Undantag från förbudet i 21 personuppgiftslagen (1998:204)



Relevanta dokument
Ansökan om undantag från förbudet i 21 personuppgiftslagen (1998:204)

Ansökan om undantag från förbudet i 21 personuppgiftslagen (1998:204)

Beslut efter tillsyn enligt personuppgiftslagen (1998:204) av Stensjö Fastigheter

Ansökan om undantag från förbudet i 21 personuppgiftslagen (1998:204)

Ansökan om undantag från förbudet i 21 personuppgiftslagen

Tillsyn enligt personuppgiftslagen (1998:204) avseende den webbaserade tjänsten Squill

Beslut efter tillsyn enligt personuppgiftslagen (1998:204)

Ansökan om undantag från förbudet i 21 personuppgiftslagen (1998:204)

Tillsyn enligt personuppgiftslagen (1998:204) utlämnande av uppgifter om medlemmar

Tillsyn enligt personuppgiftslagen (1998:204) användning av s.k. elektroniska nycklar hos ett bostadsbolag

Ansökan om undantag från förbudet i 21 personuppgiftslagen (1998:204), PuL

Beslut efter tillsyn enligt personuppgiftslagen (1998:204)

Tillsyn enligt personuppgiftslagen (1998:204); behandling av personuppgifter för kontroll av anställda

Tillsyn enligt personuppgiftslagen (1998:204) mot IOGT-NTO behandling av uppgifter i medlemsregister

Tillsyn enligt personuppgiftslagen (1998:204) användning av s.k. elektroniska nycklar hos en bostadsrättsförening

Ansökan om undantag från förbudet i 21 personuppgiftslagen (1998:204), PuL

Undantag från förbudet i 21 personuppgiftslagen (1998:204)

Tillsyn enligt personuppgiftslagen (1998:204) behandling av personuppgifter om personer som hämtar ut postpaket

Tillsyn enligt personuppgiftslagen (1998:204) registrering av kunduppgifter samt klagomåls- och reklamationshantering

Beslut efter tillsyn enligt personuppgiftslagen (1998:204) av Fitness24Seven

Tillsyn enligt personuppgiftslagen (1998:204) inspelning av telefonsamtal i kundtjänst

Beslut efter tillsyn enligt personuppgiftslagen (1998:204) registrering av icke kyrkotillhöriga barn

Beslut efter tillsyn enligt personuppgiftslagen (1998:204)

Beslut efter tillsyn enligt personuppgiftslagen (1998:204) av Brf Kvarnberget

Tillsyn enligt personuppgiftslagen (1998:204) registrering av kunduppgifter samt klagomåls- och reklamationshantering

Tillsyn enligt personuppgiftslagen (1998:204) hantering av personnummer i samband med prisförfrågan

Föreningen kommer vidare att skriva avtal med sin systemleverantör. Leverantören kommer också att ta emot föreningens säkerhetskopior.

Tillsyn enligt personuppgiftslagen (1998:204) uppföljning av ärende om Kristdemokraternas medlemsregister

Beslut efter tillsyn enligt personuppgiftslagen (1998:204)

Tillsyn enligt personuppgiftslagen (1998:204) bankers användning av s.k. appar

Undantag från förbudet i 21 personuppgiftslagen (1998:204)

Beslut efter tillsyn enligt personuppgiftslagen (1998:204) PuL

Beslut efter tillsyn enligt personuppgiftslagen (1998:204)

Tillsyn enligt personuppgiftslagen (1998:204) ang. omdömen i en interaktiv tjänst på Internet

Polismyndigheten i Uppsala län Box UPPSALA. Datainspektionen meddelar följande BESLUT

Datainspektionens författningssamling

Beslut efter tillsyn enligt personuppgiftslagen (1998:204)

Tillsyn enligt inkassolagen (1974:182) användande av konkursinstitutet

Beslut efter tillsyn enligt personuppgiftslagen (1998:204) PuL

Tillsyn mot Wihlborgs Fastigheter AB avseende användning av positioneringssystemet ABAX

Tillsyn enligt personuppgiftslagen (1998:204)

Transporter av frihetsberövade (SOU 2011:7) och Transporter av frihetsberövade en konsekvensanalys (Statskontoret, rapport 2011:28)

Betänkandet Skyddet för den personliga integriteten Bedömningar och förslag (SOU 2008:3)

Tillsyn enligt personuppgiftslagen (1998:204) Behandling av personuppgifter i kollektivtrafiken; e-biljetter m.m.

