Nämnden är kritisk till att Polismyndigheten inte har genomfört någon logguppföljning avseende de granskade uppgiftssamlingarna.

Relevanta dokument
Polismyndighetens behandling av känsliga personuppgifter i uppgiftssamling om inhemsk extremism

Postadress Telefon E-post Organisationsnummer Box 22523, Stockholm

Säkerhetspolisens behandling av känsliga personuppgifter i fristående databaser

Postadress Telefon E-post Organisationsnummer Box 22523, Stockholm

Polismyndighetens behandling av personuppgifter i mappstrukturer vid region Öst

Polismyndighetens behandling av personuppgifter i underrättelseverksamheten

Dåvarande Rikspolisstyrelsens register över spaningsfilmer.

Polismyndighetens behandling av personuppgifter i underrättelseverksamheten

Polismyndigheternas behandling av känsliga personuppgifter

Nämnden bedömer att den granskade personuppgiftsbehandlingen är förenlig med PDL:s bestämmelser.

Säkerhetspolisens behandling av känsliga personuppgifter i ett it-system för bearbetning och analys av information

Bevarande av personuppgifter i Säkerhetspolisens dokument- och ärendehanteringssystem

Säkerhetspolisens användning av s.k. misstankemärkning i it-systemet för bearbetning och analys

Polismyndighetens behandling av personuppgifter i utredningsverksamheten

Loggning och logguppföljning i Polismyndighetens säkerhetslogg

Polismyndighetens nya allmänna spaningsregister

Polismyndighetens behandling av personuppgifter med anledning av brottslighet kopplad till utsatta EU-medborgare

Postadress Telefon E-post Organisationsnummer Box 22523, Stockholm

Postadress Telefon E-post Organisationsnummer Box 22523, Stockholm

Inhämtning av uppgifter om elektronisk kommunikation vid Polismyndigheten (region Stockholm)

Postadress Telefon E-post Organisationsnummer Box 22523, Stockholm

Inhämtning av uppgifter om elektronisk kommunikation vid Polismyndigheten (Nationella operativa avdelningen)

Säkerhetspolisens behandling av personuppgifter om barn i ett it-system för bearbetning och analys

Uppföljning av Polismyndigheten i Skånes behandling av personuppgifter i uppgiftssamlingen benämnd Kringresande

Polismyndighetens behandling av personuppgifter i underrättelseverksamheten

Användning av kvalificerade skyddsidentiteter inom Polismyndighetens undercoververksamhet

Inhämtning av uppgifter om elektronisk kommunikation vid Polismyndigheten, region Syd

Postadress Telefon E-post Organisationsnummer Box 22523, Stockholm

Uppföljning av polismyndigheternas användning av centrala säkerhetsloggen

Uppföljning av Polismyndighetens behandling av personuppgifter i signalementsregistret avseende gallring av och tillgången till uppgifter

Granskning av polismyndigheternas användning av centrala säkerhetsloggen

Polismyndighetens utlämnande av personuppgifter till tredje land

Rikspolisstyrelsens rutiner för och kontroll av behandling av känsliga personuppgifter i det centrala kriminalunderrättelseregistret, KUR

Behandlingen av personuppgifter i Länskriminalpolisen i Västra Götalands uppgiftssamlingar med spaningsfilmer

Rikspolisstyrelsens IT-system OBS-portalen

Behandlingen av personuppgifter i Rikskriminalpolisens register över spaningsfilmer

Uppföljning av tidigare granskning avseende Rikspolisstyrelsens behandling av personuppgifter i penningtvättsregistret

Uppföljning av tidigare granskningar avseende Polismyndighetens behandling av personuppgifter i penningtvättsregistret

Användning av en kvalificerad skyddsidentitet som upphört att gälla vid Polismyndigheten, region Nord

Polismyndigheten i Östergötlands läns behandling av personuppgifter i underrättelseverksamheten

