Samråd enligt 38 personuppgiftslagen (1998:204) utveckling av ny teknik för bildinformation i geografiska informationssystem (GIS)

Yttrande Dnr 2008-04-09 1070-2007 Linköpings kommun Kommunledningskontoret 581 81 LINKÖPING Att: Personuppgiftsombudet Ragnhild Klintberg Samråd enligt 38 personuppgiftslagen (1998:204) utveckling av ny teknik för bildinformation i geografiska informationssystem (GIS) Med anledning av er begäran om samråd om hur personuppgifter får användas vid utveckling av ny teknik för bildinformation i geografiska informationssystem (GIS) och efter att ha genomfört en inspektion i era lokaler, lämnar Datainspektionen följande vägledning. Vi betonar dock att det kan finnas ytterligare aspekter som vi inte tar upp i detta svar och att det är den personuppgiftsansvariges uppgift att självständigt och på eget ansvar se till att behandlingen av personuppgifter görs i enlighet med bestämmelserna i personuppgiftslagen. Bakgrund Ni samarbetar för närvarande i ett pilotprojekt med syfte att via ny teknik skapa tredimensionella stadsmodeller i GIS. För att åstadkomma detta samlas bildinformation in från luften och från marken. Bildinformationen från marken samlas in med särskilda fotograferingsfordon, som fotograferar en 360-graders panoramabild var tionde meter längs med gatunätet. Med hjälp av ett särskilt bildprogram är det möjligt att betrakta omgivningen åt alla håll från de exponeringspunkter som fotograferingsfordonet stannat vid. Det är också möjligt att förflytta sig längs med en gata i programmet genom att byta exponeringspunkter och zooma in godtyckliga delar av bilden, så långt bildens upplösning tillåter. Ni har redovisat bland annat följande användningsområden för systemet: Kommunikation med allmänheten Stolp- och skyltinventering Inventering av brunnar, kantstöd, räcken och andra objekt i gatumiljön Hjälp vid adressättning Möjlighet att vandra i en modell för att visualisera omgivningar utan att vara på plats Postadress: Box 8114, 104 20 STOCKHOLM E-post: datainspektionen@datainspektionen.se Besöksadress: Fleminggatan 14, plan 9 Telefon: 08-657 61 00 Webbplats: www.datainspektionen.se Telefax: 08-652 86 52

Underlag vid förstudier och förprojekteringar Inventering av kulturmiljöer Olika interaktiva tillämpningar för information, utbildning, marknadsföring etc. Bygglovshantering 2 (8) Är personuppgiftslagen tillämplig? Det aktuella systemet kan innehålla bilder från stadens gator där det går att identifiera människor och avläsa registreringsskyltar på bilar. I viss mån går det också att se in genom husfönster, något som åtminstone i princip gör det möjligt att identifiera enskilda individer. Det innebär, som ni själva uppmärksammat, en hantering av personuppgifter som omfattas av personuppgiftslagen. Några utgångspunkter Vi ser utifrån personuppgiftslagens bestämmelser inte något principiellt hinder mot att ni använder GIS för att effektivisera er verksamhet. Men systemet med tredimensionella stadsmodeller i GIS innebär, åtminstone i princip, att ni kommer att behandla personuppgifter som kan vara integritetskänsliga. Risken finns till exempel att personer hamnar på bild i känsliga situationer eller sammanhang. Men också i de situationer då personer förekommer på bild i mer alldagliga situationer kan individen anses ha rätt till skydd mot insyn i sin privata sfär, som denne inte ska behöva motivera. Detta är integritetsfrågor som ni måste hantera. Personuppgiftsansvar Den aktuella personuppgiftsbehandlingen sker inom ramen för ett pilotprojekt mellan Linköpings kommun och SAAB. Tillsammans har ni anlitat det holländska företaget Cyklomedia för att utföra fotograferingen. Detta företag äger också bildmaterialet. Det innebär att personuppgifter inte enbart behandlas av er utan även av SAAB och Cyklomedia. Detta aktualiserar frågan om personuppgiftsansvar enligt 3 personuppgiftslagen. Personuppgiftsansvarig är den eller de som tillsammans med andra bestämmer ändamålen med och medlen för behandlingen av personuppgifter. Den personuppgiftsansvarige kan överlåta den faktiska behandlingen av personuppgifter, men personuppgiftsansvaret kan aldrig överlåtas. Det är alltid den personuppgiftsansvarige som ytterst svarar för att personuppgiftslagen följs och att de registrerade behandlas korrekt. Ansvaret är straff- och skadeståndssanktionerat. Det är viktigt ur ett integritetsperspektiv att det finns någon som är personuppgiftsansvarig och att det klart framgår utåt vem som bär ansvaret, så att de registrerade kan ta tillvara sina rättigheter i samband med behandlingen. Personuppgiftsansvaret kan bäras av en part eller delas av flera. En konstruktion med delat personuppgiftsansvar kan dock vara riskabel om alla aktörer kan hantera all information i systemet, eftersom parterna i så fall är solidariskt ansvariga om någon av dem skulle använda uppgifterna på ett

