Datainspektionen. Årsredovisning 2012. Har du frågor om innehållet kontakta Datainspektionen, telefon 08-657 61 00, e-post

Datainspektionen Årsredovisning 2012

Datainspektionen. Årsredovisning 2012. Har du frågor om innehållet kontakta Datainspektionen, telefon 08-657 61 00, e-post datainspektionen@datainspektionen.se, eller besök www.datainspektionen.se 2 Datainspektionen Årsredovisning 2012

Innehåll 1. Året som har gått...4 2. Datainspektionens organisation...5 3. Lagar...5 3.1 Personuppgiftslagen (PuL)...5 3.2 Kreditupplysningslagen (KuL)...6 3.3 Inkassolagen (IkL)...6 4. Datainspektionens uppgifter...6 5. Datainspektionens mål och återrapporteringskrav...7 5.1 Mål...7 5.2 Övriga återrapporteringskrav...7 6. Prestationer...7 7. Tillsyn över behandlingen av personuppgifter...8 7.1 Information, regelgivning och rådgivning (omfattning och inriktning)...8 7.2 Regelgivning och rådgivning...10 7.3 Bedömning...13 8. Kommittéarbete och remisser...14 8.1 Kommittéarbete...14 8.2 Remissarbete...14 8.3 Bedömning...14 9. Inspektionsverksamheten...15 9.1 Inspektionsverksamheten...15 9.2 Temainspektioner...15 9.3 Fältinspektioner...16 9.4 Skrivbordsinspektioner...18 9.5 Förenklad tillsyn...19 9.6 Bedömning...19 10. Klagomål...20 10.1 Behandling av inkomna klagomål...20 10.2 Kvalificerade frågor...20 10.3 Bedömning...20 11. Inkomna förhandskontroller...21 11.1 Bedömning...21 12. Internationell verksamhet...21 12.1 Återrapporteringskrav...21 12.2 29-gruppen...21 12.3 Schengen JSA...22 12.4 Europol JSB och AC...22 12.5 CIC JSA...23 12.6 Konferenser och arbetsgrupper...23 12.7 Utländska besök...24 12.8 Bedömning...24 13. Elektronisk förvaltning...25 13.1 Återrapportering...25 13.2 Allmänt om arbetet med e-förvaltning...25 13.3 Tillsyn och inspektioner...25 13.4 Samverkan med andra på e-förvaltningsområdet...26 13.5 Övrigt...26 13.6 Bedömning...27 14. Övrig rapportering...28 14.1 Internet...28 14.2 Medborgarinitiativet...28 15. Övergripande bedömning av utveckling och resultat för tillsyn över behandlingen av personuppgifter...29 16. Tillsyn och tillståndsgivning inom kreditupplysnings- och inkassoverksamhet...30 16.1 Uppgift...30 16.2 Information, regelgivning och rådgivning...30 16.3 Kreditupplysningslagen...31 16.4 Tillstånd...32 16.5 Klagomål...32 16.6 Inkassolagen...33 16.7 Tillstånd...33 16.8 Klagomål...34 16.9 Övergripande bedömning av hur verksamheten har utvecklats och dess resultat...34 17. Kvalitet och effektivitet i verksamheten...34 17.1 Aktiviteter...34 17.2 Bedömning...35 18. Organisationsstyrning...36 18.1 Kompetensförsörjning...36 18.2 Jämställdhet...36 18.3 Lika rättigheter och möjligheter...36 18.4 Arbetsmiljö...36 18.5 Sjukfrånvaro...37 18.6 Ersättningar och andra förmåner...37 19. Resultaträkning...38 20. Balansräkning...39 21. Anslagsredovisning...41 22. Tilläggsupplysningar och noter...42 Tilläggsupplysningar...42 Noter...43 23. Sammanställning över väsentliga uppgifter...47 24. Generaldirektörens intygande...48 Datainspektionen Årsredovisning 2012 3

1. Året som har gått Året inleddes med att den Europeiska kommissionen presenterade ett förslag till en genomgripande reform av EU:s regler om skydd för personuppgifter. Vi kan samtidigt konstatera att den omvärld som Datainspektionen ska bevaka förändras i en hissnande takt. Inom den offentliga sektorn kan vi se att regeringen kraftigt ökar ambitionerna avseende e-förvaltning. Informationsutbytet mellan myndigheter fortsätter att utvecklas. Nya digitala tjänster skapas för att förenkla kontakterna mellan myndigheter och institutioner respektive privatpersoner. Ansträngningar görs för att underlätta vidareutnyttjande av den information, som finns samlad på myndigheterna och som kan göras publik. Molntjänster implementeras och sociala och interaktiva medier skapar nya förutsättningar för nya kontakter mellan olika aktörer i samhället och medborgare. Inom den privata sektorn finner man nya användningsområden för personuppgifter. Förbättrade tekniker för att sammanställa och tolka data utvecklas vidare, liksom möjligheterna att söka i stora informationsmängder. Konsumentelektronik med nätverksuppkoppling och så kallade appar används i allt större grad. Smarta el-nät utvecklas, det vill säga detaljerad information om konsumenters elförbrukning. Inom arbetslivet fortsätter digitaliseringen i hög takt. Den digitala förmannen är begrepp som hörs. Andra begrepp är Bring your own device, som handlar om att anställda använder egen utrustning i tjänsten. De så kallade positioneringstjänsterna utvecklas inom helt nya områden. Till detta ska läggas den enorma tillväxten av kommunikation och publicering av personlig information på nätet. Sammanfattningsvis, Datainspektionens uppdrag, inte bara växer, utan det förändras i en rasande takt. Vår största utmaning är att prioritera och tillvarata resurserna på ett optimalt sätt. Den strategi vi haft i flera år är att så mycket som möjligt synliggöra integritetsfrågorna i samhället. Uppmärksamhet i media ser jag därför som en avgörande framgångsfaktor. För att få uppmärksamhet måste vi ha något att berätta. Vi hämtar våra berättelser från verksamheten; från inspektioner, beslut, rapporter och yttranden över lagförslag, som vi tror har ett allmänt intresse. Genom att föra ut vår berättelse tror vi att vi höjer insikten hos både beslutsfattare och andra medborgare. Med den utgångspunkten kan vi vara mycket nöjda med årets insatser. Antalet artiklar i media har till och med överträffat rekordåret 2010. Kontakterna med allmänheten har också ökat markant, både i form av besök på webben men också genom förfrågningar per telefon och mejl. Även en bedömning av utförda tillsynsinsatser pekar på en lyckad prioritering. Som exempel kan nämnas e- förvaltning i vid mening, hälso- och sjukvård, forskning, socialtjänst, brottsbekämpning/integritet, skyddade uppgifter i skolan, rättsväsendets informationsförsörjning, kompetens- och karriärdatabaser, de politiska partiernas behandling av personuppgifter och granskning av bankappar. Som framgår av den kommande redovisningen finns behov av förbättringar inom flera känsliga områden. När det gäller inkassoverksamheten bedömer vi att branschen i allt väsentligt följer god inkassosed. Beträffande kreditupplysning på nätet måste vi däremot konstatera att de lagändringar som genomfördes 2011, i syfte att återställa ett försämrat konsument- och integritetsskydd, inte haft avsedd verkan. Datainspektionen kan se tillbaka på ett mycket intensivt arbetsår. Tack vare medarbetare med hög kompetens och stort engagemang bedömer jag att myndigheten har hanterat sitt uppdrag mycket väl. Göran Gräslund Generaldirektör 4 Datainspektionen Årsredovisning 2012

