Tillsyn enligt personuppgiftslagen (1998:204) uppföljning av ärende om Vänsterpartiets medlemsregister

Datum Diarienr 2014-03-31 1288-2013 Vänsterpartiet Box 12660 112 93 STOCKHOLM Tillsyn enligt personuppgiftslagen (1998:204) uppföljning av ärende om Vänsterpartiets medlemsregister Datainspektionens beslut Datainspektionen förutsätter att Vänsterpartiet antingen inhämtar giltiga samtycken från registrerade för att behandla uppgifter om tidigare medlemmar t.ex. för återvärvningsändamål eller upphör med behandlingarna. Datainspektionen förutsätter att Vänsterpartiet kompletterar informationen som lämnas till medlemmar och prenumeranter om partiets behandling av personuppgifter. Datainspektionen förelägger Vänsterpartiet att inför sådana tekniska funktioner som gör det möjligt att utreda vem som haft åtkomst till vilka personuppgifter i medlemsregistret och när. Ärendet avslutas. Redogörelse för tillsynsärendet Bakgrund Datainspektionen har i ett tidigare ärende (dnr 1670-2011) granskat hur Vänsterpartiet behandlar personuppgifter i ett centralt medlemsregister. Granskningen ingick i ett tillsynsprojekt i syfte att granska hur samtliga riksdagspartier behandlar personuppgifter om medlemmar och andra personer som kontaktar partierna för information eller liknande och om behandlingen av sådana personuppgifter uppfyller de krav som personuppgiftslagen ställer. Granskningen omfattade även IT-säkerheten vid behandlingarna. Postadress: Box 8114, 104 20 Stockholm E-post: datainspektionen@datainspektionen.se Besöksadress: Drottninggatan 29, plan 5 Telefon: 08-657 61 00 Webbplats: www.datainspektionen.se Telefax: 08-652 86 52

Datainspektionen kunde i det tidigare ärendet konstatera brister och förelade Vänsterpartiet att vidta åtgärder för att uppfylla kraven i personuppgiftslagen. Uppföljning I detta ärende följer Datainspektionen upp det tidigare ärendet genom att kontrollera vilka åtgärder Vänsterpartiet vidtagit för att rätta till vissa brister. Partiet har skriftligen svarat på frågor om vidtagna åtgärder och i fall arbetet med att åtgärda bristerna ännu inte är avslutat har partiet redogjort för det arbete som pågår och hur länge det beräknas ta. Skäl för beslutet Känsliga personuppgifter En uppgift om medlemskap i ett politiskt parti är en känslig personuppgift, eftersom den avslöjar politiska åsikter. Känsliga personuppgifter får behandlas med stöd av 15-19 personuppgiftslagen. Av 17 personuppgiftslagen framgår att en ideell organisation med ett politiskt syfte, inom ramen för sin verksamhet, får behandla personuppgifter om organisationens medlemmar och sådan andra personer som på grund av organisationens syfte har regelbunden kontakt med den. Tidigare medlem Uppgifter i ett medlemsregister om en person som t.ex. utträtt eller uteslutits från ett politiskt parti och därför inte längre är medlem i organisationen är också en känslig personuppgift eftersom den kan anses avslöja en politisk åsikt. En organisation får inte med stöd av 17 personuppgiftslagen behandla känsliga personuppgifter om en person som inte längre är medlem och inte heller på grund av organisationens syfte har regelbunden kontakt med organisationen. För det fall medlemskapet upphört när en medlem inte betalat medlemsavgiften, men medlemmen fortfarande har uppdrag för partiet eller deltar i partiaktiviteter och själv uppfattar sig som medlem, kan partiet behandla känsliga personuppgifter om denne med stöd av 17 personuppgiftslagen. Detta eftersom personen på grund av organisationens syfte har regelbunden kontakt med partiet. Frågan om en person är medlem eller inte menar Datainspektionen får bestämmas enligt civilrättsliga regler med ledning av exempelvis organisationens stadgar och liknande. När det gäller ett medlemskap som avslutas är det rimligt att organisationen behöver en kortare tid för att administrera att medlemsförhållandet upphör. Tiden bör dock inte vara längre än tre månader efter att medlemskapet formellt upphör. Därefter anser Sida 2 av 7