olagligt sätt. Det kan också uppstå tveksamheter om vilket lands personuppgiftslag som är tillämplig. 3 (8) Om personuppgiftsansvaret bärs av en eller flera parter, kan övriga inblandade aktörer utgöra personuppgiftsbiträden. Ett personuppgiftsbiträde enligt 3 personuppgiftslagen är den som behandlar personuppgifter för den personuppgiftsansvariges räkning. Ett personuppgiftsbiträde finns alltid utanför den egna organisationen och kan vara antingen en fysisk eller en juridisk person. Om den personuppgiftsansvarige anlitar ett personuppgiftsbiträde, får biträdet endast behandla personuppgifter i enlighet med den personuppgiftsansvariges instruktioner. Ett skriftligt avtal måste i så fall upprättas. I avtalet ska det särskilt föreskrivas att personuppgiftsbiträdet får behandla personuppgifterna i enlighet med instruktionerna och att biträdet måste vidta de säkerhetsåtgärder som behövs för att skydda uppgifterna. Ni måste ta ställning till vem eller vilka som är personuppgiftsansvariga för behandlingen av personuppgifter inom ramen för det aktuella projektet och vid behov upprätta biträdesavtal. I den fortsatta framställningen utgår vi från att ni ensam eller tillsammans med de andra inblandade företagen är personuppgiftsansvarig. Strukturerad eller ostrukturerad behandling? Vilka regler i personuppgiftslagen som ska tillämpas på behandlingen av personuppgifter beror på hur uppgifterna har strukturerats (5 a ). Lagen innehåller sedan den 1 januari 2007 en förenklad reglering för behandling av personuppgifter i så kallat ostrukturerat material, utan koppling till en registerstruktur, till exempel behandling av uppgifter i löpande text i ett dokument. Sådana uppgifter får i princip behandlas fritt så länge det inte uppkommer en kränkning av den registrerades personliga integritet (missbruksregeln). Om uppgifterna däremot har strukturerats för att påtagligt underlätta sökning efter eller sammanställning av personuppgifter, rör det sig om behandling i så kallat strukturerat material. Det innebär i princip att alla regler i personuppgiftslagen måste tillämpas på behandlingen (hanteringsreglerna). Som framgått ovan behöver hanteringsreglerna bara tillämpas på behandling av personuppgifter i ett material som har en personuppgiftsanknuten struktur. Med detta avses att ett material har strukturerats så att just personuppgifter markerats som sådana. Dessutom kan flera andra slags uppgifter i materialet ha markerats. Det är fråga om en personuppgiftsanknuten struktur om materialet, till exempel det som ingår i GIS, har strukturerats för att underlätta sökning efter och sammanställning av personuppgifter genom att just dessa uppgifter markerats. I det aktuella systemet är det möjligt att söka efter bland annat adresser och fastighetsbeteckningar och därigenom få upp en lägesbild i datorn över ett visst geografiskt område. Eftersom adresser och fastighetsbeteckningar i vissa fall kan utgöra personuppgifter kan systemet sägas innehålla en personuppgiftsanknuten struktur. För att hanteringsreglerna ska vara tillämpliga krävs dock att samlingen av personuppgifter har strukturerats för att påtagligt underlätta sökning efter eller sammanställningar av personuppgifter.