Användning av kvalificerade skyddsidentiteter vid Polismyndigheten, region Nord

Polismyndigheten i Västra Götalands behandling av personuppgifter i underrättelseverksamheten

Hanteringen av hemliga tvångsmedel vid Åklagarkammaren i Göteborg

Rikspolisstyrelsens behandling av personuppgifter i penningtvättsregistret

Åklagarmyndighetens användning av s.k. postkontroll

Polismyndigheternas behandling av känsliga personuppgifter i KUT-info

Tilldelning och användning av behörigheter i DurTvå

Rikspolisstyrelsens rutiner för och kontroll av behandling av känsliga personuppgifter i polisens allmänna spaningsregister, ASP

Nämnden är starkt kritisk till hur ärendet har hanterats.

Granskning av ärenden vid Åklagarkammaren i Uppsala där den enskilde inte underrättats om hemlig tvångsmedelsanvändning

Postadress Telefon E-post Organisationsnummer Box 22523, Stockholm

SÄKERHETS- OCH. Uttalande med beslut Dnr och

Postadress Telefon E-post Organisationsnummer Box 22523, Stockholm

Personuppgiftsansvar för behandling av personuppgifter i det centrala kriminalunderrättelseregistret, KUR

Svensk författningssamling

Användningen av kvalificerade skyddsidentiteter inom det särskilda personsäkerhetsarbetet

Postadress Telefon E-post Organisationsnummer Box 22523, Stockholm

Polismyndighetens behandling av personuppgifter i signalementsregistret

Svensk författningssamling

Polismyndighetens rutiner avseende avlyssningsförbudet i 27 kap. 22 rättegångsbalken

Granskning av underrättelser om beslut om inhämtning av uppgifter enligt den s.k. inhämtningslagen

Tillsyn enligt personuppgiftslagen (1998:204) Behandling av personuppgifter i e-post

Granskning av underrättelser om beslut om inhämtning av uppgifter enligt inhämtningslagen

Tillsyn enligt personuppgiftslagen (1998:204) Behandling av personuppgifter i e-post

Postadress Telefon E-post Organisationsnummer Box 22523, Stockholm

Handläggningen av ett tvångsmedelsärende vid City åklagarkammare i Stockholm. Handläggningen har uppvisat bl.a. följande anmärkningsvärda brister.

Granskning av underrättelser om beslut om inhämtning av uppgifter enligt inhämtningslagen

Förstöring av upptagningar och uppteckningar från vissa hemliga tvångsmedel en granskning av två åklagarkammare och en polismyndighet

Hanteringen av hemliga tvångsmedel vid Ekobrottsmyndigheten

Svensk författningssamling

Beslut efter tillsyn enligt personuppgiftslagen (1998:204) PuL

Tillsyn enligt personuppgiftslagen (1998:204) Behandling av personuppgifter i e-post

Tillsyn enligt personuppgiftslagen (1998:204) socialtjänstens behandling av personuppgifter om etniskt ursprung

Överskottsinformation från hemlig rumsavlyssning

Polisens tillgång till signalspaning i försvarsunderrättelseverksamhet (Ds 2011:44)

Lag (2005:787) om behandling av uppgifter i Tullverkets brottsbekämpande verksamhet

Tillsyn enligt personuppgiftslagen (1998:204) Behandling av känsliga personuppgifter i mobila enheter

Postadress Telefon E-post Organisationsnummer Box 22523, Stockholm

Svensk författningssamling

Anmälan av personuppgiftsincident

Tullbrottsdatalag (2017:447)

Försvarets radioanstalts (FRA) behandling av personuppgifter

Svensk författningssamling

Beslut efter tillsyn enligt personuppgiftslagen (1998:204)

Tillsyn enligt personuppgiftslagen (1998:204) Behandling av känsliga personuppgifter i mobila enheter

Svensk författningssamling

Beslut efter tillsyn enligt personuppgiftslagen (1998:204)

