Datainspektionens årsredovisning 2001

Datainspektionens årsredovisning 2001

Innehåll Året som gått 4 Omvärlden 6 Lagar 7 Verksamhetens mål 9 Organisation 10 Verksamhetsgren 1 Tillsyn över behandlingen av personuppgifter 11 Verksamhetsgren 2 Tillsyn och tillståndsgivning inom kreditupplysnings- och inkassoverksamheten 18 Verksamhetsgren 3 Tillsyn över personregister inom polis- och tullsamarbetet 22 Regelgivning 25 Information 26 Internationellt 28 Kvalitet och effektivitet 29 Jämställdhet, kompetensutveckling och etnisk mångfald 30 Styrelsen 31 Förvaltningsberättelse 32 Resultaträkning 34 Balansräkning 35 Anslagsredovisning 36 Finansieringsanalys 37 Likvida medel 38 Noter 39 Nyckeltal 41 Väsentliga uppgifter 42 2

Datainspektionen är en central förvaltningsmyndighet som har till uppgift att skydda människors privatliv i IT-samhället. Skyddet skall tillgodoses utan att användningen av ny teknik onödigt hindras eller försvåras. Datainspektionen övervakar att god sed iakttas i kreditupplysnings- och inkassoverksamhet. Datainspektionen hjälper enskilda personer som råkat ut för integritetskränkningar, följer upp klagomål och gör inspektioner. Datainspektionen utfärdar föreskrifter och allmänna råd och ger synpunkter på utredningar och lagförslag. Stor vikt läggs vid förebyggande arbete, främst information och regelgivning. Råd och hjälp åt personuppgiftsombud prioriteras. Datainspektionen följer och beskriver utvecklingen på IT-området när det gäller frågor som rör integritet och ny teknik. 3

Året som gått Nu är vi på Datainspektionen äntligen enkelspåriga. Det är inte så illa som det låter. Så här ligger det till. Fram t.o.m. utgången av september månad 2001 gällde både datalagen och den nya personuppgiftslagen (PuL). Vi var alltså tvungna att samtidigt tillämpa båda lagarna dvs. köra dubbelspårigt. Det besvärliga merarbete som detta medförde upphörde den 1 oktober Dagen PuL. I stort sett har PuL-anpassningen gått bra. På ett tidigt stadium lade vi ned stora resurser på att informera alla berörda. Vi hade stor hjälp av många personuppgiftsansvariga särskilt stora myndigheter, organisationer och företag som vidarebefordrade vårt budskap anpassat till de speciella områden som de verkar inom. Datainspektionen är alltså stort tack skyldig alla dessa seriösa och effektiva personuppgiftsansvariga. Det skall i sammanhanget särskilt framhållas att vår information i största möjliga utsträckning kanaliseras via personuppgiftsombuden. För den enskilde ansvarsmedvetna medborgaren innebär inte den nya lagstiftningen i realiteten så många nyheter. För den som håller sig till den enkla regeln att behandla personuppgifter om andra på samma sätt som han skulle vilja att andra behandlar personuppgifter om honom själv är det inga större problem (jfr Bergspredikan). När det gäller litet mer speciella lagtolkningsproblem kan man dock kanske inte alltid göra det så lätt för sig. Ett särskilt problem har varit vilka uppgifter man kan publicera via öppna nät i första hand Internet. Nu börjar en domstolspraxis att sakta men säkert växa fram till stöd för tillämpning av PuL. Jag tänker främst på det s.k. Ramsbromålet, som avgjordes av Högsta domstolen (HD) i juni 2001. I domen gör HD en analys av begreppet uteslutande för journalistiska ändamål. Enligt HD får det antas att undantaget 4

för journalistiska ändamål i PuL är ett uttryck för en avvägning mellan intresset av skydd för privatlivet och intresset för yttrandefrihet som dock inte har skett för att privilegiera massmedier eller personer som är yrkesverksamma inom sådan medier. Domen har visat sig ha stor praktisk betydelse för vad som får skrivas på Internet. Man måste dock konstatera att den i vissa avseenden också har medfört ett något minskat integritetsskydd. Men så är det i ett öppet samhälle. Med PuL följde att Datainspektionen övergick från att vara en tillståndsmyndighet till att i första hand bli en tillsyns- och rådgivande myndighet. Datainspektionen gör numera således mer skäl för sitt namn genom att tyngdpunkten på inspektionens arbete har kommit att ligga på just inspektionsverksamheten. Fastän PuLanpassningen har krävt stora resurser vad gäller den rådgivande sidan, har ett stort antal inspektionsbesök kunnat göras under verksamhetsåret. Det är viktigt att Datainspektionen syns ute i samhällets olika verksamhetsgrenar. Den som bara läser tidningar kan annars lätt förledas tro att inspektionen endast sysslar med mer eller mindre konstiga Internetfrågor, när i praktiken den huvudsakliga verksamheten gäller att skydda den enskildes personuppgifter i betydligt viktigare sammanhang. Datainspektionens internationella verksamhet fortsätter att öka i omfattning. Det medför ökade krav på inspektionens personal men upplevs som stimulerande. De internationella kontakterna vidgar vyerna och är till nytta också för vår nationella verksamhet. Många vill ändra PuL så att lagen inriktas på missbruk av personuppgifter i stället för att detaljreglera hanteringen. Men om PuL ska kunna ändras måste först dataskyddsdirektivet ändras. Nu har regeringen aktualiserat frågan i Bryssel. Under tiden försöker vi så långt som möjligt tillämpa PuL efter en missbruksprincip. Slutligen vill jag nämna att Utredningen om Datainspektionens framtida verksamhet nu har lagt fram sitt betänkande. Utredningen har noggrant gått igenom Datainspektionens verksamhet men kan inte sägas föreslå några mera genomgripande ändringar. En särskild fråga som utredningen har haft att ta ställning till är om tillsynen av inkasso- och kreditupplysningsverksamheterna skall flyttas över till någon annan myndighet. Det skall bli intressant att se hur remissinstanserna och i sista hand regering och riksdag bedömer denna fråga. Någon avgörande fråga för Datainspektionens framtida verksamhet i stort är det dock inte. Ulf Widebäck Generaldirektör 5