2. Datainspektionens organisation 3. Lagar Datainspektionen är tillsynsmyndighet för personuppgiftslagen, kreditupplysningslagen och inkassolagen. 3.1 Personuppgiftslagen (PuL) Personuppgiftslagen har till syfte att skydda människor mot att deras personliga integritet kränks när personuppgifter behandlas. Med personuppgifter avses all information som kan hänföras till en levande fysisk person. Lagen omfattar behandling av personuppgifter som är helt eller delvis automatiserad samt även manuellt förda personregister. Undantag gäller bland annat med hänsyn till offentlighetsprincipen samt tryck- och yttrandefriheten. Personuppgiftslagen gäller då personuppgifter behandlas i verksamhet som bedrivs av såväl enskilda som av myndigheter. Lagen gäller dock inte om uppgifterna behandlas av en fysisk person helt privat. Att publicera personuppgifter på Internet, till exempel på en webbplats eller en blogg, anses inte som privat behandling. Den som är ansvarig för behandlingen av personuppgifter kallas personuppgiftsansvarig. Denne kan utse och till Datainspektionen anmäla ett personuppgiftsombud. Ett personuppgiftsombud har till uppgift att självständigt kontrollera den personuppgiftsansvariges behandlingar. Vissa särskilt integritetskänsliga behandlingar ska alltid anmälas till Datainspektionen för förhandskontroll. Behandling av personuppgifter i ostrukturerat material, till exempel löpande text och enstaka bild- och ljudupptagningar, är tillåten utan andra restriktioner än att den registrerades integritet inte får kränkas. Särregler i annan lagstiftning tar över bestämmelserna i personuppgiftslagen. Det finns ett stort antal särregler i särskilda registerförfattningar och i andra lagar och förordningar. Datainspektionen Årsredovisning 2012 5

3.2 Kreditupplysningslagen (KuL) Kreditupplysningslagen är främst en integritetslagstiftning men lagen ska också bidra till en effektivt fungerande kreditupplysningsverksamhet. Den som bedriver kreditupplysningsverksamhet behöver normalt tillstånd från Datainspektionen. Tillstånd får meddelas endast om verksamheten kan antas bli bedriven på ett sakkunnigt och omdömesgillt sätt. Genom bland annat inspektioner kontrollerar Datainspektionen hur kreditupplysningslagen efterlevs. 3.3 Inkassolagen (IkL) Den som ska driva in fordringar för någon annans räkning, eller fordringar som har övertagits för indrivning, måste normalt ha Datainspektionens tillstånd. För att få tillstånd krävs att någon i företagets ledning har sakkunskap inom inkassoområdet och är omdömesgill. Datainspektionen bedömer om kraven är uppfyllda och kontrollerar att företaget iakttar god inkassosed. 4. Datainspektionens uppgifter Enligt förordningen (2007:975) med instruktion för Datainspektionen ska inspektionen verka för att människor skyddas mot att deras personliga integritet kränks genom behandling av personuppgifter och för att god sed iakttas i kreditupplysnings- och inkassoverksamhet. Myndigheten ska särskilt inrikta sin verksamhet på att informera om gällande regler samt ge råd och hjälp åt personuppgiftsombud enligt personuppgiftslagen. Myndigheten ska följa och beskriva utvecklingen på IT-området när det gäller frågor som rör integritet och ny teknik. Datainspektionen är tillsynsmyndighet enligt personuppgiftslagen (1998:204) och tillstånds- och tillsynsmyndighet enligt kreditupplysningslagen (1973:1173) och inkassolagen (1974:182). Myndigheten är tillsynsmyndighet enligt artikel 28 i Europaparlamentets och rådets direktiv 95/46/EG av den 24 oktober 1995 om skydd för enskilda personer med avseende på behandling av personuppgifter och om det fria flödet av sådana uppgifter, ändrat genom Europaparlamentets och rådets förordning (EG) nr 1882/2003. Myndigheten fullgör de förpliktelser som nämns i artikel 13 i Europarådets konvention om skydd för enskilda vid automatisk databehandling av personuppgifter när det gäller att lämna uppgifter till behörig myndighet i en stat som är ansluten till konventionen. Myndigheten är nationell tillsynsmyndighet enligt artikel 24 i rådets beslut 2009/917/RIF av den 30 november 2009 om användning av informationsteknik för tulländamål (TIS- rådsbeslutet), artikel 33 i rådets beslut av den 6 april 2009 om inrättande av Europeiska polisbyrån (Europol), artikel 30.5 i rådets beslut 2008/615/RIF av den 23 juni 2008 om ett fördjupat gränsöverskridande samarbete, särskilt för bekämpning av terrorism och gränsöverskridande brottslighet, och artikel 41 i Europaparlamentets och rådets förordning (EG) nr 767/2008 av den 9 juli 2008 om informationssystemet för viseringar (VIS) och utbytet mellan medlemsstaterna av uppgifter om viseringar för kortare vistelse (VIS-förordningen). Myndigheten är behörig myndighet för kontroll och intygande av att sådana system för insamling av stödförklaringar via internet som används för lagring i Sverige uppfyller de krav som följer av Europaparlamentets och rådets förordning (EU) nr 211/2011 av den 16 februari 2011 om medborgarinitiativet. artikel 114 i konventionen om tillämpning av Schengenavtalet av den 14 juni 1985 (Schengenkonventionen), 6 Datainspektionen Årsredovisning 2012

5. Datainspektionens mål och återrapporteringskrav Följande mål och övriga återrapporteringskrav följer av regleringsbrevet för budgetåret 2012. 5.1 Mål Datainspektionen ska upptäcka och förebygga hot mot den personliga integriteten. Verksamheten ska främst inriktas på områden som bedöms vara särskilt känsliga ur ett integritetsperspektiv, nya företeelser och användningsområden av teknik samt områden där risk för missbruk eller felaktig användning bedöms vara särskilt stor. Datainspektionen ska redovisa och kommentera verksamhetens resultat i förhållande till de uppgifter som framgår av förordningen (2007:975) med instruktion för Datainspektionen. Återrapporteringen ska innehålla en samlad beskrivning och analys av verksamhetens utveckling. Redovisningen ska göras enligt den indelning som myndigheten använder. 5.2 Övriga återrapporteringskrav E-förvaltning Datainspektionen ska redovisa vilka insatser myndigheten har gjort för att värna den personliga integriteten i samband med utvecklingen av en elektronisk förvaltning inom den offentliga förvaltningen. Internationell verksamhet Datainspektionen ska redovisa myndighetens deltagande i internationellt arbete. Av redovisningen ska även framgå den tid och de resurser som myndigheten använder till denna verksamhet. Kvalitet och effektivitet i verksamheten Datainspektionen ska redovisa de åtgärder som myndigheten har vidtagit för att utveckla kvaliteten och effektiviteten i verksamheten. 6. Prestationer Myndigheten har valt att redovisa prestationer inom de områden som utgör en betydande andel av myndighetens totala verksamhet eller bedöms vara av intresse för omvärlden. Prestationerna uttrycks vanligen som volym i förhållande till nedlagda kostnader och tidsåtgång. Uträkningen görs genom att multiplicera tidsåtgången med den procentuella andelen av myndighetens totalkostnad (inklusive lokal-, drifts- och finansiella kostnader). Prestationsredovisningen återfinns under följande avsnitt i årsredovisningen. 7 Tillsyn över behandlingen av personuppgifter 8 Kommittéarbete och remisser 9 Inspektionsverksamheten 10 Klagomål 12 Internationell verksamhet 16 Tillsyn och tillståndsgivning inom kreditupplysnings- och inkassoverksamhet Datainspektionen Årsredovisning 2012 7