Hantering av personuppgifter i Ekobrottsmyndighetens verksamhet

Beslut efter tillsyn enligt personuppgiftslagen (1998:204) PuL

Svensk författningssamling

PERSONUPPGIFTSLAGEN (PUL)

Svensk författningssamling

Underrättelser till enskilda vid internationell rättslig hjälp vid två internationella åklagarkammare

Postadress Telefon E-post Organisationsnummer Box 22523, Stockholm

Svensk författningssamling

Tillsyn enligt polisdatalagen (2010:361) och personuppgiftslagen (1998:204) av Polismyndighetens personuppgiftsbehandling i fingeravtrycksregistret

Rättssäkerhetsgarantier och hemliga tvångsmedel (SOU 2018:61) (Ju2018/04023/Å) 2 Synpunkter på författningsförslagen

Personuppgiftsbehandling för forskningsändamål

Nämnden konstaterar att det har funnits flera fel och brister i hanteringen av hemliga tvångsmedel vid Åklagarkammaren i Skövde.

Beslut efter tillsyn enligt personuppgiftslagen (1998:204)

Transkript:

SÄKERHETS- OCH INTEGRITETSSKYDDSNÄMNDEN Uttalande med beslut 2017-02-16 Dnr 142-2016 Polismyndighetens behandling av känsliga personuppgifter avseende etnicitet i underrättelseverksamheten vid Nationella operativa avdelningen och region Stockholm 1. SAMMANFATTNING Säkerhets- och integritetsskyddsnämnden har granskat Polismyndighetens behandling av känsliga personuppgifter avseende etnicitet vid Nationella operativa avdelningen och polisregion Stockholm. Granskningen har omfattat ett urval personregistreringar samt Polismyndighetens interna rutiner för registrering och hantering av känsliga personuppgifter. Nämnden anser att Polismyndigheten i tre granskade underrättelseuppslag borde valt ett annat ord än zigenare vid beskrivning av personer, då ordet kan uppfattas som kränkande. Nämnden ifrågasätter inte Polismyndighetens behov av att behandla de känsliga personuppgifter som granskats. Vad Polismyndigheten anfört föranleder dock nämnden att påminna om skyldigheten att i varje enskilt fall göra en noggrann prövning av om en känslig personuppgift är absolut nödvändig för syftet med behandlingen. Nämnden är kritisk till att Polismyndigheten inte har genomfört någon logguppföljning avseende de granskade uppgiftssamlingarna. Postadress Telefon E-post Organisationsnummer Box 22523, 104 22 Stockholm 08-617 98 00 sakint@sakint.se 202100-5703 Besöksadress Telefax Webbplats Bankgiro Norr Mälarstrand 6, Stockholm 08-617 98 88 www.sakint.se 782-4329

2 Innehåll 1. SAMMANFATTNING... 1 2. BAKGRUND... 3 3. RÄTTSLIGA UTGÅNGSPUNKTER... 3 4. UTREDNINGEN... 4 4.1. Genomförande... 4 4.2. Nämndens iakttagelser... 4 4.3. Polismyndighetens svar... 5 5. NÄMNDENS BEDÖMNING... 6 5.1. Behandlingen av känsliga personuppgifter... 6 Enskilda registreringar... 6 En noggrann prövning krävs i det enskilda fallet... 6 Rutiner för behandlingen av känsliga personuppgifter... 7 5.2. Logguppföljning... 7 6. BESLUT... 7