Tillsyn enligt personuppgiftslagen (1998:204) användning av s.k. elektroniska nycklar hos ett bostadsbolag

Tillsyn enligt personuppgiftslagen (1998:204) användning av s.k. elektroniska nycklar hos ett bostadsbolag

Tillsyn enligt inkassolagen (1974:182) uppgift om grunden för tele-, TV- och Internetfordringar

Tillsyn enligt personuppgiftslagen

Tillsyn enligt personuppgiftslagen (1998:204) kontroll av anställda

Redogörelse för tillsynsärendet Datainspektionen har uppmärksammat att kreditupplysningar publiceras på bl.a. följande webbplatser:

Beslut efter tillsyn enligt inkassolagen (1974:182), kreditupplysningslagen (1973:1173) och personuppgiftslagen (1998:204)

Vägledning för bolag. Ej gällande. Ansvaret för personuppgifter som hanteras i system för whistleblowing

Tillsyn enligt personuppgiftslagen (1998:204) Commuter Security Group AB:s registrering av personuppgifter i samband med insatser mot skadegörelse

Tillsyn - äldreomsorg

Beslut efter tillsyn enligt personuppgiftslagen (1998:204) behandling av personnummer

Beslut efter tillsyn enligt personuppgiftslagen (1998:204)

Beslut efter tillsyn enligt personuppgiftslagen (1998:204) PuL

Tillsyn enligt personuppgiftslagen (1998:204) Arbetslöshetskassornas samorganisation (SO)

Beslut efter tillsyn enligt inkassolagen (1974:182) indrivning mot omyndiga

Tillsyn enligt personuppgiftslagen (1998:204) Kameraövervakning inomhus i skola

Beslut efter tillsyn enligt personuppgiftslagen (1998:204)

Tillsyn enligt inkassolagen (1974:182) uppgift om grunden för tele-, TV- och Internetfordringar

Tillsyn enligt inkassolagen (1974:182) uppgift om grunden för tele-, TV- och Internetfordringar

Tillsyn enligt inkassolagen (1974:182) uppgift om grunden för tele-, TV- och Internetfordringar

Tillsyn enligt personuppgiftslagen (1998:204) uppföljning av ärende om Vänsterpartiets medlemsregister

Tillsyn enligt personuppgiftslagen (1998:204) Seamless Payment AB

Tillsyn enligt personuppgiftslagen (1998:204) - Sammanhållen journalföring 6 kap. patientdatalagen

Beslut efter tillsyn enligt inkassolagen (1974:182) indrivning mot omyndiga

Tillsyn enligt personuppgiftslagen (1998:204) Behandling av personuppgifter i molnet

Tillsyn enligt personuppgiftslagen (1998:204) Intern åtkomst till personuppgifter hos Försäkringskassan

Tillsyn enligt personuppgiftslagen (1998:204) Behandling av personuppgifter i kollektivtrafiken; elektroniska biljetter m.m.

Tillsyn enligt personuppgiftslagen (1998:204) Utökat elektroniskt informationsutbyte

Tillsyn enligt personuppgiftslagen (1998:204) användning av positioneringsteknik för kontroll av anställda

Beslut efter tillsyn enligt personuppgiftslagen (1998:204)

Tillsyn enligt personuppgiftslagen (1998:204) socialtjänstens behandling av personuppgifter om etniskt ursprung

Tillsyn enligt personuppgiftslagen (1998:204) Hantering av patientuppgifter via e-post

Tillsyn - äldreomsorg

SOU 2014:67 Inbyggd integritet inom Inspektionen för socialförsäkringen

Beslut efter tillsyn enligt inkassolagen (1974:182) indrivning mot omyndiga

Beslut efter tillsyn enligt patientdatalagen (2008:355) rutiner för registrering i Senior Alert.