Omvärlden Dataskyddsdirektivet Genom personuppgiftslagen (PuL) införlivades EG:s dataskyddsdirektiv 1 med svensk lagstiftning. Direktivet anger vilket skydd som skall finnas för enskilda vid behandling av personuppgifter. Tanken är att personuppgifter skall kunna flöda fritt inom EU till gagn för den inre marknaden. Direktivet är detaljerat och ger inte något större utrymme för de enskilda staterna att välja egna lösningar i lagstiftningen. Alla EU-stater har ännu inte genomfört direktivet nationellt. Samtliga nordiska länder har dock antagit ny lagstiftning. I direktivet föreskrivs att EU-kommissionen skall avge en rapport om direktivets genomförande, eventuellt försedd med lämpliga ändringsförslag. Någon sådan rapport föreligger ännu inte. Sverige verkar för ändringar som möjliggör en lagstiftning inriktad på missbruk och inte på hanteringen av personuppgifter generellt. Nya frågor Den snabba tekniska utvecklingen innebär ständigt nya frågeställningar. På senare år har en förskjutning skett från koncentration på stora register hos främst myndigheter till Internet och de enorma möjligheter som numera finns även för enskilda att lagra och bearbeta uppgifter. Också möjligheterna att sprida information vare sig den är önskad eller ej ökar, liksom möjligheterna att kommunicera med andra. Inget talar för att utvecklingen inom informationstekniken kommer att avta. Världshändelserna under året har väckt debatt om balansen mellan integritet och brottsbekämpning. Nya utredningar Utvecklingen aktualiserar integritetsskyddsfrågorna. Regeringen har aviserat en parlamentarisk utredning med uppgift att kartlägga, analysera och utvärdera lagstiftning som berör den enskildes integritet. Under år 2001 har en särskild utredare gjort en översyn av Datainspektionens uppgifter och verksamhet mot bakgrund av den nya personuppgiftslagen och den snabba tekniska utvecklingen. Resultatet redovisas i betänkandet (2002:2) Datainspektionen Kompetens Effektivitet Service. 1 Europaparlamentets och rådets direktiv 95/46/EG av den 24 oktober 1995 om skydd för enskilda personer med avseende på behandling av personuppgifter och om det fria flödet av sådana uppgifter. 6

Lagar Datainspektionen är tillsynsmyndighet för personuppgiftslagen, datalagen, kreditupplysningslagen och inkassolagen. Personuppgiftslagen (PuL) PuL har till syfte att skydda människor mot att deras personliga integritet kränks när personuppgifter behandlas. Lagen trädde i kraft den 24 oktober 1998, och då upphörde datalagen från år 1973 att gälla. Under en övergångstid fram till den 1 oktober 2001 tillämpades dock båda lagarna. Datalagen var tillämplig för behandling av personuppgifter som påbörjats före den 24 oktober 1998 och PuL för behandlingar som påbörjats efter detta datum. Övergångstiden har nu löpt ut varför PuL är den lag som reglerar automatiserad behandling av personuppgifter oavsett när behandlingen påbörjades. PuL bygger på gemensamma regler som har beslutats inom EU, det s.k. dataskyddsdirektivet. Lagen omfattar behandling av personuppgifter som är helt eller delvis automatiserad samt även manuellt förda personregister. Rent privat behandling av personuppgifter är undantagen. Undantag gäller även med hänsyn till offentlighetsprincipen samt tryck- och yttrandefriheten. Särregler i annan lagstiftning tar också över bestämmelserna i PuL. I enlighet med vad som anges i förarbetena till PuL pågår ett arbete med att anpassa och se över befintliga registerförfattningar. Under år 2001 har ett antal nya registerförfattningar trätt i kraft. Det gäller bl.a. lagar om behandlingen av uppgifter inom skatteförvaltningen, socialtjänsten och kriminalvården. Ett antal nya förordningar med närmare föreskrifter om behandlingen av personuppgifter har också utfärdats. I PuL anges grundläggande krav på behandling av personuppgifter samt när behandling är tillåten. För behandling av känsliga uppgifter finns särskilt restriktiva bestämmelser. Lagen bygger i hög grad på samtycke från den registrerade. De restriktiva bestämmelserna i PuL om överföring av personuppgifter till länder utanför EU har modifierats med verkan från den 1 januari 2000. Vidare innehåller PuL bestämmelser om information till de registrerade, om korrigering av personuppgifter och om säkerhet vid behandling. En huvudregel är att databehandling av personuppgifter skall anmälas till Datainspektionen, där anmälningarna förs in i ett offentligt register. Omfattande undantag från anmälningsskyldigheten finns föreskrivna i lagen, personuppgiftsförordningen och föreskrifter från Datainspektionen. Undantag från anmälningsskyldigheten gäller bl.a. när ett personuppgiftsombud har utsetts och anmälts till inspektionen. Ett personuppgiftsombud har till uppgift att självständigt kontrollera den personuppgiftsansvariges behandlingar. Vissa särskilt integritetskänsliga behandlingar skall alltid anmälas till Datainspektionen för förhandskontroll. Datainspektionens huvuduppgifter enligt den nya lagstiftningen är att utöva tillsyn bl.a. genom inspektioner, att bedriva informationsverksamhet samt att ge ut föreskrifter och allmänna råd. Datainspektionen har även fått till uppgift att avge yttranden över förslag till s.k. branschöverenskommelser. PuL kompletteras av regeringens föreskrifter i personuppgiftsförordningen (1998:1191). Under året har nya bestämmelser införts i förordningen om överföring av uppgifter till tredje land med hjälp av standardavtalsklausuler och om myndigheters möjligheter att behandla känsliga uppgifter. 7

Datalagen Fram till att PuL trädde i kraft tillämpades datalagen för den som registrerade personuppgifter elektroniskt. För vissa register krävdes, utöver en licens, ett särskilt tillstånd från Datainspektionen. Övergångsbestämmelserna i PuL har medfört att Datainspektionen fram till oktober 2001 har haft att tillämpa två grundläggande dataskyddslagstiftningar parallellt. Det har inneburit en fortsatt tillståndshantering eftersom man har kunnat ansöka om ändring i de tillstånd enligt datalagen som gällt övergångsvis. Också tillsynen över datalagens tillämpning har fortsatt genom bl.a. inspektioner. Kreditupplysningslagen Kreditupplysningsföretagen samlar in uppgifter om företagens ekonomiska förhållanden och om enskilda personers ekonomiska och personliga förhållanden. Alla personer över 15 år finns registrerade hos de största kreditupplysningsföretagen. Kreditupplysningslagen, som tillkom år 1973, är främst en integritetslagstiftning, men lagen skall också bidra till en effektivt fungerande kreditupplysningsverksamhet. Kreditupplysningslagen har setts över med anledning av dataskyddsdirektivet och vissa av lagens bestämmelser har ändrats under 2001. Den som bedriver kreditupplysningsverksamhet behöver normalt tillstånd från Datainspektionen. Tillstånd får meddelas endast om verksamheten kan antas bli bedriven på ett sakkunnigt och omdömesgillt sätt. Genom bl.a. inspektioner kontrollerar Datainspektionen hur kreditupplysningslagen efterlevs. Inkassolagen Den som skall driva in fordringar för någon annans räkning, eller fordringar som har övertagits för indrivning, måste normalt ha Datainspektionens tillstånd. För att få tillstånd krävs att någon i företagets ledning har sakkunskap inom inkassoområdet och är omdömesgill. Datainspektionen bedömer om kraven är uppfyllda och ser till att företaget iakttar god inkassosed. 8