Datainspektionen att medlemskapet måsta kunna betraktas som avslutat och att det därmed inte längre finns stöd att behandla uppgifterna. Datainspektionen har i sitt tidigare beslut förelagt Vänsterpartiet att antingen upphöra med att behandla uppgifter om tidigare medlemmar för återvärvning eller att inhämta samtycke till behandlingarna. Vänsterpartiet har uppgett att en medlem, som inte betalat medlemsavgiften senast den 31 december det år avgiften avser, enligt stadgarna mister de rättigheter som följer av medlemskapet. Medlemmar som inte har betalat förgående års medlemsavgift noterar partiet i början av januari på ett särskilt sätt för att tydliggöra att dessa inte längre är att betrakta som betalningsklara och därmed inte längre är medlemmar i partiet. Uppgifterna behålls i registret i upp till högst ett år innan de avidentifieras. De sparas för att särskilt behöriga medlemsansvariga i de lokala partiföreningarna ska kunna se att en tidigare medlem inte längre är medlem på grund av bristande betalning. I vissa fall är det på grund av missförstånd eller slarv som en enskild medlem glömt bort att betala och om en sådan person deltar på ett medlemsmöte eller i någon annan partiaktivitet kan föreningens medlemsansvarige påminna om den obetalda medlemsavgiften. Det är också vanligt att enskilda personer som slarvat med föregående års medlemsavgift själva tar kontakt med partiet för att de önskar kvarstå som medlemmar. Ett extra påminnelseutskick med inbetalningskort kan i dessa fall enkelt skickas ut eftersom personen inte har avidentifierats omedelbart i samband med årsskiftet. Vänsterpartiet har uppgett att personuppgifter om medlemmar som aktivt begärt utträde eller avlidit sparas i registret under ett år från utträdesdatum för att behöriga medlemsansvariga i partiföreningar säkert ska hinna få information om utträdet eller dödsfallet. Det görs inga aktiva återvärvningar av personer som aktivt begärt utträde. Avidentifieringen sker senast ett år efter utträdesdatum och kan vid särskild begäran göras direkt. Vänsterpartiet har uppgett att det finns stöd för att registrera personer som lämnat samtycke till detta, något som implicit ges vid inbetalning av medlemsavgift. Vänsterpartiet har uppgett att man kommer att se över rutinerna för hur partiet behandlar uppgifter om tidigare medlemmar som inte betalat medlemsavgiften i tid, vilket kan innebära någon eller några av följande åtgärder. a) Att partiet förtydligar informationen till blivande och nuvarande medlemmar angående det förfarande som partiet har i nuläget när det gäller att spara uppgifter upp till ett år om en person som inte längre är medlem på grund av bristande betalning. Detta förutsätter att Datainspektionen Sida 3 av 7

