Säkerhetspolisens behandling av känsliga personuppgifter i fristående databaser



Relevanta dokument
Polismyndigheternas behandling av känsliga personuppgifter

Polismyndighetens behandling av känsliga personuppgifter i uppgiftssamling om inhemsk extremism

Nämnden är kritisk till att Polismyndigheten inte har genomfört någon logguppföljning avseende de granskade uppgiftssamlingarna.

Nämnden bedömer att den granskade personuppgiftsbehandlingen är förenlig med PDL:s bestämmelser.

Rikspolisstyrelsens rutiner för och kontroll av behandling av känsliga personuppgifter i det centrala kriminalunderrättelseregistret, KUR

Behandlingen av personuppgifter i Länskriminalpolisen i Västra Götalands uppgiftssamlingar med spaningsfilmer

Bevarande av personuppgifter i Säkerhetspolisens dokument- och ärendehanteringssystem

Säkerhetspolisens behandling av känsliga personuppgifter i ett it-system för bearbetning och analys av information

Uppföljning av polismyndigheternas användning av centrala säkerhetsloggen

Uppföljning av tidigare granskning avseende Rikspolisstyrelsens behandling av personuppgifter i penningtvättsregistret

Personuppgiftsansvar för behandling av personuppgifter i det centrala kriminalunderrättelseregistret, KUR

Postadress Telefon E-post Organisationsnummer Box 22523, Stockholm

Behandlingen av personuppgifter i Rikskriminalpolisens register över spaningsfilmer

Postadress Telefon E-post Organisationsnummer Box 22523, Stockholm

Rikspolisstyrelsens rutiner för och kontroll av behandling av känsliga personuppgifter i polisens allmänna spaningsregister, ASP

Polismyndighetens behandling av personuppgifter i underrättelseverksamheten

Rikspolisstyrelsens IT-system OBS-portalen

Polismyndighetens behandling av personuppgifter i mappstrukturer vid region Öst

Granskning av polismyndigheternas användning av centrala säkerhetsloggen

Uppföljning av Polismyndigheten i Skånes behandling av personuppgifter i uppgiftssamlingen benämnd Kringresande

Postadress Telefon E-post Organisationsnummer Box 22523, Stockholm

Säkerhetspolisens användning av s.k. misstankemärkning i it-systemet för bearbetning och analys

Polismyndigheten i Östergötlands läns behandling av personuppgifter i underrättelseverksamheten

Polismyndighetens behandling av personuppgifter i underrättelseverksamheten

Rikspolisstyrelsens behandling av personuppgifter i penningtvättsregistret

Användningen av kvalificerade skyddsidentiteter inom det särskilda personsäkerhetsarbetet

Säkerhetspolisens behandling av personuppgifter om barn i ett it-system för bearbetning och analys

Dåvarande Rikspolisstyrelsens register över spaningsfilmer.

Polismyndighetens nya allmänna spaningsregister

Postadress Telefon E-post Organisationsnummer Box 22523, Stockholm

Polismyndighetens behandling av personuppgifter i utredningsverksamheten

Loggning och logguppföljning i Polismyndighetens säkerhetslogg

Postadress Telefon E-post Organisationsnummer Box 22523, Stockholm

Beslut efter tillsyn enligt personuppgiftslagen (1998:204) PuL

Polismyndighetens behandling av personuppgifter i underrättelseverksamheten

Postadress Telefon E-post Organisationsnummer Box 22523, Stockholm

Granskning av underrättelser om beslut om inhämtning av uppgifter enligt inhämtningslagen

Postadress Telefon E-post Organisationsnummer Box 22523, Stockholm

Tilldelning och användning av behörigheter i DurTvå

Tillsyn enligt personuppgiftslagen (1998:204) Behandling av personuppgifter i e-post

Polismyndighetens behandling av personuppgifter med anledning av brottslighet kopplad till utsatta EU-medborgare

Polismyndigheten i Västra Götalands behandling av personuppgifter i underrättelseverksamheten