7. Tillsyn över behandlingen av personuppgifter Kostnader och intäkter för området tillsyn över behandlingen av personuppgifter Kostnader 34 872 34 167 31 769 Intäkter övriga 2 457 2 828 2 388 Intäkter anslag 32 415 31 339 29 763 7.1 Information, regelgivning och rådgivning (omfattning och inriktning) 7.1.1 Informationsmaterial Webbplatsen är Datainspektionens viktigaste kommunikationskanal. Under 2012 hade webbplatsen 466 758 besök vilket är en ökning med 15,6 procent. Ökningstakten ligger över riksgenomsnittet för Internet-användandet vilket innebär att fler hittar till webbplatsen. De mest besökta delarna var som tidigare år Frågor och svar och faktasidorna om personuppgiftslagen. Webbplatsen får allt fler besökare från söktjänster, över hälften av besökarna kommer därifrån. Under maj-juni genomfördes för andra året i rad en kvalitetssäkring av webbplatsens innehåll. Det är en löpande aktivitet där myndighetens jurister och informatörer säkerställer att texter är korrekta och aktuella. Under hösten lät vi ett undersökningsföretag göra en enkät till webbplatsbesökare och personuppgiftsombud. Informationsmaterialet kring ett antal ämnen har uppdaterats eller nyproducerats och publicerats som webbsidor, pdf-dokument och trycksaker. Bland dessa kan nämnas Personuppgifter i arbetslivet, Skyddade personuppgifter i skolan, Medborgarinitiativet, Samtycke enligt personuppgiftslagen, Publicering på Internet, Webbpublicering av protokoll och diarier, Inbyggd integritet, Integriteten på den nya apoteksmarknaden, Personuppgiftslagen och internationell verksamhet samt våra frågor och svar om personnummer, arbetslivet och patientdatalagen, samt Rapport 2012:1 om rättsväsendets informationsförsörjning. I början av året publicerade vi återigen den mycket uppskattade årsskriften Integritetsåret 2011 (se nedan). Datainspektionens tidning Integritet i fokus har under året kommit ut med fyra nummer. Integritet i fokus är en gratis, periodisk skrift med reportage, nyheter och kommentarer i anslutning till Datainspektionens intresseområden. Antalet prenumeranter på den tryckta utgåvan har ökat till cirka 7 069. Antal besökare på webbplatsen 466 758 403 729 325 409 Prenumeranter på Integritet i fokus 7 069 6 592 6 268 7.1.2 Mediekontakter Datainspektionens frågor har fått fortsatt stort utrymme i press, radio och TV, vilket bidrar till att sprida medvetenhet om integritetsfrågorna. Representanter för Datainspektionen har medverkat i nyhetsprogram i radio och TV. Pressfunktionen är fortsatt aktiv; 69 pressmeddelanden skickades ut via e-post och publicerades på www.datainspektionen.se. Myndigheten har under året bytt leverantör av pressklipp vilket ger nya möjligheter till statistik. Under 2012 förekom myndigheten och dess frågor i 3 255 8 Datainspektionen Årsredovisning 2012

var det över 3 900 som prenumererade på myndighetens pressmeddelanden. Artiklar i tryckt media 3 255 3 070 2 588 Artiklar i digital media 5 001 0 0 Pressmeddelanden 69 67 67 Prenumeranter på myndighetens pressmeddelanden 3 912 3 669 3 278 artiklar i tryckt press (3 070 under 2011). Numera mäter myndigheten även antalet artiklar som publicerats i tryckt media och på Internet, vilket var betydligt fler: sammantaget 8 256 stycken. I mars 2009 började Datainspektionen att twittra om nyheter i liten skala (se http://twitter.com/datainspektion). Numera twittrar myndigheten om alla pressmeddelanden och ibland även om andra nyheter. I slutet av 2012 hade myndigheten strax över 450 följare på Twitter vilket faktiskt är en ökning med 50 procent jämfört med året innan. För fjärde året i följd gav myndigheten ut en uppmärksammad redogörelse för hur det gångna året sett ut från integritetssynpunkt. Precis som fjolårets sammanställning innehåller den lagar, lagförslag, beslut och andra händelser som påverkade den personliga integriteten under året. Skriften Integritetsåret 2011 skickades ut till riksdagsledamöter, departement, politiska partier, tidningsredaktioner, ledarskribenter och andra påverkare och kan även beställas kostnadsfritt via myndighetens webbplats. På Datainspektionens webbplats kan man skaffa sig en gratis prenumeration på myndighetens pressmeddelanden som då skickas via e-post. Vid slutet av året 7.1.3 Telefon- och e-postfrågor Kostnad 11 195 145 11 704 837 12 484 496 Timmar 11 666 11 437 13 098* * Redovisad tid avser även utbildningsverksamheten Prestation: Telefon- och e-postfrågor Telefonfrågor 8 000 7 500 6 700 e-postfrågor 5 600 4 700 2 700 Datainspektionens upplysningstjänst är bemannad av två jurister som alla arbetsdagar besvarar frågor per telefon och e-post. I upplysningstjänsten besvaras telefon- och e-postfrågor som inte kräver särskild utredning och målsättningen är att frågorna ska vara besvarade inom tre arbetsdagar. En fråga som kräver särskild utredning diarieförs som ett ärende för vidare utredning och frågeställaren får då besked om detta inom tre arbetsdagar. Majoriteten av alla frågor 2012 kunde dock besvaras omgående. Datainspektionen Årsredovisning 2012 9