bedömer att ett sådan förtydligande är tillräcklig för att uppfylla gällande lagstiftning. b) Förändringar av Vänsterpartiets stadgar angående definitioner av vilka personer som räknas som medlemmar. c) Förändringar av rutinerna för hur partiet avidentifierar uppgifter om medlemmar. Datainspektionen hänvisar till att Vänsterpartiet har lagligt stöd i 17 personuppgiftslagen att behandla känsliga personuppgifter om egna medlemmar för att administrera medlemskapet. Datainspektionen har tidigare avrått Vänsterpartiet att använda den metod som partiet använder sig av i dag, det vill säga att den som vill bli medlem kan kryssa i en ruta Jag godkänner att personuppgifterna lagras enligt PuL. Skälet är att det ger en blivande medlem intryck av att hon eller han kan välja om partiet får behandla personuppgifterna eller inte. Oavsett om en medlem kryssar i rutan eller inte får partiet behandla uppgifterna för att administrera medlemskapet med stöd av 17 personuppgiftslagen. Däremot saknar partiet stöd av 17 personuppgiftslagen om partiet vill använda medlemsuppgifterna för andra ändamål än medlemsadministration eller för att behandla uppgifterna när medlemskapet är avslutat och personen i fråga inte heller har valt att ha regelbunden kontakt med partiet. Det hindrar dock inte ett politiskt parti, som vill använda uppgifter om medlemmar för andra ändamål, begär in separata samtycken genom att de registrerade samtycker till en aktuell behandling, t.ex. att behandla uppgifter om tidigare medlemmar för återvärvning. Ett samtycke enligt personuppgiftslagen är en frivillig och tydlig viljeyttring genom vilken den registrerade - efter att ha fått information - godtar behandlingen av personuppgifter om sig själv. För att behandling av känsliga uppgifter ska vara tillåten med stöd av ett samtycke från en registrerad ska samtycket vara uttryckligt, vilket innebär att samtycket för det bestämda ändamålet måste komma till uttryck på ett särskilt tydligt sätt. Samtycke genom konkludent handlande är inte tillräckligt. Ett generellt samtycke till behandling av personuppgifter kan inte godtas utan samtycket ska gälla behandling för preciserade ändamål. För att samtycket ska vara giltigt enligt personuppgiftslagen ska den registrerade ha fått tillräcklig information om behandlingen. Den registrerade måste ha fått sådan information att han eller hon kan ta ställning till om hans eller hennes personuppgifter ska få behandlas för det ändamål och på det sätt som planerats. Ett samtycke kan alltså inte omfatta annan behandling än sådan som den registrerade fått information om. Sida 4 av 7

Datainspektionen konstaterar att Vänsterpartiet behandlar personuppgifter i strid med 13 personuppgiftslagen, eftersom partiet saknar stöd i 15-19 personuppgiftslagen att behandla uppgifter om tidigare medlemmar, t.ex. för återvärvningssyfte. Datainspektionen konstaterar dock att Vänsterpartiet nu ser över partiets rutiner för behandling av personuppgifter om tidigare medlemmar. Datainspektionen förutsätter därför att Vänsterpartiet antingen inhämtar giltiga samtycken från registrerade för att behandla uppgifter om tidigare medlemmar t.ex. för återvärvningsändamål eller upphör med behandlingarna. Information Den personuppgiftsansvarige är skyldig att självmant informera de registrerade om behandlingen av personuppgifter. Informationen ska innehålla uppgift om den personuppgiftsansvariges identitet, ändamålen med behandlingen och all övrig information som behövs för att den registrerade ska kunna ta till vara sina rättigheter i samband med behandlingen. Sådan övrig information är t.ex. information om vilka kategorier av uppgifter som behandlas, kategorier av mottagare av uppgifterna, hur länge uppgifterna sparas samt rätten att gratis en gång årligen efter ansökan erhålla information och rätten att få rättelse av felaktiga eller missvisande uppgifter (jmf 25 personuppgiftslagen). Datainspektionen har i sitt tidigare beslut förelagt Vänsterpartiet att komplettera informationen som lämnas till medlemmar och att lämna information till prenumeranter om behandlingen av personuppgifter. Vänsterpartiet har uppgett att tidsplanen för att vidta åtgärderna förskjutits, men att partiet senast under april månad 2014 kommer att ha förtydligat informationen till blivande medlemmar och till befintliga medlemmar i ett medlemsutskick. För prenumeranter av partiets tidning kommer informationen att presenteras i samband med nästa nummer av tidningen som utkommer i maj. Datainspektionen konstaterar att Vänsterpartiet inom kort kommer att komplettera informationen om behandlingen av personuppgifter. Datainspektionen förutsätter därför att Vänsterpartiet kompletterar informationen som lämnas till medlemmar om behandlingen av personuppgifter senast den3o april 2014. Informationen ska kompletteras i enlighet med vad som framförts i myndighetens tidigare ärende under Sida 5 av 7