Polismyndigheternas behandling av känsliga personuppgifter i KUT-info

Tillsyn enligt personuppgiftslagen (1998:204) Behandling av personuppgifter i e-post

Hanteringen av hemliga tvångsmedel vid Ekobrottsmyndigheten

Beslut efter tillsyn enligt personuppgiftslagen (1998:204) PuL

Beslut efter tillsyn enligt personuppgiftslagen (1998:204) PuL

Tillsyn enligt personuppgiftslagen (1998:204) Behandling av personuppgifter i e-post

Svensk författningssamling

Säkerhetspolisens behandling av personuppgifter inom ramen för NCT-samarbetet

Personuppgiftsbehandling i forskning

Granskning av underrättelser om beslut om inhämtning av uppgifter enligt inhämtningslagen

Granskning av underrättelser om beslut om inhämtning av uppgifter enligt den s.k. inhämtningslagen

Personuppgiftsbehandling för forskningsändamål

Tillsyn enligt personuppgiftslagen (1998:204) avseende behörighetsstyrning i ParaGå

Postadress Telefon E-post Organisationsnummer Box 22523, Stockholm

Svensk författningssamling

Postadress Telefon E-post Organisationsnummer Box 22523, Stockholm

Användning av kvalificerade skyddsidentiteter inom Polismyndighetens undercoververksamhet

Postadress Telefon E-post Organisationsnummer Box 22523, Stockholm

Lag (2005:787) om behandling av uppgifter i Tullverkets brottsbekämpande verksamhet

Tillsyn patientens rätt till spärr enligt 4 kap. 4 och 6 kap. 2 patientdatalagen

Personuppgiftslagen konsekvenser för mitt företag

Uppföljning av Polismyndighetens behandling av personuppgifter i signalementsregistret avseende gallring av och tillgången till uppgifter

Beslut efter tillsyn enligt personuppgiftslagen (1998:204) PuL

Postadress Telefon E-post Organisationsnummer Box 22523, Stockholm

Tillsyn enligt personuppgiftslagen (1998:204) Hyresbostäder i Norrköping AB

Tillsyn enligt personuppgiftslagen (1998:204) Behandling av känsliga personuppgifter i mobila enheter

Förstöring av upptagningar och uppteckningar från vissa hemliga tvångsmedel en granskning av två åklagarkammare och en polismyndighet

Postadress Telefon E-post Organisationsnummer Box 22523, Stockholm

Tillsyn enligt personuppgiftslagen (1998:204) socialtjänstens behandling av personuppgifter om etniskt ursprung

Åklagarmyndighetens användning av s.k. postkontroll

Svensk författningssamling

Polismyndighetens behandling av personuppgifter i signalementsregistret

Beslut efter tillsyn enligt personuppgiftslagen (1998:204)

Polismyndighetens utlämnande av personuppgifter till tredje land

Svensk författningssamling

Tillsyn patientens rätt till spärr enligt 4 kap. 4 och 6 kap. 2 patientdatalagen

Beslut efter tillsyn enligt personuppgiftslagen (1998:204)

Personuppgiftsbiträdesavtal

Underrättelser till enskilda vid internationell rättslig hjälp vid två internationella åklagarkammare

Tillsyn av behandlingen av personuppgifter i allmänhetens terminal m.m.

Tillsyn enligt personuppgiftslagen (1998:204) Behandling av känsliga personuppgifter i mobila enheter

Beslut efter tillsyn enligt personuppgiftslagen (1998:204)

Lag (2018:1694) om Tullverkets behandling av personuppgifter inom brottsdatalagens område

Överskottsinformation från hemlig rumsavlyssning

Hanteringen av hemliga tvångsmedel vid Åklagarkammaren i Göteborg

Beslut efter tillsyn behörighetsstyrning och loggkontroll inom kommunal hälso- och sjukvård

Beslut efter tillsyn enligt personuppgiftslagen (1998:204)

Tillsyn enligt personuppgiftslagen (1998:204) socialtjänstens behandling av personuppgifter om etniskt ursprung