Verksamhetens mål Enligt regeringens regleringsbrev för budgetåret 2001 har det övergripande målet för Datainspektionen varit att värna integriteten vid behandling av personuppgifter. I regleringsbrevet har Datainspektionens verksamhet delats in i följande verksamhetsgrenar med angivna verksamhetsmål. Verksamhetsgren 1: Tillsyn över behandlingen av personuppgifter Mål: Behandlingen av personuppgifter skall inte medföra otillbörligt intrång i enskildas personliga integritet. Målet skall nås utan att användningen av teknik onödigt hindras eller försvåras. Verksamhetsgren 2: Tillsyn och tillståndsgivning inom kreditupplysnings- och inkassoverksamheten Mål: God sed skall iakttas i kreditupplysnings- och inkassoverksamhet. Verksamhetsgren 3: Tillsyn över personregister inom polis- och tullsamarbetet Mål: Rättssäkerheten vid registrering och utlämnande av personuppgifter skall värnas så att individens rättigheter inte kränks. Regeringens återrapporteringskrav Den närmare återrapporteringen i enlighet med regleringsbrevet finns på följande sidor: Verksamhetsgren 1 Tillsyn över behandlingen av personuppgifter s. 11-17 Verksamhetsgren 2 Tillsyn och tillståndsgivning inom kreditupplysningsoch inkassoverksamheten s. 18-21 Verksamhetsgren 3 Tillsyn över personregister inom polis- och tullsamarbetet s. 22-24 Övrig återrapportering: Tillsyns-, tillstånds- och anmälningsärenden s. 12-14, 19-21 Regelgivning s. 25 Information s. 26-27 Internationell verksamhet s. 28-29 Som mål för Datainspektionens verksamhet har i regleringsbrevet även angetts att verksamheten skall uppvisa en positiv produktivitetsutveckling. 9

Organisation Organisationsschema Styrelse Tillstånds- och tillsynsenheten Tillsynsdirektör Britt-Marie Wester Generaldirektörens kansli ansvarar för registratur, arkiv, vaktmästeri, personalfrågor, internt IT-stöd samt övrig allmän administration. Kansliet består av en kanslichef och fem medarbetare. Kansliet har också två dataråd som arbetar med särskilda utredningsuppdrag och remisser. Tillstånds- och tillsynsenheten handlägger ärenden enligt personuppgifts-, data-, inkasso- och kreditupplysningslagarna. Enheten handlägger inkomna klagomål, genomför inspektioner och följer upp tillsynsaktiviteter. Dessutom utarbetas förslag till föreskrifter och allmänna råd. Enheten består av en tillsynsdirektör som chef, ett dataråd som ställföreträdande chef och sexton handläggare, varav tre IT-specialister. Generaldirektör Ulf Widebäck GD:s kansli Kanslichef Gunilla Simonsson Informationsenheten Informationschef Leif Stenström Juridiska enheten Chefsjurist Leif Lindgren Ekonomienheten Ekonomichef Lars Eriksson Informationsenheten informerar myndigheter, företag, organisationer, personuppgiftsombud, media och allmänheten om integritetsskyddsreglerna och Datainspektionens verksamhet. Informationsenheten arrangerar konferenser och föreläsningar, producerar trycksaker och en periodisk skrift samt ansvarar för inspektionens webbplats. Ett call-center besvarar frågor per telefon och e-post. Enheten består av en informationschef och fem handläggare. Juridiska enheten ansvarar för arbetet med inspektionens regelgivning och remissverksamhet. Enheten biträder inom myndigheten i juridiska frågor som är av principiell betydelse eller av särskilt komplicerad natur. Juridiska enheten svarar för bevakning och samordning av inspektionens internationella arbete. Enheten består av en chefsjurist, tre dataråd, ett internationellt dataråd och en internationell handläggare. Ekonomienheten ansvarar för Datainspektionens budget- och ekonomiarbete, löneadministration samt inspektionens reception och telefonväxel. Enheten består av en ekonomichef och tre medarbetare. 10

Verksamhetsgren 1 Tillsyn över behandling av personuppgifter (PuL och datalagen) Tillsyn (PuL och datalagen) Tillsynsaktiviteter enligt PuL och datalagen kan föranledas av klagomål från enskilda, uppgifter i massmedia eller inledas på Datainspektionens eget initiativ. En väsentlig del av tillsynen är fältinspektioner och inspektioner genom enkäter eller annan kontroll per telefon eller brev. Verksamhetsgrenen omfattar även hantering av klagomål, tillståndsgivning enligt datalagen, avvecklingen av datalagen, utveckling av systemet med personuppgiftsombud, hantering av anmälningar enligt PuL och medverkan i EU:s gemensamma tillsyn över och utveckling av dataskyddsdirektivet. En rad informationsaktiviteter har stött verksamheten, bl.a. har vi utbildat ombuden, utvecklat webbplatsen och besvarat stora mängder förfrågningar per brev, telefon och e-post. Se vidare under rubriken Information på s. 26. Inspektioner (PuL och datalagen) Under år 2001 har 125 inspektioner inletts enligt PuL och datalagen (66 inom offentlig sektor och 59 inom privat) vilket kan jämföras med 127 under 2000 (74 resp. 53). Av inspektionerna var 95 fältinspektioner och 30 enkätinspektioner (76 resp. 51 år 2000). 76 inspektionsärenden avslutades under året. Härtill kommer 47 fältinspektioner enligt inkassolagen och tre fältinspektioner enligt kreditupplysningslagen. Många inspektioner har kunnat avslutas utan anmärkning. Vanliga påpekanden har gällt IT-säkerhet, bristande information enligt PuL och att man i strid med PuL har sparat uppgifter som inte längre behövs. Temainspektioner Vissa inspektioner har varit temainspektioner. En temainspektion är en bred och djup granskning av en bransch eller sektor som kräver mer tid och större resurser än en sedvanlig inspektion. Årets temainspektioner har genomförts dels som fältinspektioner dels som enkätinspektioner. 11