3 2. BAKGRUND I polisdatalagen (2010:361) (PDL), liksom i annan lagstiftning om behandling av personuppgifter, har känsliga personuppgifter det vill säga uppgifter om exempelvis en persons etniska ursprung eller religiösa övertygelse en särställning som innebär att sådana uppgifter får behandlas endast i undantagsfall och under särskilda förutsättningar. Säkerhets- och integritetsskyddsnämnden har vid flera tillfällen granskat polisens behandling av känsliga personuppgifter. Den 14 juni 2016 beslutade nämnden att granska Polismyndighetens behandling av känsliga personuppgifter avseende etnicitet i underrättelseverksamheten vid Nationella operativa avdelningen och polisregion Stockholm. 3. RÄTTSLIGA UTGÅNGSPUNKTER Uppgifter om en person får inte behandlas enbart på grund av vad som är känt om personens ras eller etniska ursprung, politiska åsikter, religiösa eller filosofiska övertygelse, medlemskap i fackförening, hälsa eller sexualliv (känsliga personuppgifter) (2 kap. 10 första stycket PDL). Bestämmelsen hindrar emellertid inte behandling av uppgifter om en persons nationalitet och i regel faller också uppgifter om att en viss person kommer från en viss världsdel eller ett visst land utanför förbudet mot behandling av känsliga personuppgifter. 1 Om uppgifter om en person behandlas på annan grund får de dock kompletteras med känsliga personuppgifter när det är absolut nödvändigt för syftet med behandlingen (2 kap. 10 andra stycket PDL). Bestämmelsen innebär att om andra uppgifter om en person samlas in i samband med exempelvis en förundersökning får dessa kompletteras med känsliga personuppgifter om det är av avgörande betydelse för utredningen. Med hänsyn till den restriktivitet som ligger i begreppet absolut nödvändigt måste behovet av att göra sådana kompletteringar prövas noga i det enskilda fallet. 2 Uppgifter som beskriver en persons utseende ska utformas på ett objektivt sätt med respekt för människovärdet (2 kap. 10 tredje stycket PDL). Känsliga personuppgifter får inte användas som sökbegrepp vid sökning bland personuppgifter som har gjorts gemensamt tillgängliga 3 (3 kap. 5 första stycket PDL). 1 Prop. 2009/10:85 s. 325. 2 A. prop. s. 325. 3 Personuppgifter är gemensamt tillgängliga om ett flertal personer har möjlighet att ta del av dem eller om avsikten är att uppgifterna ska vara åtkomliga för en i förväg obestämd krets (A. prop. s. 334) Förutsättningarna för att göra uppgifter gemensamt tillgängliga framgår av 3 kap. 2 PDL.

4 Tillgången till personuppgifter ska begränsas till vad varje tjänsteman behöver för att kunna fullgöra sina arbetsuppgifter (2 kap. 11 PDL). Den personuppgiftsvarige ska vidta lämpliga åtgärder för att skydda de personuppgifter som behandlas (2 kap. 1 och 2 PDL och 31 personuppgiftslagen [1998:204]). 4. UTREDNINGEN 4.1. Genomförande Den 6 oktober 2016 genomfördes en inspektion vid Polismyndigheten. Vid inspektionen granskades behandlingen av känsliga personuppgifter i sex gemensamt tillgängliga uppgiftssamlingar. Tre av uppgiftssamlingarna används vid Nationella operativa avdelningen; en i syfte att kartlägga misstänkt grov organiserad brottslighet, en för uppgifter om övervakade personer samt en för kartläggning av kriminella grupperingar. Resterande tre uppgiftssamlingar används vid polisregion Stockholm; två i syfte att kartlägga misstänkt grov organiserad brottslighet och en för kartläggning av kriminella nätverk. Ett urval gjordes av underrättelseuppslag, det vill säga dokument med underrättelseinformation, genom att ord som kan utgöra känsliga personuppgifter avseende etniskt ursprung användes som sökbegrepp. Därefter granskades behandlingen av känsliga personuppgifter avseende tretton personer. Efter genomförd inspektion har Polismyndigheten skriftligen besvarat frågor med anledning av nämndens iakttagelser. Polismyndighetens svar redovisas i avsnitt 4.3. 4.2. Nämndens iakttagelser De granskade dokumenten var daterade från år 2006 och framåt. De handlade sammanfattningsvis om följande. Personers tillgång till narkotika och/eller innehav av vapen. Ekonomisk brottslighet. Möten eller uppgörelser mellan kriminella grupperingar. Personer som kan misstänkas ha begått eller komma att begå krigsbrott. De flesta granskade underrättelseuppslagen innehöll information från externa uppgiftslämnare (s.k. källor). Samtliga underrättelseuppslag innehöll ord som kan utgöra en känslig personuppgift avseende etnicitet. Orden synes ha lämnats i syfte att beskriva en enskild person eller en gruppering. I tre fall

