Datainspektionen Att: Camilla Sparr Box 8114 104 20 Stockholm Yttrande avseende Datainspektionens begäran om upplysningar, diarienummer 1080-2013 Med anledning av Datainspektionens skrivelse, daterad den 12 augusti 2013, med begäran om upplysningar med stöd av 43 personuppgiftslagen (1998:204) får (nedan Landskronahem) framföra följande. Bakgrund Landskronahem äger och förvaltar ca 4 000 bostadshyreslägenheter. Den 12 juni 2013 genomförde Sydnytt en granskning av Landskronahems datasystem, Fast 2, för att undersöka om det fanns några känsliga noteringar registrerade i systemet. Fastighetssystemet, som infördes 2005, utgör Landskronahems arbetsverktyg för att kunna fullgöra de hyresavtal som ingåtts med hyresgästerna, såsom vad gäller administration av uthyrning, hyresdebitering och hyresbetalning samt teknisk förvaltning av lägenheterna. I tidigare versioner av datasystemet har det inte funnits något tekniskt program för gallring av uppgifter. Sådan möjlighet infördes genom den senaste versionen av Fast2, vilken togs i bruk och installerades hos Landskronahem under 2013. Landskronahem har ett utsett personuppgiftsombud. Landskronahem har som rutin att samtlig nyanställd personal som utbildas i datasystemet samtidigt även utbildas i frågor som rör bland annat hantering av personuppgifter. Därutöver har Landskronahem en policy som innebär att bolaget kontinuerligt gör en uppföljning av de anställdas kompetens vad gäller behandling av information.
Efter Sydnytts granskning har nu Datainspektionen begärt att Landskronahem lämnar en redogörelse för sin behandling av personuppgifter. Landskronahems redogörelse Landskronahem har ombetts besvara ett antal specifika frågor enligt nedan. Frågorna återges nedan i kursiv stil. Behandling av känsliga uppgifter - Har Landskronahem registrerat, enligt personuppgiftslagen, känsliga uppgifter om de boende eller de bostadssökande? Om ja ange i vad mån de registrerade lämnat sitt samtycke till detta. Generellt har Landskronahem i sitt datasystem Fast2 inte registrerat vad som kan betraktas som känsliga uppgifter enligt personuppgiftslagen. Naturligtvis ska Landskronahem följa personuppgiftslagen och den branschöverenskommelse som finns avseende behandling av personuppgifter. Landskronahem är även av uppfattningen att bolaget i stort behandlar uppgifter i enlighet med gällande lagstiftning. Det har i samband med Sydnytts granskning framkommit att registrering av känsliga uppgifter ändock skett i några enstaka fall. Med anledning härav har Landskronahem vidtagit de åtgärder som framgår nedan i yttrandet. De registreringar som skett avseende vad som kan betraktas som känsliga uppgifter har enbart rört personer som är boende hos Landskronahem. Några registreringar avseende bostadssökande har inte förekommit. Landskronahem beklagar att uppgifter som kan uppfattas som känsliga uppgifter har förekommit. Samtliga uppgifter som registrerats har varit av betydelse för Landskronahems möjlighet att ha en god servicenivå gentemot sina boende samt bedriva en bra förvaltning av sina bostadslägenheter, något som gynnar de boende.
Beträffande de uppgifter som registrerats och som kan uppfattas som känsliga så avser dessa noteringar kring enskildas hyresbetalning. Registrering av sådan uppgift har skett i syfte att skydda den enskilde exempelvis från att bli uppsagd, få en betalningsanmärkning eller riskera avhysning. Registreringen har i samtliga fall föregåtts av ett samtal från den boende själv eller från någon till den boende närstående person. De uppgifter som har registrerats och som kan uppfattas som känsliga är i de allra flesta fall sådana som orsak till sen hyresbetalning, exempelvis att utebliven hyresbetalning orsakats av hälsoskäl. Dessa noteringar har dock skett i syfte att uppmärksamma Landskronahems handläggare på den enskilde hyresgästens särskilda behov och boendesituation. För handläggning av ärenden där en hyresgäst, hos vilken det förekommer sena hyresbetalningar, önskar att få byta lägenhet eller vill beställa tillval till sin lägenhet är det av betydelse att känna till orsaken till den sena hyresbetalningen. I sådana fall har notering om orsak till sen hyresbetalning skett i syfte att underlätta för den enskilde att kunna få igenom sin önskan. Landskronahems personal har som policy att innan registrering av uppgiften görs i datasystemet Fast2 informera den enskilde om att en notering kring uppgiften önskas göras. Något formaliserat samtycke från den enskilde har dock inte funnits. - Om känsliga uppgifter har registrerats utan samtycke anser sig Landskronahem ha stöd för denna registrering? I sådana fall vilket? Landskronahem har som ovan framhållits gjort de registreringar som kan uppfattas som känsliga uppgifter av hänsyn till och med omtanke om de boende, såsom att skydda hyresgästen från juridiska åtgärder vid sen hyresbetalning. Vidare har behandling av uppgifter varit nödvändig för att Landskronahem ska kunna fullgöra sina hyresavtal med de boende samt för att fastställa och göra gällande rättsliga anspråk. Behandlingen har således, enligt Landskronahems uppfattning, skett med stöd av 16 personuppgiftslagen.