Tillsyn 1 PuL + datalagen 2001 2000 1999 Inkomna ärenden 250 306 283 Avgjorda ärenden 235 219 269 Ingående balans 128 41 27 Utgående balans 143 128 41 1 Inspektioner och annan kontroll En av temainspektionerna under året har avsett s.k. nationella kvalitetsregister inom sjukvården. Inspektionerna har visat att informationsskyldigheten inte har uppfyllts i flera fall. Det framkom att det råder osäkerhet hos personuppgiftsansvariga om det är nödvändigt att inhämta patienternas samtycke för att få behandla känsliga uppgifter. Inspektionerna har också visat att en del av dem som arbetar med de nationella kvalitetsregistren är osäkra på vem som är personuppgiftsansvarig. Med hänsyn till att syftet med registren är att förbättra kvaliteten på individnivå inom svensk hälsooch sjukvård har Datainspektionen bedömt att behandling av känsliga personuppgifter i registren utan samtycke är förenlig med PuL. I de nationella kvalitetsregistren hanteras en stor mängd integritetskänsliga uppgifter under lång tid. Mot denna bakgrund har Datainspektionen i början av 2002 skrivit till regeringen och påpekat behov av en särskild registerlagstiftning. En sådan reglering bör innehålla bestämmelser om personuppgiftsansvar, ändamål, vilken typ av uppgifter som får behandlas, åtkomst och bevarande. Datainspektionens ställningstaganden framgår av en rapport. Datainspektionen har fått en mängd klagomål på personregistrering i skolorna. I massmedia har det förkommit uppgifter om integritetskränkande databehandlingar som rör skolan. Datainspektionen har därför undersökt hur personuppgifter behandlas i grundskoleverksamheten. Inspektionerna har omfattat 39 skolor varav 29 kommunala skolor och 10 friskolor. Gjorda iakttagelser kommer att redovisas i en rapport. Ungefär 100 forskningsregister har kontrollerats. Syftet har varit att undersöka om förutsättningarna i PuL för att behandla känsliga uppgifter har varit uppfyllda, om informationen till de registrerade uppfyller kraven i PuL och om IT-säkerheten är godtagbar. Gjorda iakttagelser kommer att redovisas i en rapport. Under hösten har en mängd rekryteringsföretag inspekterats. Iakttagelserna kommer att redovisas i en rapport som kommer att tillställas rekryteringsföretagens branschorganisationer. En omfattande temainspektion i samarbete med Finansinspektionen var inriktad på missvisande uppgifter i kreditupplysningsregistren, se sidan 19. Övriga inspektioner har inte varit branschorienterade som temainspektionerna utan har fokuserats på utvalda delar av lagstiftningen och dess efterlevnad inom olika branscher och sektorer. En mängd direktreklamföretag har inspekterats för att följa upp påpekanden i tidigare tillsynsbeslut. IT-säkerheten inom sjukvården har kontrollerats och inom polisverksamheten har databehandlingen i kriminalunderrättelseverksamheten inspekterats. Banker och försäkringsbolag har inspekterats för att kontrollera hur informationsskyldigheten enligt PuL uppfylls. Annan kontroll Utöver ovan nämnda fältinspektioner och enkätinspektioner har tillsyn bedrivits genom kontroll per brev eller telefon. 125 sådana tillsynsärenden inleddes under året, de flesta föranledda av klagomål. Se vidare avsnittet Klagomål nedan. 12

Klagomål (PuL och datalagen) Under året har det kommit in 272 klagomål som avser personuppgiftslagen och 69 som avser datalagen, vilket är ungefär lika många som år 2000. Ungefär hälften av klagomålen har rört publicering av personuppgifter på Internet. En stor del av klagomålen har avsett databehandling för direktreklamändamål där det inte framgår av reklamförsändelsen vilket personregister som har använts för att inhämta uppgift om mottagarens namn och adress. Datainspektionen har också fått många klagomål på e-postreklam. Relativt många klagomål har avsett bristfällig information om databehandling till de registrerade. En stor del av klagomålen har medfört att Datainspektionen har inlett tillsyn genom brev eller telefonkontakter eller som fältinspektioner. I en del fall har Datainspektionen hänvisat klaganden till att själv vända sig till den personuppgiftsansvarige. Det har framför allt gällt när klaganden påstår att ett företag eller en myndighet har felaktiga uppgifter om honom eller henne, när klaganden påstår att uppgifter om honom eller henne inte har gallrats trots att det borde ha skett och när klaganden inte har fått information om att uppgifter om honom eller henne behandlas. En del klagomål har avsett databehandlingar som inte strider mot PuL eller datalagen. I dessa fall har klaganden fått ett svar med information om gällande lagstiftning. Klagomålen har i många fall gällt integritetskränkande uppgifter som publicerats på Internet. En del har rört förhållanden där tryck- och yttrandefriheten samt undantaget för journalistisk verksamhet har varit tillämpligt. Datainspektionen har i dessa fall skrivit till klaganden och redogjort för lagstiftningen och tolkningen av vad som avses med journalistiska ändamål. Det har förekommit att Datainspektionen har polisanmält grova kränkningar och fall när det varit omöjligt Inkomna klagomål 2001 2000 1999 Personuppgiftslagen 272 166 149 Datalagen 69 189 260 Kreditupplysningslagen 91 125 121 Inkassolagen 226 196 172 Totalt 658 676 702 för Datainspektionen att eftersöka vem som står bakom en webbplats med kränkande uppgifter. I några fall har klaganden hänvisats till internetleverantörens missbruksavdelning (abuseavdelning). Datalagen, tillståndsgivning och avveckling Datalagen tillämpades vid sidan av PuL till oktober 2001 och fram till dess prövade Datainspektionen ansökningar om ändringar av gamla datalagstillstånd. Under året kom 120 ändringsansökningar, till största delen från myndigheter och företag som ville göra ändringar i stora datasystem. Enligt en särskild bestämmelse i polisdatalagen fortsätter datalagen att gälla till utgången av år 2003 för polisregister som förs med Datainspektionens tillstånd. De flesta stora och viktiga personregistren har reglerats av datalagen ända till övergångstidens slut. Många inspektioner och klagomål har alltså gällt tillämpningen av datalagen. En stor uppgift för Datainspektionen under övergångstiden har varit att informera om reglerna i PuL, se sidan 26, Dagen PuL. Under övergångstiden har inspektionen också tagit emot många besök från myndigheter, organisationer och företag som önskat få tillsynsmyndighetens syn på sina personuppgiftsbehandlingar. 13