Yttrande Diarienr Ert diarienr N2014/1095/TE. Näringsdepartementet Transportenheten STOCKHOLM

Tillsyn enligt personuppgiftslagen (1998:204) bankers användning av s.k. appar

Tillsyn enligt personuppgiftslagen (1998:204) Behandling av personuppgifter i e-post

Tillsyn enligt personuppgiftslagen (1998:204) användning av s.k. elektroniska nycklar hos ett bostadsbolag

Beslut efter tillsyn enligt inkassolagen (1974:182) ny uppföljning av uppgift om grunden för fordran

Datainspektionen informerar. Dina rättigheter enligt personuppgiftslagen

Tillsyn enligt personuppgiftslagen (1998:204) Hyresbostäder i Norrköping AB

Tillsyn enligt personuppgiftslagen (1998:204) användning av s.k. elektroniska nycklar hos ett bostadsbolag

Tillsyn enligt personuppgiftslagen (1998:204) Behandling av personuppgifter i kollektivtrafiken; elektroniska biljetter m.m.

Tillsyn enligt personuppgiftslagen (1998:204) registrering av känsliga personuppgifter om anställda

Personuppgiftsbehandling för forskningsändamål

Beslut efter tillsyn enligt personuppgiftslagen (1998:204)

Beslut efter tillsyn enligt inkassolagen (1974:182) ny uppföljning av uppgift om grunden för fordran

Tillsyn enligt personuppgiftslagen (1998:204) Hantering av patientuppgifter via e-post

HÖGSTA FÖRVALTNINGSDOMSTOLENS DOM

Tillsyn enligt personuppgiftslagen (1998:204) bankers användning av s.k. appar

Tillsyn enligt personuppgiftslagen (1998:204) Utökat elektroniskt informationsutbyte

Betänkandet EU:s direktiv om sanktioner mot arbetsgivare (SOU 2010:63)

Beslut efter tillsyn enligt personuppgiftslagen (1998:204)

Beslut efter tillsyn enligt patientdatalagen (2008:355) rutiner för registrering i Senior Alert.

Transkript:

BESLUT Dnr 2008-03-18 1402-2007 Svenska Bankföreningen Att: Marie-Louise Ulfward Box 7603 103 94 STOCKHOLM Såsom ombud för: Se bilaga. Undantag från förbudet i 21 personuppgiftslagen (1998:204) Datainspektionens beslut Datainspektionen beslutar med stöd av 9 personuppgiftsförordningen (1998:1191) att de av Svenska Bankföreningens medlemmar som omfattas av ansökan (se bilaga) får behandla personuppgifter om lagöverträdelser i enlighet med ansökan. Datainspektionen beslutar att undantaget gäller till och med utgången av mars 2009. Redogörelse för ansökan Svenska Bankföreningen (Bankföreningen) ansöker som ombud för i ansökan angivna medlemsbanker (bankerna) om undantag från förbudet i 21 personuppgiftslagen. Om Datainspektionen bedömer att Bankföreningens egen behandling inte omfattas av undantaget i 5 a personuppgiftslagen ansöker Bankföreningen om undantag även för egen del. Bakgrund Finansrådet (Bankföreningens motsvarighet i Danmark) har tillfrågat Bankföreningen och Finansnäringens Hovedorganisasjon (Bankföreningens motsvarighet i Norge) angående medverkan i ett nordiskt samarbete kring utväxling av IP-adresser i samband med intrångsförsök mot Internetbanker. Inom ramen för Bankföreningens säkerhetssamarbete fattades den 3 september 2007 beslut om att medverka i samarbetet. Postadress: Box 8114, 104 20 STOCKHOLM E-post: datainspektionen@datainspektionen.se Besöksadress: Fleminggatan 14, plan 9 Telefon: 08-657 61 00 Webbplats: http://www.datainspektionen.se Telefax: 08-652 86 52