5 förekom ordet zigenare. Det fanns en dokumenterad nödvändighetsbedömning i tre av de tretton granskade fallen. Polismyndigheten har den 7 juli 2016 beslutat Riktlinjer avseende ansvar för personuppgiftsbehandling i underrättelseverksamheten (PM 2016:38). 4 För behandling av känsliga personuppgifter anges i riktlinjerna att nödvändighetsbedömningar som regel ska utföras av varje registrerande tjänsteman. Vid osäkerhet ska tjänstemannen kontakta en särskilt utsedd person. Enligt riktlinjerna ska nödvändighetsbedömningar dokumenteras endast om det inte är tydligt varför uppgiften är absolut nödvändig. Vidare har Polismyndigheten den 1 juli 2016 beslutat Riktlinjer för särskild registervård av personuppgiftsbehandlingar (PM 2016:36). 5 I dessa riktlinjer anges att stickprovskontroller avseende användarnas hantering av informationsmängder kan göras i syfte att säkerställa att befintlig information hanteras korrekt. Enligt riktlinjerna kräver en hanteringskontroll normalt en beställning av loggutdrag från Centrala säkerhetsloggen. 4.3. Polismyndighetens svar Polismyndigheten har anfört bl.a. följande. Den information som hanteras i underrättelseverksamheten härrör i stor utsträckning från källor. Uppgifter från en källa återges ofta ordagrant, även i de fall uppgifterna handlar om ursprung. När en källa lämnar uppgifter är det många gånger oklart om uppgifterna avser nationalitet eller etniskt ursprung. Bedömningen av om det är absolut nödvändigt att behandla en känslig personuppgift görs när uppgiften registreras. Om en källa uppger ordet zigenare är det ofta lämpligt att i underrättelseuppslaget återge samma ord. Anledningen till detta är att polisanställda inte ska förvanska uppgifter till följd av egna värderingar. I flera av de granskade fallen behövs uppgifter om nationellt eller etniskt ursprung som lämnats av en källa för att kunna identifiera en person. Uppgifter som en gång behövts för identifiering är nödvändiga att behålla så länge underrättelseuppslaget behandlas. Det är viktigt att det finns en spårbarhet och möjlighet att se vilka uppgifter som lades till grund för identifieringen. När det gäller grupperingar som benämns med en term som innefattar uppgift om nationellt eller etniskt ursprung använder Polismyndigheten sig av samma benämning som används av de utpekade personerna och deras umgängeskrets. 4 Riktlinjerna ska vara slutligt införda senast den 7 juli 2017. 5 Riktlinjerna gäller fr.o.m. den 1 juli 2016.