Tillstånd datalagen 2001 2000 1999 Inkomna ärenden 120 180 698 Avgjorda ärenden 145 185 1 109 Ingående balans 25 30 441 Utgående balans 0 25 30 Personuppgiftsombud Under året mer än fördubblades antalet personuppgiftsansvariga som anmält ombud från 1 692 till 4 108. Större delen av anmälningarna ca 1 350 stycken kom in under september och oktober i samband med Dagen PuL. Antalet fysiska personer som är ombud har också fördubblats från 1 139 till 2 472 ett ombud kan representera flera personuppgiftsansvariga. Ökningen är glädjande, men resurskrävande. Under året har en rad utbildningar, bl.a. 10 seminarier, anordnats för ombuden som också ställer mängder av frågor per telefon och e-post. Se vidare i avsnittet Information på sidan 26. Många ombud begär också samråd enligt 38 PuL, vilket tar mycket tid i anspråk. Ombuden har vidare en egen kontaktperson på Datainspektionen, en jurist som besvarar frågor och i mån av tid besöker arbetsplatser och håller föreläsningar. När ett nytt ombud anmäls till Datainspektionen, får han eller hon en specialdesignad pärm med informationsmaterial och författningar. Ombuden har också en egen avdelning på www.datainspektionen.se. När en inspektion planeras begär Datainspektionen ofta att få ta del av den förteckning som ombudet skall föra enligt 39 PuL. Ombudet får meddelande om när inspektion skall äga rum så att han eller hon kan delta. Vid i stort sett samtliga inspektioner är ombudet närvarande. Många personuppgiftsombud har utformat informationsblad till de registrerade i samband med anmälningar för förhandskontroller enligt 41 PuL och 10 personuppgiftsförordningen. Informationen till personuppgiftsombuden har utvärderats i en enkät till 1 320 ombud. Resultatet finns i avsnittet Kvalitet och effektivitet på sidan 29. Inkomna anmälningar enligt PuL Personuppgiftsansvariga som inte har utsett och anmält ett personuppgiftsombud är enligt 36 PuL skyldiga att till Datainspektionen anmäla behandling av personuppgifter som är helt eller delvis automatiserad. Det finns omfattande undantag från anmälningsskyldigheten i 3 5 personuppgiftsförordningen och i Datainspektionens föreskrifter (DIFS 1998:2, omtryckta i DIFS 2001:1). Vidare finns undantag inom skatte- och tullområdena. Under 2001 har det kommit in 840 anmälningar om behandling av personuppgifter, betydligt fler än under 2000 då det kom in 242. Som väntat ökade antalet kraftigt i anslutning till Dagen PuL i september/oktober, då ca 500 anmälningar kom in. Datainspektionen för ett register över anmälda behandlingar och det innehöll vid budgetårets slut 1 829 anmälningar. Anmälningar för förhandskontroll Innan vissa särskilt integritetskänsliga behandlingar påbörjas, skall de anmälas till Datainspektionen för förhandskontroll. Det gäller främst uppgifter om genetiska anlag som har kommit fram efter genetisk undersökning och känsliga personuppgifter som behandlas för forskningsändamål utan den registrerades samtycke och utan godkännande av forskningsetisk kommitté. Vissa behandlingar hos polisen, skattemyndigheterna och Tullverket skall också anmälas för förhandskontroll. Under året har det kommit in 92 anmälningar för förhandskontroll. De flesta har avsett behandling av känsliga personuppgifter för forskningsändamål. 19 av anmälningarna kom från polisen. Det har inte kommit in någon anmälan från skattemyndigheterna eller Tullverket. Anmälningarna har handlagts med förtur efter- 14

som inspektionen inom tre veckor måste meddela om den avser att vidta åtgärder med anledning av anmälan eller ej. Kravet på förturshantering och det rättsligt komplicerade området, framför allt vad gäller anmälningarna från polisen, har medfört att handläggningen har varit mycket resurskrävande. 29-gruppen Datainspektionen medverkar i EU:s gemensamma tillsyn över och utveckling av dataskyddsdirektivet genom sina representanter i 29-gruppen, en arbetsgrupp inom EU som har inrättats med stöd av artikel 29 i direktivet. Gruppen skall bl.a. se till att direktivet tillämpas enhetligt i medlemsstaterna. Dessutom skall gruppen avge yttranden till EU-kommissionen om skyddsnivån i länder utanför EU samt ge råd till kommissionen om förslag till ändringar av direktivet. Gruppen har under året yttrat sig över EU-kommissionens förslag till standardavtalsklausuler för överföring av personuppgifter till tredje land. I juni fattade kommissionen beslut om dessa klausuler och beslutet har införlivats i svensk rätt den 1 december 2001 genom en ändring i personuppgiftsförordningen. Arbetsgruppen har vidare yttrat sig över kommissionens förslag till nytt direktiv om dataskydd i samband med elektronisk kommunikation. Förslaget är tänkt att ersätta det nu gällande teledataskyddsdirektivet. Gruppen har också utarbetat rekommendationer om skydd för den personliga integriteten på olika områden. Under 2001 har gruppen sammanträtt fem gånger i Bryssel (tvådagarsmöten vid fyra tillfällen). 29-gruppen ger varje år ut en årsrapport som tillsammans med gruppens yttranden och rekommendationer finns på EU-kommissionens webbplats. Dit kommer man enklast via www.datainspektionen.se, Kunskapsbanken, Länkar, EU Data Protection. Erfarenheter av tillämpningen av PuL Enligt övergångsbestämmelserna till PuL tillämpades datalagen övergångsvis på behandlingar som påbörjats före den 24 oktober 1998. Eftersom man inte har fått byta lag på en pågående behandling, har många register av betydelse reglerats av datalagen fram till övergångstidens slut den 1 oktober 2001, Dagen PuL, då PuL trädde i kraft fullt ut för helt eller delvis automatiserade behandlingar. Datainspektionen har i sin tillsynsverksamhet under övergångstiden försökt finna behandlingar enligt PuL. Vid inspektioner enligt datalagen har de registeransvariga regelmässigt tillfrågats om de också behandlar eller snart kommer att påbörja behandling av personuppgifter enligt PuL. Tillsynen under årets första tre kvartal visade som tidigare att personuppgifter inte behandlades enligt PuL i någon större omfattning. Under denna period fick inspektionen också åtskilliga frågor om datalagens tillämpning och ansökningar om ändring av tillstånd enligt datalagen. Samtidigt har förfrågningarna om PuL:s regler ökat, för att kulminera runt Dagen PuL. Detta trots att inspektionen tidigt gick ut med en informationskampanj med seminarier och särskilda informationsblad om övergången till PuL. Övergångstiden innebar visserligen en tid för anpassning men inte, som man kunnat 15

tro, någon successiv övergång till de nya reglerna. Detta avspeglade sig även i antalet anmälningar av behandlingar och personuppgiftsombud som ökade mycket markant i anslutning till Dagen PuL. Personuppgiftsombud Systemet med personuppgiftsombud har utvecklats över all förväntan. Under året har antalet personuppgiftsansvariga som har anmält personuppgiftombud mer än fördubblats till drygt 4 000, vilket är glädjande men resurskrävande. Se avsnitten Personuppgiftsombud på sidan 14 och Information på sidan 26. Förfrågningar Tyngdpunkten av Datainspektionens verksamhet förskjuts mot rådgivning och tillsyn. I år märktes det främst på förfrågningarna per e-post som ökade till 2 500 jämfört med 1 000 förra året. Antalet komplicerade förfrågningar som kräver särskild utredning var 513 exakt lika många som i fjol, men i år rörde 475 av frågorna PuL att jämföra med 383 i fjol. Vårt callcenter har under året besvarat ca 15 000 telefonfrågor, främst om PuL, och en mängd delegationer från myndigheter och företag har besökt inspektionen för att diskutera sina specifika PuL-problem. avvikande bestämmelser i någon annan lag eller förordning. I propositionen om PuL uttalade regeringen att det inte finns anledning att avvika från det tidigare uppställda målet att myndighetsregister med ett stort antal registrerade och ett särskilt känsligt innehåll skall regleras särskilt i lag (se prop. 1997/98:44 s. 41). Översyn och anpassning av äldre registerförfattningar till de nya kraven har fortgått. Under år 2001 har ett antal nya PuL-anpassade registerlagar trätt i kraft som vid sidan av PuL reglerar hur personuppgifter inom olika verksamhetsområden skall hanteras. I vissa fall har myndighetsregister reglerats i förordning i avvaktan på utredning om behovet av ytterligare lagstiftningsåtgärder. Inom flera områden pågår fortfarande ett angeläget översynsarbete. Internet Vid behandling av personuppgifter på webbsidor blir ofta PuL tillämplig. Att uppgifterna görs tillgängliga världsvitt medför att även PuL:s bestämmelser om överföring av personuppgifter till tredje land blir Anmälningar om behandling Personuppgiftsansvariga som inte har utsett och anmält ett personuppgiftsombud är enligt 36 PuL skyldiga att anmäla behandling av personuppgifter till Datainspektionen. Även vissa särskilt integritetskänsliga behandlingar skall anmälas till Datainspektionen för förhandskontroll. Se vidare i avsnittet Inkomna anmälningar enligt PuL på sidan 14. Registerförfattningar PuL är generellt tillämplig på helt eller delvis automatiserad behandling av personuppgifter om det inte finns 16