Antalet besvarade e-postfrågor som rörde tillämpningen av personuppgiftslagen, inkassolagen och kreditupplysningslagen och som besvarades av juristerna i upplysningstjänsten 2012 var cirka 5 600 jämfört med cirka 4 700 för 2011. Det totala antalet telefonfrågor som besvarades var cirka 8 000 jämfört med cirka 7 500 för 2011. Antalet frågor till upplysningstjänsten har således ökat avsevärt jämfört med föregående år. Även myndighetens övriga medarbetare besvarar dagligen ett stort antal frågor. 7.1.4 Föreläsningar, seminarier och konferenser personuppgiftsansvarig kan också anmäla flera personuppgiftsombud). Utbildningstillfällen för personuppgiftsombud Rådgivning, stöd och utbildningsverksamhet gentemot personuppgiftsombuden är en viktig verksamhet. Ambitionen är att ombudens kunskaper ska ligga på en hög nivå. Under året har nio utbildningstillfällen i tre olika nivåer anordnats speciellt för ombuden. Våra utbildningstillfällen har utvärderats och ombuden är generellt sett mycket nöjda både vad gäller innehåll och genomförande. Datainspektionens webbplats har särskilda faktasidor för personuppgiftsombuden. * Kostnad 2 893 311 3 513 396 Timmar 3 015 3 433 * Under 2010 gjordes inte någon separat redovisning av utbildningsverksamheten. Prestation: Föreläsningar, seminarier och konferenser 52 42 49 Datainspektionen har vid 52 tillfällen hållit föreläsningar om personuppgiftslagen (seminarier för personuppgiftsombuden inräknade) på egna och andras konferenser, kurser och seminarier samt hos myndigheter, företag och organisationer runt om i landet. Av dessa var 14 arrangerade av Datainspektionen. Vid dessa tillfällen deltog i regel två eller tre av Datainspektionens anställda som föreläsare. Övriga 38 var uppdragsföreläsningar. Under året har åtta speciella utbildningstillfällen och en särskild nätverksdag anordnats för personuppgiftsombuden. Vidare anordnade vi under året riktade utbildningar i patientdatalagen, inkassolagen och kreditupplysningslagen, en skolkonferens och en konferens om personuppgifter i forskningen. 7.1.5 Personuppgiftsombud Vid ingången av året hade 6 621 personuppgiftsombud anmälts. Vid årets slut var siffran 6 825 alltså en ökning under året med 204 personuppgiftsombud. Antalet personer som är anmälda som personuppgiftsombud har ökat från 3 993 till 4 192 (en person kan vara ombud åt flera personuppgiftsansvariga. En 7.2 Regelgivning och rådgivning 7.2.1 Föreskrifter Datainspektionen har bemyndigande att meddela närmare föreskrifter till personuppgiftslagen. Inspektionen har sedan tidigare begränsat sådan normgivning till sådant som bedömts som absolut nödvändigt att reglera. I det avseendet kan man säga att Datainspektionen under flera års tid bedrivit ett regelförenklingsarbete. Inför personuppgiftslagens ikraftträdande 1998 upphävde Datainspektionen ett tjugotal av Datainspektionens författningar med föreskrifter till datalagen. Samtidigt utfärdade Datainspektionen två författningar till den nya datalagstiftningen, det vill säga till personuppgiftslagen. I övrigt har Datainspektionen, i stället för att utfärda författningar, till vägledning för den som behandlar personuppgifter gett ut allmänna råd med oförbindande råd och rekommendationer. Vidare ger inspektionen, vid sidan av all övrig information och rådgivning som inspektionen bedriver, ut olika informationsbroschyrer med konkret vägledning om innehållet i viktiga delar av lagens olika bestämmelser. 7.2.2 Samråd Begäran om samråd från ett personuppgiftsombud i fråga om tolkning av personuppgiftslagens bestämmelser och annan registerlagstiftning uppgick under året till 68 stycken. Under 2011 uppgick samråden till 61. Flera av samrådsärendena har varit komplicerade och resurskrävande. Några av dem har rört frågor som belyser hur samhället snabbt förändras när det gäller integritetsskydd. Följande ärenden kan nämnas särskilt: 10 Datainspektionen Årsredovisning 2012

Egna arbetsredskap i tjänsten Personuppgiftsombudet vid ett företag begärde samråd om användning av anställdas egen utrustning i tjänsten, bring your own device (BYOD). Datainspektionen uttalade att inspektionen inte har några principiella invändningar mot att denna typ av lösningar används. Datainspektionen såg dock en risk för sammanblandning av privat information och tjänsteinformation. Det är därför vktigt att arbetsgivaren genomför tekniska och organisatoriska säkerhetsåtgärder så att privat informationen hålls åtskild från arbetsrelaterad information. Utlämnande av uppgifter Personuppgiftsombudet vid Transportstyrelsen begärde samråd om utlämnade av uppgifter till taxiföretag. Syftet var att möjliggöra för taxiföretag att kontrollera om anställda chaufförer har giltig taxiförarlegitimation. Datainspektionen ansåg att den tillämpande myndigheten måste utgå från den särskilda registerförfattningen inom det aktuella området. Detta innebär att en ny eller väsentligt utökad behandling av personuppgifter som inte förutsatts av lagstiftaren och som inte täcks av registerförfattningen är otillåten. Domstolars e-postanvändning Personuppgiftsombuden vid två domstolar begärde samråd om domstolars e-posthantering. Datainspektionen uttalade att inspektionen inte har något emot en utökad användning av e-post hos domstolarna förutsatt att säkerheten i kommunikationen är tillräckligt hög. Även personuppgiftsombudet vid Domstolsverket begärde samråd över ett utkast till riktlinjer för hantering av e-post. Inget grundlagsskydd för kommunens webbsändningar I ett samrådsärende har Datainspektionen kommit fram till att en kommun som sänder Internet-video från sina möten inte skyddas av grundlag. Kommunen måste följa personuppgiftslagen och sändningen får inte vara kränkande i lagens mening. Som huvudregel kan en kommun inte som representant för det allmänna åberopa grundlagsskydd för att undgå förpliktelser Datainspektionen Årsredovisning 2012 11

enligt lag som är menade att skydda den enskildes personliga integritet. (1347-2011) 7.2.3 Samverkan med andra myndigheter och organisationer För att öka effektiviteten i verksamheten har Datainspektionen som mål att nationellt samverka med andra myndigheter och organisationer. Syftet med samverkan har varit att åstadkomma samsyn i integritetsfrågor, att utbyta information om handläggning av ärenden och att klargöra gränser mellan myndigheternas tillsynsansvar. Genom denna samverkan har vi även kunnat sprida information, fånga upp utvecklingstendenser, följa IT-utvecklingen och sprida medvetande om integritetsrisker. Samverkan har skett med Post- och Telestyrelsen (PTS), Rikspolisstyrelsen (RPS), Säkerhets- och Integritetsskyddsnämnden (SIN), Statens inspektion för försvarsunderrättelseverksamhet (SIUN), Arbetsförmedlingen och Skatteverket. Datainspektionen och PTS har träffats vid fyra tillfällen under 2012. Vid mötena har information om handläggning av ärenden utbytts och gränser mellan myndigheternas tillsynsansvar diskuterats. Datainspektionen har även haft ett nära samarbete med PTS när det gäller PTS föreskriftsrätt enligt lagen om elektronisk kommunikation. Datainspektionen och RPS har träffats under fem tillfällen under 2012. Samrådsgruppens arbete ska ses som ett komplement till den traditionella ärendehanteringen. Även den planerade utvecklingen av polisens personuppgiftsbehandling och RPS arbete med implementering av den nya polisdatalagen har diskuterats. Datainspektionen och SIUN har träffats vid ett tillfälle under år 2012 för att diskutera myndigheternas tillsynsansvar. Möten har ägt rum med SIN vid två tillfällen för att diskutera myndigheternas tillsynsansvar. Möten har också ägt rum med Arbetsförmedlingen och Skatteverket, se under avsnitt Elektronisk förvaltning 12.4 Samverkan e-förvaltningsområdet. Utöver dessa planlagda möten har diskussioner skett med myndigheter i särskilda frågor. Datainspektionen har vid tre tillfällen deltagit tillsammans med ett stort antal andra myndigheter (till exempel Konsumentverket, Kronofogdemyndigheten och Barnombudsmannen) i ett nätverk med syfte att samverka kring frågor som rör barn och ungdomar. Datainspektionen har vid ett tillfälle träffat Justitiekanslern i syfte att utbyta information i gemensamma frågor. Datainspektionen har även träffat Rikskriminalpolisen vid ett tillfälle i syfte att samverka i frågor som uppkommer i samband med polisanmälningar om brott mot personuppgiftslagen. Datainspektionen har tillsammans med olika aktörer på energiområdet deltagit i två möten med Energimarknadsinspektionen angående hanteringen av mätvärden från smarta elnät. Inom området hälso- och sjukvård har vi haft kontakter och flera möten med Socialstyrelsen för att diskutera samverkan och gränsdragning mellan de olika myndigheternas ansvarsområden samt ändringar i Socialstyrelsens tillämpningsföreskrifter till patientdatalagen. På statistik- och forskningsområdet har vi haft ett flertal kontakter och möten med Vetenskapsrådet, Statistiska centralbyrån och Centrala etikprövningsnämnden. Datainspektionen har deltagit i flera nätverksmöten hos Sveriges kommuner och landsting (SKL). Nätverksmötena har under året framför allt rört information om och tillämpning av patientdatalagen. 12 Datainspektionen Årsredovisning 2012