För den händelse detta stöd inte skulle anses vara tillräckligt avser Landskronahem att vidta nödvändiga åtgärder. - Om känsliga uppgifter finns registrerade har åtkomsten till dessa begränsats (så att t.ex. endast den som kan ha behov av uppgiften har tillgång till den i systemet)? Landskronahem har 55 fast anställda i sin personal, vilka alla har bedömts ha ett behov av att ha tillgång till datasystemet Fast2 för att kunna fullgöra sina arbetsuppgifter såsom hyresdebitering, underhåll av lägenheterna m.m.; allt relaterat till ingångna hyresavtal med de boende. Behörighet för att kunna registrera uppgifter kring hyra och betalningskrav har endast två av de anställda. Beträffande registrering av uppgifter kring störningar och klagomål kan sådana göras av 23 personer av bolagets anställda. - Om känsliga uppgifter finns registrerade utan att stöd för detta finns vilka åtgärder avser bolaget att vidta för att behandlingen fortsättningsvis ska ske i enlighet med personuppgiftslagen och branschöverenskommelsen? Ange hur gallring av uppgifterna har skett alternativt kommer att ske. Inge eventuellt beslut av arkivmyndighet. För att säkerställa att Landskronahem fortsättningsvis kommer att behandla personuppgifter i enlighet med lagens bestämmelser och branschöverenskommelsen så har Landskronahem vidtagit en rad åtgärder enligt följande. Så snart det konstaterats att Landskronahem registrerat uppgifter som kan betraktas vara av känslig karaktär kontaktade Landskronahem den leverantör som tillhandahåller datasystemet Fast 2. En diskussion inleddes omedelbart angående möjligheten att löpande gallra inaktuella uppgifter i datasystemets register samt att se över om man kan begränsa de olika behörigheterna på lämpligt sätt. På uppdrag av Landskronahem testkörde leverantören systemet för
att se hur registren på bästa sätt kan gallras. Under september månad kommer en skarp gallring att ske. I mitten av september kommer ett möte att ske mellan företrädare för Landskronahem och leverantören för Fast 2. Vid detta möte ska en gallringsplan diskuteras och tas fram. Landskronahem har begärt att leverantören till datasystemet Fast 2 ska undersöka vilka gallrings- och sökfunktioner som kan införas i systemet för att säkerställa att känsliga uppgifter inte registreras alternativt löpande rensas bort. Även möjligheten att dela upp ytterligare behörighetsgrupper för olika delar av datasystemet kommer att ses över. Vidare ska lämnat samtycke till behandling av personuppgifter formaliseras på ett bättre sätt. En arbetsgrupp inom Landskronahem har tillsatts i uppdrag att ta fram lämpliga åtgärder för att säkerställa att behandling av uppgifter sker med den enskildes samtycke. Parallellt med arbetet enligt ovan håller Landskronahem på att arbeta fram nya rutiner och förtydligande riktlinjer för hur personalen på ett rättssäkert sätt ska hantera känslig information i enlighet med gällande lagstiftning. Vidare kommer Landskronahem fortsätta sitt arbete med att utbilda sin berörda personal i frågor som rör hantering av känslig information. Härvid kommer särskilt att belysas vad regleringen i personuppgiftslagen samt SABO:s branschöverenskommelse innebär för Landskronahem i egenskap av ett kommunalt bostadsbolag. Genom kontinuerlig uppföljning och utvärdering kommer Landskronahem att säkerställa personalens kunskap och kompetens i hantering av känslig information. Behandling av uppgifter om lagöverträdelser Datainspektionen har även önskat en redogörelse för om Landskronahem behandlar uppgifter om lagöverträdelser (även misstanke om brott) utifrån frågeställningarna nedan.
- Har Landskronahem registrerat uppgifter om lagöverträdelser om de boende eller bostadssökande - Om uppgifter om lagöverträdelser har registrerats anser sig Landskronahem ha stöd för denna registrering? I sådana fall vilket? - Om uppgifter om lagöverträdelser finns registrerade har åtkomsten till dessa begränsats (så att t.ex. endast den som kan ha behov av uppgiften har tillgång till den i systemet)? - Om uppgifter om lagöverträdelser finns registrerade utan att stöd för detta finns vilka åtgärder avser bolaget att vidta för att behandlingen fortsättningsvis ska ske i enlighet med personuppgiftslagen och branschöverenskommelsen? Ange hur gallring av uppgifterna har skett alternativt kommer att ske. Inge eventuellt beslut från gallringsmyndighet. Landskronahem har, enligt bolagets bedömning, inte registrerat några uppgifter kring lagöverträdelser eller misstanke om brott om de boende eller de bostadssökande i den mening som avses i 21 personuppgiftslagen. Naturligtvis kommer dock även denna aspekt att belysas vid Landskronahems fortsatta arbete för att säkerställa att registrering av uppgifter sker i enlighet med gällande lagstiftning och branschöverenskommelse. Önskas ytterligare eller kompletterande upplysningar är undertecknad tacksam för en kontakt. Landskrona den 3 september 2013 Helena Fremle, VD