tillämpliga. Datainspektionen har sedan PuL trädde i kraft hösten 1998 fått ägna mycket tid åt frågor om internetpublicering. Detta har också präglat verksamhetsåret 2001. Förfrågningar, klagomål och andra ärenden har ofta rört PuL och Internet. Datainspektionen har tidigare år avgjort en rad internetärenden som rört förhållandet till tryck- och yttrandefriheten samt undantaget i 7 PuL för behandling av personuppgifter för journalistiska ändamål. Under året kom ett avgörande från Högsta domstolen som ger vägledning om var gränsen går för PuL:s tilllämpning vid publicering av personuppgifter på Internet. Men reglerna är i grunden komplicerade och svåra att överblicka för enskilda. Ytterligare vägledning för tillämpningen av reglerna kan komma genom det förhandsavgörande från EG-domstolen som Göta hovrätt under året beslutat att hämta in i ett mål som rör internetpublicering. Effekter och behov av åtgärder Datainspektionen har under året i tre fall uppmärksammat regeringen på behov av författningsåtgärder. Det har gällt aktieböckers offentlighet (dnr 1921-2000), personregistrering enligt kasinolagen (dnr 587-2001) och Kungliga bibliotekets bevarande av svenska webbsidor (dnr 1404-2001). Anmälningarna enligt PuL förs in i ett offentligt register, som hålls tillgängligt för allmänheten, men ytterst få har begärt tillgång till registret. Anmälningsförfarandet är nödvändigt för att uppfylla dataskyddsdirektivet, men enligt Datainspektionens uppfattning är det av tveksamt värde för integritetsskyddet. I första hand används registret av Datainspektionen vid planering av inspektioner. Förhandskontrollerna av särskilt känsliga behandlingar är resurskrävande (se sidan 14). I vissa fall är forskningsprojekten godkända av en forskningsetisk kommitté, men det är ofta oklart om kommittén har granskat själva behandlingen av personuppgifter inom projektet. Den forskningsetiska granskningen är föremål för lagstiftningsarbete. Vid inspektionsbesöken ger alltid inspektörerna allmän information om reglerna i PuL. När myndigheter har inspekterats har resultatet spritts till respektive centrala förvaltningsmyndighet. Förvaltningsmyndigheten har i många fall informerat sina myndigheter om påpekanden vid inspektioner. En följd av detta har blivit att påpekanden från en inspektion har spritts till ett stort antal myndigheter som handlägger samma typ av frågor. Inspektioner vid dessa myndigheter har sedan kunnat avslutas utan påpekanden. En intensiv mediebevakning i anslutning till Dagen PuL har ökat medvetenheten om integritetsfrågorna. Resultatet av temainspektionerna sammanställs i rapporter. Dessa lämnas till media och branschorganisationer och får därigenom stort genomslag. Vid uppföljningsinspektioner har det visat sig att inspektionsobjekten i mycket stor utsträckning har rättat sig efter tidigare påpekanden. Det råder oklarhet om vilka typer av manuellt förda register med personuppgifter som omfattas av PuL, främst vad gäller innebörden av begreppet särskilda kriterier i 5. Datainspektionen har fått många förfrågningar om detta. Regeringsrätten har under året i ett mål som avser tillämpning av 7:16 sekretesslagen givit viss vägledning om vad som är ett manuellt register som omfattas av bestämmelserna i PuL. Enligt Datainspektionens mening kan det dock behövas förtydliganden i lagstiftningen. 17

Verksamhetsgren 2 Tillsyn och tillståndsgivning inom kreditupplysnings- och inkassoverksamheten Kreditupplysning Tillstånd Antalet tillståndsansökningar enligt kreditupplysningslagen (KuL) minskade till sex stycken jämfört med 40 stycken år 2000. Det beror på att Datainspektionen under året har omarbetat en stor mängd villkor i tillstånden för de två största företagen, Upplysningscentralen UC AB (UC) och Dun & Bradstreet AB (D&B). Datainspektionen har sedan 1973 när KuL och datalagen kom till, vid ett flertal tillfällen meddelat UC och D&B föreskrifter om hur verksamheten skall bedrivas. Föreskrifterna har tillkommit när kreditupplysningsföretagen ansökt om tillstånd att få införa nya tjänster och när Datainspektionens tillsyn har visat att en föreskrift varit nödvändig för att värna den personliga integriteten. Vid årets början hade UC mer än 70 föreskrifter enligt KuL och datalagen. Med hänsyn till att flera av föreskrifterna enligt KuL blivit föråldrade eller onödiga och datalagen upphörde att gälla den 1 oktober, har Datainspektionen gjort en genomgripande omarbetning av UC:s och D&B:s tillstånd och villkor att bedriva kreditupplysningsverksamhet. UC:s och D&B:s nya omarbetade tillstånd beslutades den 5 december 2001. Två nya aktörer har ansökt om tillstånd att få bedriva kreditupplysningsverksamhet. För närvarande har 16 företag rätt att bedriva sådan verksamhet. Temainspektion När en myndighet skall driva in utestående skatter och avgifter skall ansökan om restföring (en anmälan om en skuld till staten) ges in till den lokala kronofogdemyndigheten. De regionala kronofogdemyndigheterna och Riksskatteverket för med gemensamt registeransvar utsökningsregistret REX (Redovisningssystem för EXekutionsväsendet). År 1998 slopades beloppsgränsen för de restföringar som kreditupplysningsföretagen inhämtar från REX. Därefter har antalet restföringar ökat med över en miljon per år. Ökningen rör huvudsakligen små belopp. 18