Vid flera tillfällen har vi träffat företrädare för Stockholms stad för att diskutera socialförvaltningens användning av sociala medier. På området för apotekstillsyn har vi vid flera tillfällen under året samverkat med Läkemedelsverket. 7.2.4 Undantag enligt 21 PuL Under året har det kommit in åtta ansökningar om undantag från förbudet att behandla uppgifter om lagöverträdelser. De flesta ansökningar har rört finansiella bolags behov av att få kontrollera sina kunder mot den amerikanska så kallade OFAC-listan. Under året har Datainspektionen meddelat ett undantag för ett försäkringsbolag som planerar att införa en bilförsäkring där försäkringspremien sätts i förhållande till hur bilen körs. Detta förutsätter att försäkringsbolaget registrerar med vilken hastighet en bil framförs, vilket kan innebära att uppgifter om lagöverträdelser registreras. Datainspektionen har avslagit en ansökan om undantag från förbudet att behandla uppgifter om lagöverträdelser från ett företag som på uppdrag av sina kunder vill registrera och sammanställa uppgifter om skadegörelse i form av klotter. Ärendet har överklagats. Antalet ansökningar om undantag från förbudet i 21 personuppgiftslagen ligger på ungefär samma nivå som föregående år, men är markant lägre jämfört med åren dessförinnan. Detta beror sannolikt på att den största andelen ansökningar då rörde behandling av personuppgifter om lagöverträdelser inom ramen för multinationella företags så kallade whistleblowingsystem, vilken numera kan ske med stöd av Datainspektionens föreskrift DIFS 2010:01. 7.2.5 Samråd enligt polisdataförordningen med mera Enligt 2 polisdataförordningen (2010:1155) ska polisen samråda med Datainspektionen när polisen planerar nya IT-system av större omfattning som kan innebära särskilda risker för intrång i den personliga integriteten. Samråd ska också ske när befintliga IT-system ska genomgå betydande förändringar. Rikspolisstyrelsen har lämnat in fem sådana samråd. Samråden är omfattande och kräver en stor arbetsinsats. En motsvarande bestämmelse om samråd finns för Kustbevakningen. Datainspektionen har i ett samrådsyttrande till Kustbevakningen lämnat synpunkter på förändringar som myndigheten avser att göra i sitt underrättelseregister. 7.3 Bedömning Under året har frågorna från allmänheten som kommer via telefon och e-post ökat markant jämfört med föregående år. De flesta frågor som kommer in till myndigheten hanteras inom ramen för Datainspektionens upplysningstjänst. Under året har exponeringen av myndigheten i media och besöken på vår webbplats ökat markant. Vi har från i år fått tillgång till pressklipp från också digitala medier vilka visar på en än större exponering av myndigheten och myndighetens frågor. Våra utbildningar har under året varit fulltecknade, vi har överlag nöjda deltagare och vi anser därför att vi når ut bra med utbildningarna. Vi anser att det är en bra metod att i förebyggande syfte ha kontakter med myndigheter, för att ge dem vägledning i deras hantering av personuppgifter. Sådan vägledning ger vi såväl i form av samverkan med myndigheterna som genom att vi avger samrådsyttranden. Vi bedömer att arbetet med att besvara frågor hanteras alltmer effektivt och vi kan konstatera att vårt arbete i enlighet med strategin givit avsett resultat. Datainspektionen Årsredovisning 2012 13

8. Kommittéarbete och remisser 8.1 Kommittéarbete Kostnad 2 542 083 2 747 879 2 632 629 Timmar 2 649 2 685 2 762 Företrädare för inspektionen har under året deltagit som experter i E-delegationen (i referensgrupp respektive rättslig grupp till delegationen) (N Fi 2009:01), utredningen om personuppgiftsbehandling inom den arbetsmarknadspolitiska verksamheten och i tillsynsverksamheten över denna (A 2010:01), Informationshanteringsutredningen (Ju2011:11), utredningen Rätt information i vård och omsorg (S2011:13), Läkemedels- och Apoteksutredningen (S 2011:07) samt i utredningen Ett minskat och förenklat uppgiftslämnande för företagen (N2012:01). 8.2 Remissarbete Prestation: Avgivna remissyttranden 115 107 74 Prestation: Inkomna remisser 115 104 74 redan av att antalet remisser är stort i förhållande till inspektionens begränsade storlek och att inspektionen är skyldig att besvara remisser från Regeringskansliet. Men det beror även på att inspektionen anser att det är ett väsentligt arbete för att påverka utformningen av regelverk som har betydelse för enskildas integritet. Bakgrunden är också att artikel 28 punkten 2 i EU:s dataskyddsdirektiv och propositionen (1997/98:44) Personuppgiftslag (s.101f) förutsätter en sådan roll för datatillsynsmyndigheten. Datainspektionen har under verksamhetsåret 2012 deltagit i flera principiellt viktiga statliga utredningar. Jämfört med verksamhetsåret 2011 har vi deltagit i fler utredningar och vi har därmed fått ägna mer timmar åt sådant arbete. Vi bedömer att det varit fråga om ett för vårt uppdrag viktigt arbete. Antalet inkomna remisser har under år 2012 (115) ökat något och hamnat på ungefär samma nivå som verksamhetsåren 2009 och 2008, då myndigheten också hade att besvara mer är hundratalet remisser (107 resp. 111). Datainspektionen har under verksamhetsåret 2012 även haft att besvara ett stort antal delningar. Den nedlagda tiden på remissarbetet har dock minskat något. Som föregående år har kommitté- och remissarbetet sammantaget medfört en betydande resursåtgång. Detta fastän vi medvetet i besvarandet av remisser har begränsat arbetet och synpunkterna till sådant som berör integritetsskyddet. Vi har heller inte kunnat ha ambitionen att ge utformade alternativa förslag när problem uppmärksammas. Vi bedömer dock att inspektionen presterat enligt sin förutsatta roll. Kommentar Under år 2012 har 115 remissyttranden lämnats. Därtill kommer ett femtiotal delningar, det vill säga begäran om synpunkter på utkast till författningar, lagrådsremisser och propositioner. Remissynpunkterna har huvudsakligen avsett verksamhetsgrenen avseende personuppgiftslagen. 8.3 Bedömning Datainspektionen lägger årligen ner ett omfattande arbete på att delta i kommittéarbetet, läsa in remissförslag och att lämna remissynpunkter. Det följer 14 Datainspektionen Årsredovisning 2012

