften avser brott som inte är grova, t.ex. skadegörelse och stöld, efter tio år om ingen anteckning om nya brott påförts under perioden. Datainspektionen har, som en del av handläggningen av ärendet, berett Rikspolisstyrelsen möjlighet att yttra sig över ett förslag till gallringsföreskrifter. Förslaget utgår från Rikspolisstyrelsens eget förslag till gallring. Rikspolisstyrelsen finner de föreslagna gallringsbestämmelserna lämpliga och möjliga att genomföra med undantag för att tidpunkten för gallring av tekniska skäl endast kan räknas från registreringsdatum. Skäl för beslutet Datainspektionen meddelade år 1976 tillstånd för Rikspolisstyrelsen att föra signalements- och känneteckensregistret (dnr 13067-74). I beslutet meddelades inga föreskrifter om gallring, istället hänvisades till 14 polisregisterkungörelsen. Några föreskrifter om gallring har inte heller meddelats senare. Efter det att polisregisterkungörelsen upphävts saknas, utöver den generella gallringsbestämmelsen i 12 datalagen, formellt giltiga bestämmelser om gallring av uppgifter i signalements- och känneteckensregistret. Undantaget i övergångsbestämmelserna till polisdatalagen gällde ursprungligen till och med den 30 september 2001 men har förlängts tre gånger, senast till den 31 december 2007. Bakgrunden till förlängningarna har varit eventuella lagändringar som Polisdatautredningens arbete kan resultera i. Det förhållandet att signalements- och känneteckensregistret förs med stöd av Datainspektionens tillstånd innebär att datalagen fortfarande gäller beträffande registret. Därmed gäller alla bestämmelser i datalagen för registret (jfr prop. 2000/01:91, s. 9 och prop. 2002/03:144, s. 12). Datainspektionen kan således med stöd av datalagen meddela föreskrifter för registret om bevarande och gallring av personuppgifter. Med anledning av att det saknas särskilda gallringsbestämmelser för signalements- och känneteckensregistret finner Datainspektionen skäl att meddela sådana föreskrifter.

11 (11) Personuppgifter i polisens register är mycket integritetskänsliga. Det är därför av stor vikt att uppgifter som inte längre behövs för sitt ändamål gallras. Att meddela föreskrifter om gallring av signalements- och känneteckensregistret med utgångspunkt i bestämmelserna i den tidigare gällande 14 polisregisterkungörelsen eller i den inte ännu ikraftträdda 31 polisdatalagen är på grund av registrets tekniska beskaffenhet inte lämpligt. Det av Datainspektionen utarbetade förslaget till gallringsföreskrifter har däremot av Rikspolisstyrelsen bedömts vara möjligt att genomföra. Datainspektionen anser inte att dessa gallringsföreskrifter är helt tillfredsställande ur ett integritetsperspektiv. Med hänsyn till de tekniska begränsningar som finns i systemet och att bestämmelserna endast kommer att gälla under en övergångsperiod, fram till att lagstiftaren anger vilka gallringsrutiner som ska gälla för registret, är detta emellertid en godtagbar lösning. Hur man överklagar Om ni vill överklaga beslutet ska ni skriva till Datainspektionen. Ange i skrivelsen vilket beslut som överklagas och den ändring som ni begär. Överklagandet ska ha kommit in till Datainspektionen senast tre veckor från den dag ni fick del av beslutet för att kunna prövas. Datainspektionen sänder överklagandet vidare till regeringen för prövning om inspektionen inte själv ändrar beslutet på det sätt ni har begärt. Även Justitiekanslern får överklaga beslutet för att ta tillvara allmänna intressen. Tiden för överklagandet för Justitiekanslern räknas från den dag denne fick del av beslutet. Detta beslut har fattats av generaldirektören Göran Gräslund i närvaro av tillsynsdirektören Britt-Marie Wester samt byrådirektören Ulrika Nilsson, föredragande. Göran Gräslund Ulrika Nilsson Kopia till: 5. Justitiekanslern 6. Riksarkivet (för kännedom) 7. Catharina Kihlefelt Bondesson, Justitiedepartementet, 103 33 STOCKHOLM 8. Anders Fällgren, Rikskriminalpolisen, Box 12256, 102 26 STOCKHOLM 9. Personuppgiftsombudet Matts Dahlberg, Rikspolisstyrelsen, Box 12256, 102 26 STOCKHOLM

2024 © DocPlayer.se Sekretesspolicy | Användarvillkor | Kontakta oss