Datainspektionen har i ett inspektionsprojekt tillsammans med Finansinspektionen undersökt om det finns missvisande uppgifter i kreditupplysningsregistren och hur kreditupplysningsuppgifter används av kreditgivare. Inspektionerna visade att slopandet av beloppsgränsen har inneburit att antalet felaktiga uppgifter i kreditupplysningsregister har ökat kraftigt. Det förekommer även brister i rättelsehanteringen hos vissa av de myndigheter som lämnar ut uppgifter till kreditupplysningsföretagen och det uppmärksammades att en av orsakerna till att restföringar uppkommer torde vara brister i de påminnelserutiner som vissa myndigheter tillämpar vid indrivning av utestående fordringar. Även vissa tekniska problem förekom vid överföringen av restföringsuppgifter, både när uppgifter förs över från ingivande myndighet till REX och när uppgifterna förs över från REX till kreditupplysningsföretagen. Datainspektionens synpunkter finns i rapporterna 2001:1 Missvisande uppgifter hos kreditupplysningsföretag och 2001:1 a Missvisande kreditupplysningar åtgärder och förslag. Tillstånd KuL 2001 2000 1999 Inkomna ärenden 4 5 7 Avgjorda ärenden 1 7 5 Ingående balans 1 3 1 Utgående balans 4 1 3 Tillsyn KuL 2001 2000 1999 Inkomna ärenden 25 51 30 Avgjorda ärenden 38 36 26 Ingående balans 22 7 3 Utgående balans 9 22 7 För att minska konsekvenserna av en enstaka betalningsförsummelse har Riksdagen antagit ett lagförslag som medför att om en skuld betalas innan kronofogdemyndigheten har fattat beslut i ärendet kommer sekretess att gälla för uppgiften om restföring. Men om samma person inom en tvåårsperiod får ytterligare en betalningsanmärkning, hävs sekretessen för båda anmärkningarna. Denna skärpning av sekretessen för restföringsuppgifter gäller sedan den 1 oktober 2001. Datainspektionen har dessutom under året inlett 25 tillsynsärenden, därav tre inspektioner enligt KuL. 38 tillsynsärenden, därav 11 inspektioner har avslutats. Klagomål Klagomålen enligt KuL har minskat med 27 procent (från 125 till 91) sedan rekordåret 2000. Det har inte framkommit vad denna minskning beror på. De senaste fyra årens uppåtgående trend är dock bruten. Förutom klagomålen har Datainspektionen tagit emot 27 skriftliga förfrågningar från allmänheten om tillämpningen av KuL. Se vidare tabell på sidan 13. Effekter och behov av åtgärder Det principiellt intressantaste tillsynsärendet rör frågan om KuL:s förhållande till grundlagarna. Datainspektionen uppmärksammade i december 2000 att en ny webbtjänst (Arkivet) kommit ut på marknaden. Bolaget (Svensk Upplysningstjänst AB) hävdade att webbtjänsten omfattades av yttrandefrihetsgrundlagens s.k. databasregel. Om så är fallet sätts två av KuL:s viktigaste konsumentskyddsregler ur spel. Den som beställer en personupplysning behöver inte längre ha något s.k. legitimt behov av upplysningen och den omfrågade förlorar dessutom rätten att erhålla en kopia av den upplysning som lämnats om honom. Datainspektionen ansåg att webbtjänsten inte omfattades av databasregeln och förelade därför bolaget att 19

efterleva reglerna om legitimt behov och omfrågningskopia. Efter överklagande från bolaget upphävde dock länsrätten Datainspektionens beslut. Datainspektionen överklagade länsrättens beslut, som dock fastställdes i kammarrätten. Datainspektionen har överklagat kammarrättens dom till Regeringsrätten. Om kammarrättens dom står sig i Regeringsrätten kommer detta att få stora återverkningar på kreditupplysningsföretagens framtida verksamhet. Datainspektionen har därför i en skrivelse uppmärksammat regeringen på att det kan finnas anledning att genomföra en generell reglering av förhållandet mellan reglerna i KuL och reglerna i tryckfrihetsförordningen och yttrandefrihetsgrundlagen. Tillstånd inkassolagen 2001 2000 1999 Inkomna ärenden 50 35 51 Avgjorda ärenden 52 38 47 Ingående balans 3 6 2 Utgående balans 1 3 6 Tillsyn inkassolagen 2001 2000 1999 Inkomna ärenden 178 160 117 Avgjorda ärenden 176 167 131 Ingående balans 8 15 29 Utgående balans 10 8 15 Inkasso Tillstånd Datainspektionen har under året beviljat 52 inkassotillstånd, 14 fler än förra året. Totalt sett har emellertid antalet tillståndshavare minskat från 270 till 230. Minskningen kan bero på fusioner mellan inkassobolag och att flera mindre bolag helt har upphört med sin verksamhet. Några bolag har ombildats till kreditmarknadsbolag, och sådana står inte under Datainspektionens tillsyn. Inspektioner Under året har 47 inspektioner inletts, att jämföra med 41 stycken förra året. Dels har inkassobolag inspekterats, dels större bolag och kommuner som inkasserar egna fordringar, s.k. egeninkasso. Klagomål Antalet klagomål har ökat under året till 226 att jämföra med 196 förra året. En stor del av ökningen synes bero på att vissa inkassoföretag har inriktat sig på att driva gamla ärenden, ofta med små fordringar, där gäldenären många gånger inte kommer ihåg fordran eller tror att den är preskriberad. I en del fall är fordran verkligen preskriberad, men inkassobolaget driver ärendet vidare när gäldenären inte protesterar. I en tredjedel av ärendena beror klagomålen på dåliga kunskaper om inkassoreglerna. Ärendet kan då avslutas med ett förklarande brev eller en informationsskrift. I andra fall begär Datainspektionen en redogörelse för inkassoärendet från indrivaren. Då kan det ibland klarläggas att något fel inte har begåtts och ärendet kan avskrivas. Den sista kategorin klagomål leder till kritik av indrivaren. Datainspektionen meddelar sin uppfattning om hur indrivningen skall göras för att god inkassosed skall följas. Inspektionen uppträder inte som ombud och uttalar sig inte i skadeståndsfrågor. Om gäldenären ställer krav på skadestånd i sitt klagomål hänvisas han till konsumentrådgivare, advokat eller annan på området kunnig person. Datainspektionens call-center har under året besvarat ca 600 frågor om inkasso. De flesta har 20