Beslut efter tillsyn behörighetsstyrning och loggkontroll inom kommunal hälso- och sjukvård

Beslut efter tillsyn enligt personuppgiftslagen (1998:204)

Tillsyn enligt personuppgiftslagen (1998:204) socialtjänstens behandling av personuppgifter om etniskt ursprung

Tillsyn enligt personuppgiftslagen (1998:204) uppföljning av ärende om Kristdemokraternas medlemsregister

Svensk författningssamling

Beslut efter tillsyn behörighetsstyrning och loggkontroll inom kommunal hälso- och sjukvård

Union to Unions policy om dataskyddsförordningen, General Data Protection Regulation (GDPR)

Beslut efter tillsyn behörighetsstyrning och loggkontroll inom kommunal hälso- och sjukvård

Tillsyn enligt personuppgiftslagen (1998:204) samkörning av personuppgifter för gemensam verksamhetsuppföljning

Svar på förfrågan om vad som utgör en känslig personuppgift

Transkript:

Uttalande SÄKERHETS- OCH INTEGRITETSSKYDDSNÄMNDEN 2013-09-04 Dnr 150-2012 Säkerhetspolisens behandling av känsliga personuppgifter i fristående databaser 1 SAMMANFATTNING Säkerhets- och integritetsskyddsnämnden har granskat Säkerhetspolisens behandling av känsliga personuppgifter i fristående databaser. Granskningen har omfattat Säkerhetspolisens interna styrdokument samt 20 slumpvis utvalda personobjekt i en av de fristående databaserna. Nämnden har vid en inspektion den 18 juni 2013 granskat fyra av dessa personobjekt närmare. Nämnden uppmanar Säkerhetspolisen att uppdatera sina interna bestämmelser så att det där framgår att dokumentation av beslut om behandling av känsliga personuppgifter ska ske, och att prövningen av om det är absolut nödvändigt för syftet med behandlingen att behandla den känsliga personuppgiften bör göras så snart som möjligt efter det att en sådan uppgift läggs in i systemet. Säkerhetspolisen synes i övrigt ha goda rutiner för behandling av känsliga personuppgifter i de fristående databaserna. Nämnden bedömer också att Säkerhetspolisen vidtar adekvata utbildnings- och logguppföljningsinsatser för att säkerställa att reglerna om behandling av känsliga personuppgifter efterlevs. Nämnden vill dock betona vikten av riktad logguppföljning för att säkerställa att sökning på känsliga personuppgifter enbart görs när det är absolut nödvändigt. Vid granskningen av personobjekt i den databas som omfattats av den aktuella tillsynen har enligt nämndens bedömning inte framkommit något som tyder på att känsliga personuppgifter behandlas i strid med polisdatalagen (2010:361) (PDL). Postadress Telefon E-post Organisationsnummer Box 22523, 104 22 Stockholm 08-617 98 00 sakint@sakint.se 202100-5703 Besöksadress Telefax Webbplats Bankgiro Norr Mälarstrand 6, Stockholm 08-617 98 88 www.sakint.se 782-4329