2 (5) De IP-adresser som hanteringen avser har av utsatta banker konstaterats förekomma i samband med intrångsförsök. IP-adresser tillhör i många fall inte gärningsmannen/den misstänkte, utan tillhör i stället den dator som obehörigt kontrolleras av den som står bakom intrångsförsöket. Datorn som IP-adressen är kopplad till ägs alltså ofta av en person/organisation som själv ovetandes utsatts för dataintrång. Följande uppgifter kan komma att behandlas i syfte att snabbt förhindra angrepp mot en bank och dess kunder: - IP-nummer för den dator från vilket intrånget /intrångsförsöket härrör - Datum och klockslag för incidenten - Om det är genomförda intrång eller endast försök till intrång. Syftet med behandlingen är inte att utpeka den registrerade som misstänkt brottsling utan att skydda bankerna och deras kunder och andra från potentiella angrepp. Om en bank har blivit utsatt för försök till intrång eller genomförda intrång kommer banken att behandla personuppgifter relaterade till intrånget i syfte att vidta rättsliga åtgärder. Informationen kommer att sparas i digitalt format, på hårddisk, CD eller annat medium och kan komma att lämnas till polis och åklagare som bevis i brottmålsprocess. Ändamålet med att spara informationen på detta sätt är att säkra bevisning inför en framtida rättegång och att möjliggöra teknisk analys av informationen för att tydliggöra samtliga moment som ingår i intrånget/intrångsförsöket. Bankföreningens egen hantering begränsas till att via e-post ta emot information om IP-nummer från nämnda branschorganisationer i Norden och deras medlemsbanker och sedan via e-post skicka denna information vidare till ett fåtal personer på bankernas säkerhetsavdelningar. Bankföreningen har också åtagit sig att via e-post ta emot information om IP-nummer från bankerna och vidarebefordra dessa uppgifter via e-post till nämnda branschorganisationer i Norden. Inkomna och avsända e-postmeddelanden redogör endast för faktiska iakttagelser om ett visst förlopp som tyder på intrång från den angivna IP-adressen. Av e-postmeddelandet framgår inte uppgifter som möjliggör identifiering av vem som är registrerad för IPadressen. Informationen kommer att behandlas inom den mottagande banken i syfte att förhindra angrepp mot banken och dess kunder. För att så effektivt som möjligt förhindra att brott begås behöver uppgifterna läggas in i IT-säkerhetssystem som möjliggör att alla inloggningsförsök till Internetbanken som härrör från den angivna IP-adressen kan avvisas. Uppgifterna om att misstänkta/konstaterade intrång härrör från en viss IP-adress betyder i de flesta fall inte att det är den som är registrerad för en viss IP-adress som verkligen står bakom försöket, men det kan inte uteslutas. Om det senare visar sig att spridda uppgifter om IP-adress felaktigt grundats på misstanke om intrång skickas rättelse om detta skyndsamt ut till berörda banker. Genom att sprida informationen ges Bankföreningen möjlighet att skydda sina medlemmar och/eller sina medlemmars kunder från allvarliga brottsangrepp. Informationsspridning mellan de nordiska branschorganisationerna och dess

3 (5) medlemmar är dessutom betydelsefullt för upprätthållandet av säkra Internetbanker. Datainspektionen har uppmärksammat Bankföreningen och Bankerna på att det har blivit allt vanligare att användare tilldelas s.k. dynamiskt tilldelade IPadresser. Detta innebär att användaren tilldelas en ny IP-adress varje gång denne kopplar upp sig på Internet. Det innebär i sin tur att en person som gjort ett intrångsförsök i en Internetbank kan göra ett nytt intrångsförsök i en Internetbank, nu med en ny IP-adress. Det kan dessutom inträffa att en IPadress som använts vid ett tidigare intrångsförsök tilldelas en annan användare som inte haft med det tidigare intrångsförsöket att göra. En sådan användare kan utan egen förskyllan komma att bli föremål för bankens kontrollåtgärder. Även förekomsten av s.k. anonymiseringstjänster, där användarens IP-adress byts ut mot en anonym IP-adress, kan göra den tilltänkta behandlingen mindre effektiv för sitt ändamål. Bankföreningen anser att den tilltänkta behandlingen kommer att bli ett effektivt skydd mot intrång i Internetbanker trots förekomsten av dynamiska IP-nummer och anonymiseringstjänster. Det kommer heller inte att uppstå något större besvär för en kund som av en slump tilldelas ett dynamiskt IPnummer som tidigare använts vid ett intrångsförsök. Banken kan säkerställa att det är en behörig kund som försöker genomföra en penningtransaktion genom att kontakta kunden i fråga per telefon. Bankerna saknar möjlighet att informera de registrerade om den behandling bankerna har genomfört eftersom det inte är möjligt att identifiera de registrerade utan uppgifter från Internetleverantören, vars uppgifter omfattas av tystnadsplikt enligt 6 kap. 20 lagen om elektronisk kommunikation. De registrerade kommer dock att informeras om denna behandling om intrånget/intrångsförsöket blir föremål för polisutredning. Skäl för beslutet Bankföreningen Datainspektionen bedömer att Bankföreningens förmedling av e- postmeddelanden inte är att betrakta som en behandling av personuppgifter som ingår i en strukturerad samling av personuppgifter. Det innebär att personuppgiftslagens hanteringsregler, bl.a. 21 personuppgiftslagen, inte ska tillämpas på behandlingen. Bankerna Datainspektionen bedömer att den enskilda bankens behandling av personuppgifter ingår i en strukturerad samling av personuppgifter. Det innebär att personuppgiftslagens hanteringsregler, bl.a. 21 personuppgiftslagen, ska tillämpas på behandlingen. Enligt 21 första stycket personuppgiftslagen är det förbjudet för andra än myndigheter att behandla uppgifter om lagöverträdelser som innefattar brott. Datainspektionen har möjlighet att i föreskrifter eller enskilda fall meddela undantag från detta förbud. En uppgift om att någon har eller kan ha begått ett