9. Inspektionsverksamheten 9.1 Inspektionsverksamheten Kostnad 10 816 087 8 894 530 7 951 265 Timmar 11 271 8 691 8 342 9.2 Temainspektioner En temainspektion omfattar en bred och djup granskning av en bransch, sektor eller företeelse. En sådan granskning kräver mer tid och större resurser än en sedvanlig inspektion. Även under avsnittet E-förvaltning redovisas inspektioner som genomförts under året. Prestation: Fältinspektioner Påbörjade 26 43 64 Avslutade 43 62 52 Prestation: Skrivbordsinspektioner Påbörjade 114 134 98 Avslutade 143 86 83 Prestation: Enkätinspektioner Påbörjade 59 70 52 Avslutade 81 6 75 Prestation: Klagomål som blivit förenklad tillsyn Inkomna 13 27 23 Avslutade 15 28 20 Totalt antal ärenden Påbörjade 199 247 214 Avslutade 267 154 210 Ingående balans 195 102 98 Utgående balans 127 195 102 9.2.1 Politiska partiers behandling av personuppgifter om medlemmar med mera Under 2012 meddelade Datainspektionen beslut i ett tillsynsprojekt som inleddes i slutet av 2011, där myndigheten granskat politiska partiers hantering av medlemsuppgifter. Samtliga riksdagspartier omfattades av tillsynen. Datainspektionen hade bland annat synpunkter på vilka säkerhetsåtgärder som partierna vidtagit för att skydda medlemsuppgifterna mot obehörig åtkomst. 9.2.2 Försäkringsmäklare Under 2012 inledde Datainspektionen en granskning av hur företag som arbetar med försäkringsförmedling behandlar personuppgifter om sina kunder. Beslut kommer att fattas i början av 2013. 9.2.3 Arbetslöshetskassor Datainspektionen inledde i slutet av 2012 ett tillsynsprojekt för att undersöka hur arbetslöshetskassor och arbetslöshetskassornas samorganisation, SO behandlar personuppgifter om medlemmar i arbetslöshetskassorna. Projektet kommer att avslutas under våren 2013. 9.2.4 Skyddade personuppgifter i skolan Datainspektionen slutförde under 2012 sin granskning av hur kommuner hanterar skyddade personuppgifter inom skolan. Cirka 25 kommuner granskades. Granskningen visade en del brister i hur kommunerna hanterar skyddade personuppgifter, bland annat behöver vissa kommuner begränsa åtkomsten till den här typen av personuppgifter samt införa kontroller som säkerställer att bara den personal som behöver kan ta del av uppgifterna. För att hjälpa kommunerna i detta arbete publicerade Datainspektionen efter tillsynsprojektet en checklista för vad skolor ska tänka på när de hanterar skyddade personuppgifter. Datainspektionen Årsredovisning 2012 15

9.2.5 Beslutsoförmögna i kvalitetsregister Efter klagomål från anställda inom hälso- och sjukvården inledde vi tillsyn mot tre kommuner för att undersöka hur de går tillväga när varaktigt beslutsoförmögna, som varken kan tillgodogöra sig information eller ge ett giltigt samtycke, registreras i kvalitetsregister. Beslut kommer att meddelas i början av år 2013. 9.2.6 Rättsväsendets informationsförsörjning (RIF) Under året har Datainspektionen granskat det elektroniska flödet som förekommer mellan olika myndigheter i samband med brottmål. Detta utbyte av information utvecklas i nuläget av Rikspolisstyrelsen, Åklagarmyndigheten, Domstolsverket, Kriminalvården, Ekobrottsmyndigheten, Skatteverket och Brottsförebyggande rådet. Informationen som skickas mellan myndigheterna innehåller många personuppgifter som ofta är integritetskänsliga. I Datainspektionens rapport 2012:1 beskriver Datainspektionen flödet av information och identifierar brister i skyddet av de personuppgifter som skickas mellan myndigheterna. 9.2.7 Kompetens- och karriärdatabaser Datainspektionen har granskat några företag som ingår i koncerner och en stor statlig myndighet som registrerar uppgifter om personal i kompetensdatabaser. Datainspektionen konstaterade att arbetsgivare kan efter en intresseavvägning registrera faktauppgifter om anställda. Inspektionen konstaterade vidare att registrering av subjektiva omdömen eller andra värderande omdömen får som regel inte förekomma utan att anställda gett sina samtycken. Datainspektionen har tagit fram ett informationsblad som ska ge vägledning när arbetsgivare registrerar uppgifter om personal i kompetensdatabaser. 9.2.8 Länsstyrelsernas ärendehanteringssystem Datainspektionen har under året genomfört enkätinspektioner mot 20 länsstyrelser. Inspektionerna avser länsstyrelsernas användning av elektroniskt ärendehanteringssystem, ankomstregister och publicering av personuppgifter i elektroniskt diarium. Inspektionerna beräknas vara avslutade under första delen av år 2013. 9.2.9 Åtkomstprojektet Under 2011 inleddes ett projekt för att följa tidigare beslut om hur anställda vid fem stora statliga myndigheter kommer åt personuppgifter i verksamheten. Se vidare under avsnittet om E-förvaltning 12.3.3. 9.2.10 FRA Under 2010 genomförde Datainspektionen ett tillsynsprojekt som rörde hur FRA hanterar personuppgifter i samband med signalspaning. Datainspektionen tog fram en rapport över sin granskning. Rapporten innehöll vissa påpekanden. Under 2012 har FRA tagit fram föreskrifter om bland annat personuppgiftsbehandling. Föreskrifterna har tagits fram efter samråd med Datainspektionen. 9.2.11 Högsta förvaltningsdomstolen säger nej till kameraövervakning i skolor År 2008 beslutade Datainspektionen att Bromma gymnasium och Tensta gymnasium måste upphöra med kameraövervakning inomhus under dagtid. De två gymnasierna överklagade Datainspektionens beslut ända upp till HFD som under året meddelade domar och avslog överklagandena. HFD gjorde i allt väsentligt samma bedömning som Datainspektionen av den aktuella övervakningen. 9.2.12 Bankappar Efter att 2011 ha granskat hur tre banker säkerställer att obehöriga inte kan få åtkomst till kundernas uppgifter vid användning av bankernas appar, konstaterade Datainspektionen under 2012 att säkerheten inte var tillräcklig. Bankerna förelades att inkomma med en åtgärdsplan för vilka åtgärder de avser att vidta för att åstadkomma en tillräckligt hög säkerhet. Datainspektionen kommer att ta ställning till bankernas förslag till åtgärder under början av 2013. 9.3 Fältinspektioner 9.3.1 Polisen Datainspektionen har bland annat gjort följande inspektioner: Personuppgiftsbehandlingen vid Polismyndigheterna i Jämtlands län och Västmanlands län har inspekterats. Datainspektionen konstaterar återigen att det finns brister i hur personuppgifter hanteras i polisens kriminalunderrättelseverksamhet. Datainspektionen har inspekterat Polismyndigheten i Stockholms län för att kontrollera hur myndigheten registrerar uppgifter som kommer från mobiltelefoner 16 Datainspektionen Årsredovisning 2012