2 2 BAKGRUND OCH AVGRÄNSNING I PDL, liksom i annan lagstiftning om behandling av personuppgifter på internationell och nationell nivå, har känsliga personuppgifter en särställning som innebär att sådana uppgifter endast får behandlas i undantagsfall och under särskilda förutsättningar. Nämnden beslutade den 4 september 2012 att granska Säkerhetspolisens behandling av känsliga personuppgifter i de uppgiftssamlingar som förs vid sidan av centralregistret, så kallade fristående databaser. Granskningen har därefter begränsats till en av dessa databaser. Fristående databaser används av Säkerhetspolisen för att bearbeta och bedöma information i syfte att avgöra om informationen ska tillföras centralregistret. Säkerhetspolisen håller för närvarande på att byta ut det IT-system som används för att bearbeta och analysera informationen i databaserna. 3 RÄTTSLIGA UTGÅNGSPUNKTER Enligt 2 kap. 10 första stycket PDL, som enligt 5 kap. 4 PDL är tillämplig även vid behandling av personuppgifter hos Säkerhetspolisen, får uppgifter om en person inte behandlas enbart på grund av vad som är känt om personens ras eller etniska ursprung, politiska åsikter, religiösa eller filosofiska övertygelse, medlemskap i fackförening, hälsa eller sexualliv (känsliga personuppgifter). Det är alltså inte tillåtet att föra register över eller på annat sätt göra anteckningar om enskilda enbart på den grunden att de utifrån något i paragrafen angivet förhållande kan hänföras till en viss kategori av människor. Bestämmelsen hindrar emellertid inte behandling av uppgifter om en persons nationalitet och i regel faller också uppgifter om att en viss person kommer från en viss världsdel eller ett visst land utanför förbudet mot behandling av känsliga personuppgifter. 1 2 kap. 10 andra stycket PDL innehåller vissa undantag från huvudregeln. Här föreskrivs bl.a. att uppgifter om en person, om de behandlas på annan grund, får kompletteras med sådana uppgifter som avses i första stycket när det är absolut nödvändigt för syftet med behandlingen. Bestämmelsen innebär att om andra uppgifter om en person samlas in i samband med t.ex. en förundersökning får dessa kompletteras med känsliga personuppgifter om det är av avgörande betydelse för utredningen. Med hänsyn till den restriktivitet som ligger i begreppet absolut nödvändigt måste behovet av att göra sådana kompletteringar prövas noga i det enskilda ärendet. 2 1 Prop. 2009/10:85 s. 325. 2 A. prop. s. 325.

3 Enligt 5 kap. 11 första stycket PDL får uppgifter som avslöjar ras, etniskt ursprung, politiska åsikter, religiös eller filosofisk övertygelse, medlemskap i fackförening eller som rör hälsa eller sexualliv vid sökning i personuppgifter som har gjorts gemensamt tillgängliga, dvs. är tillgängliga för mer än ett fåtal personer endast användas som sökbegrepp när det är absolut nödvändigt för de ändamål som anges i 5 kap. 1 PDL. 3 Enligt 5 kap. 11 andra stycket PDL hindrar detta inte att brottsrubriceringar eller uppgifter som beskriver en persons utseende används som sökbegrepp. Säkerhetspolisen är enligt 5 kap. 5 PDL personuppgiftsansvarig för den behandling av personuppgifter som Säkerhetspolisen utför. 4 GRANSKNINGEN Säkerhetspolisen har efter anmodan inkommit till nämnden med interna styrdokument och rutinbeskrivningar avseende behandlingen av känsliga personuppgifter i fristående databaser. Vidare har nämnden den 18 juni 2013 genomfört en inspektion vid Säkerhetspolisen. Vid inspektionen har företrädare för Säkerhetspolisen gett en beskrivning av personuppgiftsbehandlingen, särskilt avseende känsliga personuppgifter, i den granskade databasen samt förevisat databasen. Säkerhetspolisen har vid inspektionstillfället även förevisat och redogjort för bakgrunden till registreringar avseende fyra personobjekt i databasen som innehåller känsliga personuppgifter. Personobjekten hade tidigare valts ut av nämndens kansli. Initialt granskades 20 personobjekt översiktligt. Dessa bestod av de fem först registrerade personobjekten med känsliga personuppgifter varje kalendermånad, från och med april 2012 till och med juli 2012. 5 NÄMNDENS IAKTTAGELSER Säkerhetspolisen har beslutat interna bestämmelser och rutiner avseende behandling av känsliga personuppgifter i fristående databaser. Enligt Säkerhetspolisens interna bestämmelser behöver inte något formellt beslut fattas när det gäller behandling av känsliga personuppgifter som sker i ett inledande skede, innan det har bedömts om uppgifterna ska fortsätta att behandlas och om uppgifterna ska registreras i centralregistret. Bestämmelserna anger att det är den som registrerar uppgiften som ansvarar för att uppgiften är korrekt. Vidare får enligt bestämmelserna känsliga personuppgifter endast registreras i fristående databaser om de får registreras i centralregistret. Det ska framgå i de fristående databaserna om det har fattats 3 A. prop. s. 127 ff.