6 Om en annan benämning skulle användas finns en stor risk för missförstånd. En sådan uppgift är därför absolut nödvändig att behandla oavsett sin karaktär. Någon logguppföljning avseende de aktuella uppgiftssamlingarna har hittills inte genomförts. Enligt myndighetens riktlinjer avseende ansvar för personuppgiftsbehandling i underrättelseverksamheten ska utsedd ansvarig vid bestämda tidpunkter en gång årligen se till att genomföra sådana registervårdande insatser som krävs enligt riktlinjerna för särskild registervård. 5. NÄMNDENS BEDÖMNING 5.1. Behandlingen av känsliga personuppgifter Enskilda registreringar Nämnden har noterat tre underrättelseuppslag som innehåller ordet zigenare. Det rör sig om uppgifter som lämnats av källor för att beskriva personer. Nämnden har i och för sig förståelse för vikten av att Polismyndigheten återger källor korrekt. Om uppgifter som lämnats innehåller kränkande beskrivningar eller begrepp torde det emellertid inom underrättelseverksamheten sällan vara nödvändigt att återge den exakta ordalydelsen. 6 Som föreskrivs i 2 kap. 10 tredje stycket PDL ska uppgifter som beskriver en persons utseende utformas på ett objektivt sätt med respekt för människovärdet. Mot denna bakgrund finner nämnden att Polismyndigheten borde ha valt ett annat ord än zigenare vid beskrivningen av personerna. Nämnden ifrågasätter inte Polismyndighetens behov av att behandla de känsliga personuppgifter som granskats. En noggrann prövning krävs i det enskilda fallet Möjligheten för Polismyndigheten att behandla känsliga personuppgifter med stöd av polisdatalagen är mycket begränsad. Begränsningen ska ses i ljuset av det i personuppgiftslagen föreskrivna förbudet att behandla känsliga personuppgifter. 7 För att en känslig personuppgift ska få behandlas enligt polisdatalagen är det alltså inte tillräckligt att den i och för sig har betydelse för ändamålet med behandlingen. Mot bakgrund av vad Polismyndigheten anfört finner nämnden anledning att påminna om skyldigheten att i varje enskilt fall göra en noggrann prövning av 6 Se nämndens uttalande från den 11 december 2014 Uppföljning av Polismyndigheten i Skånes behandling av personuppgifter i uppgiftssamlingen benämnd Kringresande (dnr 463-2013). 7 Se 13 personuppgiftslagen.

7 om en känslig personuppgift är absolut nödvändig för syftet med behandlingen. Detta gäller t.ex. vid bedömningen av om en uppgift om etnicitet får fortsätta att behandlas även efter det att en person har identifierats. Rutiner för behandlingen av känsliga personuppgifter Frågan om en känslig personuppgift får behandlas eller inte kan innefatta svåra bedömningar. Nämnden har tidigare förordat att Polismyndigheten bör ha rutiner som innebär att beslut om registrering av känsliga personuppgifter alltid ska fattas av särskilt utsedda personer samt att besluten ska dokumenteras och motiveras. 8 Som nämnden tidigare uttalat är det därför olyckligt att Polismyndighetens nya riktlinjer innebär att de av nämnden förordade rutinerna frångås. 9 5.2. Logguppföljning Det är av stor vikt att förbudet att använda känsliga personuppgifter som sökbegrepp efterlevs. Det är därför angeläget att kontroller görs, t.ex. genom logguppföljning. Nämnden är kritisk till att Polismyndigheten inte har genomfört någon logguppföljning avseende de granskade uppgiftssamlingarna. 6. BESLUT Med detta uttalande avslutas ärendet. På Säkerhets- och integritetsskyddsnämndens vägnar Sigurd Heuman I avgörandet har deltagit: Sigurd Heuman (ordförande), Barbro Thorblad, Cecilia Dalman Eek, Linnéa Darell, Berit Jóhannesson, Christina Linderholm, Ewa Samuelsson, Mats Sander och Jonas Åkerlund (enhälligt). Föredragande: Emma Lampe 8 Se exempelvis nämndens uttalande från den 11 december 2014 Polismyndigheten i Östergötlands läns behandling av personuppgifter i underrättelseverksamheten (dnr 69-2014). 9 Se nämndens uttalande från den 25 januari 2017 Polismyndighetens, region Syd, behandling av känsliga personuppgifter i regionala uppgiftssamlingar om inhemsk extremism (dnr 108-2016).

8 Expedition till: Polismyndigheten, Rättsavdelningen, enheten för rättslig styrning och stöd (A274.870/2016) Kopia för kännedom till: Datainspektionen

2025 © DocPlayer.se Sekretesspolicy | Användarvillkor | Kontakta oss