som tagits i beslag i förundersökningar. De registrerade uppgifterna kommer från telefoner som tillhör personer som är misstänkta för brott som kan ge två års fängelse. I registret finns all information från den tömda telefonen, vilket kan vara sms, samtalsloggar, adressbok med mera. Datainspektionen förelade polisen att sluta använda registret. 9.3.2 Enkätinspektioner av polismyndigheter Datainspektionen har genom enkätinspektioner till polismyndigheter och Rikspolisstyrelsen undersökt hur de anpassat sin personuppgiftsbehandling till den nya polisdatalagen. Resultatet av enkätinspektionerna kommer att vara klart i början av år 2013. 9.3.3 Schengen Den gemensamma tillsynsmyndigheten för Schengen (JSA) har tagit fram underlag för en gemensam tillsyn angående de registrerades rätt till insyn. Datainspektionen har genomfört tillsynen mot RPS. Tillsynen mot RPS har avslutats utan anmärkning. JSA Schengen kommer att sammanställa resultatet från tillsynen i Schengenländerna. 9.3.4 Europol Datainspektionen har under 2012 genomfört en inspektion hos Rikspolisstyrelsens nationella enhet för Europol. Vi har genomfört en uppföljning av överföringarna som Sverige gjort till European Information System (EIS). Inspektionen kommer att avslutats under första delen av 2013. 9.3.5 Försvarsmakten Datainspektionen har under slutet av 2012 inlett tillsyn och genomfört inspektioner av personuppgiftsbehandlingen enligt lagen (2007:258) om behandling av personuppgifter i Försvarsmaktens försvarsunderrättelseverksamhet och militära säkerhetstjänst. Ärendet kommer att avslutas under första halvåret 2013. 9.3.6 Biometrisk data Uppföljning har skett av en tidigare inspektion hos ett företag som registrerar de anställdas fingeravtryck för kontroll av närvaro. Den uppföljande inspektionen visar att företaget har rättat sig efter de påpekanden som Datainspektionen lämnat vid den tidigare inspektionen. 9.3.7 Reklamationsdatabas Datainspektionen har granskat ett taxibolags databas med klagomål mot förarna. Datainspektionen konstaterade att en del av reklamationerna innehåller uppgifter om lagöverträdelser. Inspektionen konstaterade vidare att bolaget i ett fritextfält på egen hand registrerade uppgifter om domar och beslut, åtal som lagts ner eller förare som dömts för allvarlig brottslighet. Det är förbjudet för andra än myndigheter att registrera personuppgifter om lagöverträdelser och bolaget fick inte använda sin databas för reklamationer som brottsregister där bolaget inhämtar uppgifter från helt andra håll än från sina kunder. Personuppgiftsombudet vid bolaget har efter beslutet begärt samråd hos Datainspektionen om hanteringen av personuppgifter i reklamationsdatabasen. Samrådsförfarandet är inte avslutat. 9.3.8 VIS Datainspektionen har inspekterat Migrationsverkets personuppgiftsbehandling i VIS (informationssystemet för viseringar). Syftet med inspektionen var att se hur Migrationsverket uppfyller de krav som ställs på personuppgiftsbehandlingen i VIS förordningen (767/2008/ Datainspektionen Årsredovisning 2012 17

EG). Kontroll gjordes av hur ansvarsfördelningen i VIS ser ut, hur kommunikationen mellan Migrationsverket och andra myndigheter sker, vilka säkerhetsåtgärder samt utbildnings- och informationsåtgärder som vidtagits. Datainspektionen fann inte något som visar att behandlingen av personuppgifter strider mot reglerna i VIS förordningen. 9.3.9 Behandling av uppgifter om kunder och medlemmar Datainspektionen inledde i slutet av 2012 tillsyn mot två bolag som bedriver taxirörelse. Syftet är att kontrollera hur bolagen behandlar uppgifter om sina kunder. Ärendena kommer att avslutas under våren 2013. 9.3.10 Barnklinik spelade in alla telefonsamtal Efter klagomål granskade vi barnkliniken vid Ystads lasarett som spelade in alla inkommande samtal och sparade dessa i minst tre år. Vi konstaterade att kliniken överhuvudtaget inte använde sig av inspelningarna och därmed inte tillräckligt kunde motivera varför man behövde spela in alla samtal. 9.3.11 Insamling för ospecificerad forskning Vi inspekterade Svensk Nationell Datatjänst (SND) vid Göteborgs universitet, som samlar in data från olika forskningsprojekt som sedan ska kunna användas för ospecificerad framtida forskning, och konstaterar att insamlingen strider mot personuppgiftslagen. Det visade sig att SND inte informerar de personer vars personuppgifter finns i det material som lämnas in till SND. Man inhämtar inte heller samtycke från de registrerade. Granskningen visar dessutom att känsliga personuppgifter förekommer i det inlämnade materialet. Vi förelade därför Göteborgs universitet att sluta samla in och använda det material som redan samlats in inom ramen för SND. Beslutet har överklagats. 9.4 Skrivbordsinspektioner 9.4.1 Idrottsföreningar Datainspektionen har i sin upplysningsverksamhet mottagit ett antal frågor och klagomål angående idrottsföreningars behandling av uppgifter om medlemmar, bland annan gällande registrering av personnummer och publicering av medlemsuppgifter på Internet. Datainspektionen har med anledning av klagomålen inlett flera tillsynsärenden. I ett av ärendena, som riktade sig mot ett företag som tillhandahåller en webbplats där idrottsklubbarna själva kan skapa egna hemsidor, har Datainspektionen bedömt att det är idrottsklubbarna själva som ansvarar för hanteringen och inte det företag som tillhandahåller webbplatsen. I ett av ärendena, som rör en likande webbtjänst, kommer en inspektion att genomföras under början av 2013. 9.4.2 Publicering på Internet En polismyndighet har publicerat bilder på en oskyldig person på Internet och låtit bilderna ligga kvar i mer än ett halvår efter att förundersökningen lagts ned. Datainspektionen konstaterade att polismyndigheten utsatt personen för ett betydande integritetsintrång. Datainspektionens granskning visade att det finns klara brister i de rutiner som polismyndigheten har då bilder på misstänkta publiceras på nätet. 9.4.3 DNA-prover SKL har byggt upp en så kallad elimineringsdatabas med DNA-prover. Syftet med databasen är att se om DNA-prover från brottsplatser har kontaminerats med DNA-spår från exempelvis brottsplatstekniker eller anställda på SKL. Datainspektionen konstaterade att SKL använder databasen olagligt. Beslutet är överklagat. I polisdatalagen finns inte något stöd för att jämföra DNA-profiler i elimineringsdatabasen med DNA-profiler i spårregistret. Regeringskansliet har efter Datainspektionens beslut uppdragit åt en utredare att biträda Justitiedepartementet med att utreda behandling av personuppgifter vid SKL. 9.4.3 Publicering på Internet Åklagarmyndigheten publicerade på sin webbplats en dom som innehöll namn, personnummer och adress på en person som misstänktes för vållande till annans död. Datainspektionen konstaterade att Åklagarmyndigheten gjorde fel då publiceringen av personuppgifterna var kränkande och därmed otillåten enligt personuppgiftslagen. Datainspektionen konstaterade vidare att Åklagarmyndigheten har rutiner för hur personuppgifter ska hanteras vid publicering av domar på sin webbplats men att dessa inte följts i aktuella fallet. 9.4.4 Publicering på Internet En domstol publicerade på sin webbplats så kallade uppropslistor som innehöll namn på parter i mål och ärenden. Datainspektionen konstaterade att det är fråga 18 Datainspektionen Årsredovisning 2012