4 ett särskilt beslut om att känsliga personuppgifter får behandlas avseende en person i centralregistret. Säkerhetspolisen har efter inspektionstillfället lämnat den kompletterande upplysningen att det nya IT-system som ska användas för bearbetning och analys av informationen i de fristående databaserna kommer att ha en funktion som innebär att beslut om behandling av känsliga personuppgifter måste dokumenteras. I Säkerhetspolisens skriftliga rutiner för behandling av känsliga personuppgifter ges exempel på vad som utgör känsliga personuppgifter. Vidare anges hur bedömningen om det är absolut nödvändigt att komplettera med känsliga personuppgifter görs och exempel på under vilka omständigheter det kan vara tillåtet att behandla sådana uppgifter. Rutinerna beskriver även under vilka förutsättningar sökning med känsliga personuppgifter som sökbegrepp får ske. Anställda får enligt Säkerhetspolisen genomgå utbildning i förutsättningarna för behandling av känsliga personuppgifter samt kunskapstest innan de får tillgång den granskade databasen. Loggning och logguppföljning sker regelbundet avseende användarnas aktiviteter i databasen, men uppföljningen är inte särskilt riktad mot behandlingen av känsliga personuppgifter. Enligt uppgifter från Säkerhetspolisen innehåller den granskade databasen känsliga personuppgifter i relativt stor utsträckning. Främst rör det sig om uppgifter om politiska åsikter samt religiös eller filosofisk övertygelse. Samtliga granskade registreringar av personobjekt innehåller känsliga personuppgifter. 6 NÄMNDENS BEDÖMNING Av Säkerhetspolisens interna bestämmelser framgår att det inte behöver fattas något formellt beslut om att känsliga personuppgifter får behandlas i ett inledande skede. Säkerhetspolisen har dock uppgett att det nya IT-systemet för bearbetning och analys har en funktion som innebär att de tjänstemän som gör prövningen av om känsliga personuppgifter får registreras i den granskade databasen måste ange i IT-systemet om ett beslut om behandling av känsliga personuppgifter har fattats. Säkerhetspolisen bör därför uppdatera sina interna bestämmelser så det där tydligt framgår att dokumentation av sådana beslut ska ske. Nämnden erinrar i detta sammanhang om den synpunkt som nämnden framförde i samrådsyttrande den 18 april 2013 över Säkerhetspolisens planerade IT-system för bearbetning och analys (dnr 17-2013). I yttrandet

5 uttalade nämnden bl.a. att den anser att Säkerhetspolisen ska införa rutiner och anta interna styrdokument för att säkerställa att en prövning enligt 2 kap. 10 PDL, dvs. en prövning av om det är absolut nödvändigt för syftet med behandlingen att behandla den känsliga personuppgiften, görs så snart som möjligt efter det att en sådan uppgift läggs in i den del av det nya IT-systemet som innehåller så kallad obedömd information. Den ståndpunkt som nämnden framförde i samrådsyttrandet gör sig alltjämt gällande. Detta bör också återspeglas i de interna bestämmelserna. Säkerhetspolisen synes i övrigt ha goda rutiner för behandling av känsliga personuppgifter i de fristående databaserna. Nämnden bedömer också att Säkerhetspolisen vidtar adekvata utbildnings- och logguppföljningsinsatser för att säkerställa att reglerna om behandling av känsliga personuppgifter efterlevs. Nämnden vill dock betona vikten av riktad logguppföljning för att säkerställa att sökning på känsliga personuppgifter enbart görs när det är absolut nödvändigt. Vid granskningen av personobjekt i den databas som omfattats av den aktuella tillsynen har det enligt nämndens bedömning inte framkommit något som tyder på att känsliga personuppgifter behandlas i strid med PDL. Sändlista: Säkerhetspolisen Kopia för kännedom: Datainspektionen

2025 © DocPlayer.se Sekretesspolicy | Användarvillkor | Kontakta oss