rubriken Skäl för beslutet på sidan 9 och 10 för att uppfylla de krav som ställs i 23-25 personuppgiftslagen. Datainspektionen förutsätter vidare att Vänsterpartiet lämnar information om behandlingen av personuppgifter till prenumeranter i tidningens nästkommande nummer. För det fall Vänsterpartiet avser att grunda en behandling av personuppgifter, t.ex. för återvärvningsändamål, på samtycke från de registrerade förutsätter Datainspektionen att paratiet ger information för vilka ändamål personuppgifterna behandlas och hur länge de sparas. IT-säkerhet Den personuppgiftsansvarige ska enligt 31 personuppgiftslagen vidta lämpliga tekniska och organisatoriska åtgärder för att skydda de personuppgifter som behandlas. Åtgärderna ska åstadkomma en säkerhetsnivå som är lämplig med beaktande av a. de tekniska möjligheterna som finns, b. vad det skulle kosta att genomföra åtgärderna, c. de särskilda risker som finns med behandlingen av personuppgifterna, och d. hur pass känsliga de behandlade personuppgifterna är Stark autentisering Känsliga personuppgifter får lämnas ut via öppet nät, t.ex. Internet, endast till identifierade användare vars identitet är säkerställd med stark autentisering. Stark autentisering, också kallat multifaktorsautentisering, kan realiseras på olika sätt. Det kan ske exempelvis med e-legitimation, men även andra tekniska funktioner för asymmetrisk kryptering samt vissa lösningar för engångslösenord och liknande kan också användas. Datainspektionen förelade i sitt tidigare beslut Vänsterpartiet att vidta åtgärder som innebär att åtkomst över öppet nät till personuppgifter i det centrala medlemsregistret skyddas med stark autentisering. Vänsterpartiet har uppgett att åtkomst till medlemsregistret nu är skyddat med hjälp av ett system som kombinerar användarnamn och lösenord med engångslösenord vid varje inloggning. Datainspektionen konstaterar att Vänsterpartiet åtgärdat aktuella brister och har inga synpunkter i denna del. Behandlingshistorik Av Datainspektionens allmänna råd för säkerhet vid behandling av personuppgifter framgår att en behandlingshistorik normalt bör vara så detaljerad att den kan användas för att utreda felaktig eller obehörig Sida 6 av 7

användning av personuppgifter. När ett politiskt parti behandlar uppgifter om medlemmar i ett medlemsregister måste det vara möjligt att utreda vem som haft åtkomst (läsning) till vilka personuppgifter i medlemsregistret och när. Vidare ska det gå att utreda vem som ändrat eller raderat personuppgifter och när förändringen skett. En behandlingshistorik har också en förebyggande funktion, vilket förutsätter att användarna informeras om att det förs en behandlingshistorik och att den kontrolleras. Datainspektionen förelade i sitt tidigare beslut Vänsterpartiet att införa sådana tekniska funktioner som gör det möjligt att utreda vem som har haft åtkomst till vilka personuppgifter och när samt vem som ändrat eller raderat personuppgifter och när förändringen inträffat. Vänsterpartiet har uppgett att loggning om vem som har utfört en ändring i medlemsregistret samt datum för detta nu finns implementerat i registerhanteringssystemet. Åtkomstloggning sker för varje enskild inloggning i medlemsregistret och underförstått finns vid varje sådant tillfälle möjlighet till åtkomst till uppgifter om alla medlemmar inom den behörighetsnivå som personen har. I normalfallet gäller behörigheten en enskild partiförening. Datainspektionen konstaterar att Vänsterpartiet inte visat att man åtgärdat bristerna fullt ut. Datainspektionen förelägger därför, med stöd av 45 första stycket personuppgiftslagen, Vänsterpartiet att införa sådana tekniska funktioner som gör det möjligt att utreda vem som haft åtkomst (läser) till vilka personuppgifter i medlemsregistret och när. Ärendet avslutas. Hur man överklagar Om ni vill överklaga beslutet skall ni skriva till Datainspektionen. Ange i skrivelsen vilket beslut som överklagas och den ändring som ni begär. Inspektionen måste ha fått ert överklagande inom tre veckor från den dag ni fick ta del av beslutet, annars kan överklagandet inte prövas. Datainspektionen sänder överklagandet vidare till Förvaltningsrätten i Stockholm för prövning om inspektionen inte själv ändrar beslutet på det sätt ni har begärt. Gunilla Öberg I handläggningen av detta ärende har även IT-säkerhetsspecialisten Adolf Slama deltagit. Sida 7 av 7