om en olaglig personuppgiftsbehanding. Beslutet är överklagat. 9.4.5 Kameraövervakning Ett bussbolag förelades att upphöra med kameraövervakning av anställda under ordinarie arbetstid. Datainspektionen ansåg att bolaget måste göra en grundlig analys och bedömning av om kameraövervakning verkligen behövdes. Datainspektionen anförde att om kameraövervakning införs utan närmare analys av nödvändigheten kan det få stora konsekvenser för den personliga integriteten för de anställda. 9.4.6 Kameraövervakning Ett bolag använde dold kamera för att övervaka sin personal. Datainspektionen konstaterade att det endast är polisen som får utföra den typen av brottsutredande kameraövervakning. 9.4.7 Publicering på Intranät Försvarsmakten publicerade information på sitt intranät om medarbetare som anmälts till Försvarsmaktens personalansvarsnämnd. Datainspektionen konstaterade att Försvarsmakten behandlat personuppgifter i strid med personuppgiftslagen och förelade myndigheten att komma med en plan till inspektionen som anger vilka åtgärder som myndigheten avser att vidta. Informationen innehöll uppgifter som medförde att alla anställda kunde enkelt genom att koppla ihop information ta reda på vem som var föremål för anmälan. Försvarsmakten har lämnat en sådan plan till Datainspektionen. Av planen framgår hur myndigheten kommer att göra i fortsättningen för att inte personuppgifter ska publiceras på intranätet på sätt som skett i tillsynsärendet. 9.4.8 Kontroll av arbetstid En polismyndighet misstänkte att en anställd allvarligt misskött sin tidredovisning. Myndigheten kontrollerade om den rapporterade flextiden avvek från de tider som registrerats i in- och utpasseringssystemet. Datainspektionen fann att myndighetens kontroll var tillåten om det finns särskild anledning att misstänka oegentligheter. 9.4.9 Oanvändbara loggar hos vårdgivare Efter ett klagomål tillsynade vi en funktion hos en vårdgivare som visar läkaranteckningar för en vald patient. I tillsynen kom fram att när en läkare öppnar funktionen Läkaranteckningar så visas de 20 senaste anteckningarna. I systemets logg, som ska användas för att upptäcka obehörig åtkomst av patientjournaler, registreras att läkaren ifråga tittat på samtliga 20 anteckningar vid exakt samma tidpunkt. Det går alltså inte att se vilken anteckning som läkaren faktiskt läste. Datainspektionens förelade vårdgivaren att åtgärda bristerna, vilken också skedde. 9.4.10 Brister vid sammanhållen journalföring Datainspektionen har granskat hur en vårdgivare använder sig av sitt journalsystem för så kallad sammanhållen journalföring. Vi identifierade ett antal brister i journalsystemet som strider mot reglerna i patientdatalagen. En sådan brist var att användaren redan i utgångsläget får se för mycket information om patienten. I stället för att systemet bara indikerar att det finns journaluppgifter om patienten i fråga även hos andra vårdgivare så listas direkt vilka vårdgivare som har uppgifter om patienten. Dessutom visas dessa uppgifter innan man fått patientens medgivande att ta del av uppgifterna. Datainspektionen är även kritisk till hur patienten ges möjlighet att samtycka till att journaluppgifterna lämnas ut. Ger patienten sitt samtycke blir alla uppgifter hos alla vårdgivare som har uppgifter om patienten tillgängliga, oavsett om uppgifterna behövs för den aktuella vårdprocessen. 9.5 Förenklad tillsyn Förutom inspektioner har även förenklad tillsyn utförts i 15 ärenden. Förenklad tillsyn innebär att inspektionens handläggare tar kontakt med det företag, organisation eller den myndighet som klagomålet gäller för att utreda enklare frågor. I dessa fall inleds inte något tillsynsärende. Arbetet utförs i klagoärendet. 9.6 Bedömning Vårt val av tillsynsobjekt har präglats av områden där känsliga uppgifter förekommer, nya företeelser och områden där risk för missbruk är särskilt stor. Under 2012 har 199 tillsynsärenden inletts. Det är färre än under 2011 (247 st). Ett stort antal tillsynsärenden inleddes under slutet av 2011. Vi har därför under 2012 arbetat med avsluta 2011 års ärenden. Enligt vår tidsredovisning för 2012 har nedlagda resurser för skrivbordstillsyner och fältinspektioner ökat jämfört med 2011 (11270 timmar 2012 och 9301 timmar 2011). Icke avgjorda Datainspektionen Årsredovisning 2012 19

tillsynsärenden uppgick sista december 2012 till 154. Motsvarande antal var 267 den 31 december 2011. Det har varit en medveten strategi att öka vår inspektionsverksamhet. Det har även varit en medveten strategi att göra skrivbordsinspektioner och enkätinspektioner där detta är lämpligt i stället för fältinspektioner som är mer resurskrävande. Vi har under året utfört flera mycket resurskrävande inspektioner, t.ex. Rättsväsendets Informationsförsörjning (RIF) där även en rapport tagits som spritts till olika intressenter. Vi har även tagit fram informationsmaterial (Kompetens och karriärdatabaser) i syfte att sprida resultatet bredare. I många fall har vi även publicerat pressmeddelande för att få en bred spridning av resultatet av tillsynen. Vi bedömer att det är en bra metod att kontrollera efterlevnaden av personuppgiftslagen genom inspektioner och att sprida resultaten brett. Vi har även utfört uppföljande inspektioner som är ett bra sätt att säkerställa att våra påpekanden beaktats. 10. Klagomål Kostnad 1 685 125 1 997 713 1 579 387 Timmar 1 756 1 952 1 657 10.2 Kvalificerade frågor Antalet kvalificerade frågor som diarieförts som ärenden uppgick under 2012 till 219 stycken, jämfört med 206 stycken 2011. Inkomna kvalificerade frågor 10.1 Behandling av inkomna klagomål Det har under året kommit in 323 ärenden som diarieförts som klagomål enligt personuppgiftslagen. En del klagomål föranleder Datainspektionen att inleda tillsyn mot den personuppgiftsanvariga som klagomålet riktas mot. Detta sker då i ett separat ärende. Alla som klagar får besked i någon form. De flesta klagomålen avser personuppgiftsbehandling inom kund- och medlemsförhållanden, på Internet, och inom arbetslivet. Prestation: Inkomna klagomål (PuL) PuL 323 312 332 Datalagen 0 0 0 219 206 250 10.3 Bedömning Antalet diarieförda klagomål enligt personuppgiftslagen ligger på ungefär samma nivå som 2011. Antalet klagomål ligger också på en relativt jämn nivå över en längre period. Framför allt har vi de senaste åren sett en ökning av klagomål och frågor som rör publicering av personuppgifter på Internet, övervakning i arbetslivet och kameraövervakning. När det gäller antalet kvalificerade frågor ligger nivån något högre jämfört med 2011 samtidigt som vi kan konstatera att juristerna i vår Upplysning hanterar ett allt större antal frågor. 20 Datainspektionen Årsredovisning 2012