kunnat hanteras direkt, men några har blivit tillsynsärenden. Se vidare tabell på sidan 13. Tillsyn Tillsyn är oftast planerad, men kan också inledas efter ett klagomål eller en tidningsartikel. Under året avgjordes 176 tillsynsärenden, att jämföra med 167 stycken år 2000. En tredjedel av ärendena föranledde kritik från Datainspektionen. Förutom de nämnda ärendena om preskriberade fordringar, har kritiken bl.a. gällt bristfälligt kravunderlag, otillräcklig kontakt mellan gäldenär (den som är skyldig pengar) och inkassobyrå och att invändningar som framförts direkt till borgenären inte har lämnats vidare till inkassobyrån. Datainspektionen har under året givit ut en ny upplaga (4:e upplagan) av sina Allmänna råd om tillämpning av inkassolagen. Effekter och behov av åtgärder Inspektionerna har i större utsträckning än tidigare kunnat avslutas utan anmärkning. Orsaken till detta kan vara att Datainspektionen under de senaste åren har bedrivit en intensiv inspektionsverksamhet enligt inkassolagen. Våra påpekanden har fått stort genomslag hos inkassobranschen. Bristande information till gäldenärerna har varit den vanligaste anmärkningen. Det kan röra sig om grunden för fordran, avräkningar och allmänna frågor om inkassoärendet. Som tidigare nämnts, skapar preskriptionsreglerna bekymmer. Lika gamla krav kan behandlas olika beroende på om gäldenären hävdar att skulden är preskriberad eller inte. Frågan om det kan vara god inkassosed att kräva in preskriberade fordringar är väsentlig. Högsta domstolen beräknas pröva frågan under våren. Behandling av personuppgifter 1 2001 2000 1999 Kostnad (tkr) 12 540 10 577 11 082 Inkomna ärenden 2 037 2 104 2 294 Avgjorda ärenden 2 000 2 011 2 686 Ingående balans 296 203 595 Utgående balans 333 296 203 Kostnad/avgjort ärende (kr) 6 270 5 260 4 126 Åldersstruktur för balanserade tillstånds- och tillsynsärenden 1 per den 31 december 2001 2000 Äldre än 6 månader 55 21 3 6 månader 50 51 2 3 månader 88 18 1 2 månader 56 115 Yngre än 1 månad 84 91 Summa 333 296 1 Tabellerna omfattar samtliga tillståndsärenden enligt datalagen, kreditupplysningslagen och inkassolagen, samtliga tillsyns- och klagoärenden enligt PuL, datalagen, kreditupplysningslagen och inkassolagen samt anmälningsärenden enligt PuL. Kostnaderna per avgjort ärende har ökat till följd av att enklare slag av ärenden har försvunnit och att de ärendetyper som finns kvar kräver längre tid att handlägga. Åldersstrukturen har påverkats av underbemanning i början av verksamhetsåret. 21

Verksamhetsgren 3 Tillsyn över personregister inom polis- och tullsamarbetet Polis- och tullsamarbetet Schengen Sverige är sedan den 25 mars 2001 operativ medlem i Schengensamarbetet som har sin grund i ett avtal slutet i Schengen i Luxemburg 1985. Samarbetet bygger på ett gemensamt regelverk som innebär fri rörlighet för personer inom Schengenområdet och ett polisiärt och rättsligt samarbete mot internationell kriminalitet och illegal invandring. Samarbetet innebär att passkontrollen mot 13 av de 15 EU-länderna har slopats. Bara Storbritannien och Irland står utanför. Norge och Island deltar i samarbetet enligt ett särskilt avtal. Som hjälpmedel för samarbetet finns ett informationssystem, SIS. Datainspektionen är Sveriges nationella tillsynsmyndighet för hanteringen av personuppgifter enligt konventionen. Europol Genom Europolkonventionen upprättades den europeiska polisbyrån Europol. Europols främsta uppgift är att vara ett kriminalunderrättelseorgan för medlemsstaterna i EU och att vara ett hjälpmedel i kampen mot den internationella organiserade brottsligheten av allvarligt slag, t.ex. narkotikahandel. Europol behandlar känsliga personuppgifter bl.a. i analysregister. Samarbetet sker genom en nationell enhet som varje land skall upprätta. I Sverige finns den nationella enheten inrättad vid Rikspolisstyrelsen. Datainspektionen är Sveriges nationella tillsynsmyndighet för behandlingen av personuppgifter enligt konventionen. CIS För att bekämpa grövre brottslighet har på tullområdet inom EU byggts upp ett gemensamt tullinformationssystem som bygger på CIS-konventionen. Systemet skall underlätta utbyte av information om grova överträdelser av gemenskapsregler och brottslighet som faller under tullmyndigheternas ansvarsområde. Systemet kan betraktas som ett underrättelse- och spaningsregister. Datainspektionen förutses bli Sveriges nationella tillsynsmyndighet för behandlingen av personuppgifter enligt konventionen. 22

Inspektioner Schengen Datainspektionen har med anledning av Sveriges anslutning till Schengensamarbetet utfört inspektioner vid ett antal fastställda s.k. gränsövergångsställen. De ställen som inspekterades var Arlanda flygplats, Ystads hamn och Simrishamns hamn. Vidare har det s.k. SIRENE-kontoret vid Rikspolisstyrelsen inspekterats. Syftet med inspektionerna vid gränsövergångsställena var att närmare kontrollera hur Schengens informationssystem (SIS) används vid gränskontrollen, bl.a. kontrollerades hur många som har behörighet att söka i SIS och om de terminaler som används för detta är skyddade från obehörig insyn. Vid inspektionen vid SIRENE-kontoret kontrollerades bl.a. vilka uppgifter som Sverige lägger in i SIS och hur inkomna och upprättande handlingar inom SIRENE-kontoret diarieförs, registreras och förvaras. Vid samtliga inspektioner har IT-säkerheten kontrollerats. De brister som konstaterades vid inspektionerna har rört insynsskyddet för några av de terminaler som används vid gränskontrollen. Detta påtalades vid inspektionerna och Datainspektionen har förutsatt att det kommer att åtgärdas. Europol Datainspektionen har inspekterat den nationella enheten vid Rikspolisstyrelsen. Syftet med inspektionen var att undersöka hur och på vilket sätt Rikspolisstyrelsen administrerar kontakterna med Europol och de s.k. sambandsmännen samt på vilket sätt inkomna och upprättande handlingar diarieförs, registreras och förvaras. Vid inspektionen kontrollerades också hur bl.a. Europolkonventionens regler om enskildas integritetsskydd uppfylldes. Klagomål Det har kommit in två klagomål med anledning av Schengensamarbetet. Ett av klagomålen avsåg enskilds rätt att ta del av uppgifter i Schengens informationssystem. Datainspektionen översände klagoskriften till SIRENE-kontoret vid Rikspolisstyrelsen för handläggning. Det andra var ett klagomål på att intyg registreras enligt artikel 75 i Schengenkonventionen. Klagoärendet avslutades med information till klaganden om gällande bestämmelser. Något klagomål med anledning av tillämpningen av Europolkonventionen har inte kommit in. Medverkan i den gemensamma tillsynen Europol Den tillsynsmyndighet för Europol som 1998 inrättades inom EU består av företrädare för den nationella tillsynsmyndigheten i respektive land. Datainspektionen är Sveriges nationella tillsynsmyndighet. Den 1 juli 1999 inleddes Europols verksamhet och utbyte av uppgifter görs nu enligt Europolkonventionen. Sedan 1999 har Europol öppnat ett antal analysprojekt som tillsynsmyndigheten Europol har yttrat sig över och de nationella enheterna förser nu Europols analysfiler med uppgifter av betydelse för polissamarbetet. Under året har tillsynsmyndigheten också behandlat frågor om Europols samarbete med tredje land, däribland USA. Vid sidan av den gemensamma tillsynsmyndigheten finns också en överklagandekommitté dit enskilda kan överklaga Europols beslut i fråga om bl.a. tillgång till uppgifter och rättelse av uppgifter. Datainspektionens generaldirektör Ulf Widebäck utsågs i december 2001 till vice ordförande i överklagandekommittén. Hittills har kommittén mottagit två klagomål. Under 2001 har den gemensamma tillsynsmyndigheten sammanträtt vid 23