4 (5) visst brott utgör en uppgift om lagöverträdelse, även om det inte finns någon dom eller motsvarande beträffande brottet, om uppgiften har kvalificerats till att avse något visst brott (SOU 1997:39 s.380). Datainspektionen konstaterar att ändamålet med behandlingen är att förhindra angrepp mot banken och dess kunder. Bankerna kommer att sprida uppgifterna till andra banker inom ramen för det nordiska samarbetet i syfte att sprida kunskaper om angrepp och misstänkta angrepp. Om en bank har blivit utsatt för försök till intrång eller genomförda intrång kommer banken att behandla personuppgifter relaterade till intrånget i syfte att vidta rättsliga åtgärder. Utan hinder av förbudet i 21 personuppgiftslagen får sådana personuppgifter behandlas om behandlingen avser endast enstaka uppgifter som är nödvändiga för att rättsligt anspråk ska kunna fastställas, göras gällande eller försvaras i ett enskilt fall (Datainspektionens föreskrifter, DIFS 1998:3 punkten d). Datainspektionen bedömer att bankernas behandlingar av personuppgifter enligt ovan inte omfattas av undantaget i fråga eftersom det enligt inspektionen inte är fråga om enstaka uppgifter som behandlas. Det återstår därmed för Datainspektionen att bedöma om det finns förutsättningar att meddela undantag från förbudet. Datainspektionen konstaterar att det blir allt vanligare att bankernas kunder utnyttjar bankernas Internettjänster. Internetbanksintrång kan ge allvarliga konsekvenser för de drabbade kunderna, banken och tilltron till betalningssystemet i sin helhet. Syftet med behandlingen är inte att utpeka den registrerade som misstänkt brottsling utan skydda sig mot potentiella angrepp. Bankerna har inte själva möjlighet att identifiera personen som står bakom IPnumret. För att ett undantag ska kunna medges måste dock den tilltänkta behandlingen vara proportionerlig med hänsyn till det syfte som behandlingen avser. Man måste således vid en intresseavvägning bedöma i vilken grad den tilltänkta behandlingen är effektiv. Datainspektionen finner vid en samlad bedömning att bolaget har ett berättigat intresse av att behandla personuppgifter på det sätt som beskrivits. Datainspektionen finner inte anledning att i detta skede ifrågasätta Bankföreningens påstående att den tilltänkta behandlingen är effektiv för sitt ändamål. Datainspektionen anser därför att det är möjligt att meddela undantag från förbudet i 21 personuppgiftslagen för bolaget i enlighet med ansökan. Med hänsyn till att det råder viss osäkerhet om den beskrivna personuppgiftsbehandlingen är effektiv för sitt ändamål bör verksamheten utvärderas efter en kortare tid. Undantaget bör därför tidsbegränsas till utgången av mars 2009. Hur man överklagar Om ni vill överklaga beslutet skall ni skriva till Datainspektionen. Ange i skrivelsen vilket beslut som överklagas och den ändring som ni begär. Inspektionen måste ha fått ert överklagande inom tre veckor från den dag ni fick ta del av beslutet, annars kan överklagandet inte prövas. Datainspektionen

5 (5) sänder överklagandet vidare till Länsrätten i Stockholms län för prövning om inspektionen inte själv ändrar beslutet på det sätt ni har begärt. Detta beslut har fattats av generaldirektören Göran Gräslund i närvaro av chefsjuristen Leif Lindgren, teamledaren Catharina Fernquist samt avdelningsdirektören Hans Kärnlöf, föredragande. Göran Gräslund Hans Kärnlöf

2025 © DocPlayer.se Sekretesspolicy | Användarvillkor | Kontakta oss