4 (8) Av förarbetena till den aktuella ändringen i personuppgiftslagen (prop. 2005/06:173 s. 19ff) framgår att det med hänsyn till den tekniska utvecklingen och det förhållandet att datortekniken kommer till allmän användning på allt fler områden är svårt att uttömmande ange fasta hållpunkter för vilken nivå eller kvalitet på den personuppgiftsanknutna struktureringen som bör krävas för att hanteringsreglerna ska behöva tillämpas. Syftet med bestämmelsen i 5 a är dock att undanta mindre riskfylld behandling från hanteringsreglernas tillämpningsområde och istället skapa enklare regler som direkt tar sikte på skydd mot missbruk av personuppgifter. Lagstiftaren har ansett att en förenklad reglering för sådan vardaglig behandling av personuppgifter som typiskt sett inte innebär några större risker för kränkningar av de registrerades personliga integritet är förenlig med EG-direktivet om personuppgifter (Europaparlamentets och rådets direktiv 95/46/EG om skydd för enskilda personer med avseende på behandling av personuppgifter och om det fria flödet av sådana uppgifter). Vid bedömningen av om personuppgifterna i det aktuella systemet har strukturerats för att påtagligt underlätta sökning efter eller sammanställning av personuppgifter måste man som vi ser det beakta för vilka ändamål systemet tillkommit och på vilket sätt och i vilken omfattning personuppgifter tillgängliggörs i systemet. I det här fallet är det i huvudsak fråga om att lagra och tillgängliggöra annan information än personuppgifter. Systemet är inte heller avsett att användas för sökning efter eller sammanställning av personuppgifter. Vi anser därför att systemet normalt inte innebär en sådan påtaglig strukturering av personuppgifter som avses i 5 a personuppgiftslagen. Det innebär att ni får behandla personuppgifter i systemet, så länge behandlingen inte innebär en kränkning av den registrerades personliga integritet. Ni är också skyldiga att iaktta bestämmelserna i 30-32 personuppgiftslagen, om säkerhetsåtgärder för personuppgifter. Även om hanteringsreglerna normalt inte är tillämpliga på det aktuella systemet, kan dessa regler under vissa förutsättningar trots allt bli tillämpliga. Så kan vara fallet om systemet används för att söka efter eller sammanställa just personuppgifter. Ett sådant exempel är om systemet används av en miljöoch hälsoskyddsnämnd i dess tillsynsverksamhet, för att kontrollera att verksamheten vid vissa adresser eller fastigheter bedrivs enligt gällande regler och förordningar. I vissa gränsfall kan det vara svårt att avgöra om det är hanteringsreglerna eller missbruksregeln som ska tillämpas på behandlingen. Den som är osäker på vilka regler som är tillämpliga kan välja att tillämpa hanteringsreglerna. En behandling som följer dessa regler kan inte betraktas som kränkande i personuppgiftslagens mening (prop. 2005/06:173, s 27). Kränkningsbedömning enligt missbruksregeln Vid bedömningen av om en behandling av personuppgifter innebär en kränkning av den registrerades personliga integritet i den mening som avses i 5 a personuppgiftslagen, är känsligheten hos uppgifterna en faktor. Bedömningen måste även utgå från vilket sammanhang uppgifterna

5 (8) förekommer, för vilket syfte de behandlas, vilken spridning de har fått eller har riskerat att få samt vad behandlingen kan leda till. Som utgångspunkt för bedömningen av om en behandling av personuppgifter innebär en kränkning av den registrerades personliga integritet kan tas bestämmelserna om grundläggande krav i 9 och om när behandling av personuppgifter är tillåten i 10 personuppgiftslagen (prop. 2005/06:173, s 26ff). De är egentligen undantagna då det rör sig om ostrukturerad behandling. Men som nämnts ovan kan en behandling som följer dessa regler inte betraktas som kränkande Rent allmänt ser vi inte några hinder mot att använda det system ni beskriver. Men som förarbetena till bestämmelsen om kränkning i 5 a personuppgiftslagen anger ligger det i sakens natur att tillämpningen av bestämmelsen får bygga på en intresseavvägning där den registrerades intresse av en fredad privat sfär vägs mot andra motstående intressen i det enskilda fallet. På det här underlaget kan vi inte göra en närmare rättslig bedömning, utan det är ni i egenskap av personuppgiftsansvarig, som måste göra de överväganden som krävs. Bedömning enligt hanteringsreglerna Om ni bedömer att hanteringsreglerna är tillämpliga på systemet, måste ni i princip beakta samtliga bestämmelser i personuppgiftslagen. Behandlingen får till exempel inte strida mot de grundläggande kraven i 9 personuppgiftslagen. Grundläggande krav på behandling av personuppgifter Enligt de grundläggande kraven i 9 personuppgiftslagen, som alltid måste vara uppfyllda vid behandling av personuppgifter i strukturerat material, får personuppgifter bara behandlas för särskilda, uttryckligt angivna och berättigade ändamål. Ändamålet med behandlingen bestämmer sedan hur den personuppgiftsansvarige får använda de redan insamlade uppgifterna. Vidare gäller bland annat att de personuppgifter som behandlas måste vara adekvata och relevanta i förhållande till ändamålen med behandlingen och att inte fler personuppgifter behandlas än vad som är nödvändigt med hänsyn till ändamålen med behandlingen. Ni måste med andra ord se till att behandlingen av personuppgifter i GIS har ett i förväg bestämt och berättigat ändamål som dessutom är sakligt grundat i verksamheten. Behandlingen får inte heller utföras godtyckligt eller kränkande eller på ett sätt som strider mot lag eller god sed. Det finns en påtaglig risk att ni kommer att hantera olika former av överskottsinformation, det vill säga personuppgifter som inte är adekvata och relevanta för de ändamål ni angett med behandlingen, då ni använder det aktuella systemet. Personer riskerar till exempel att hamna på bild i systemet i onödan. Ni har angett att ni inte känner till några möjligheter att automatiskt avidentifiera bilderna i systemet och att det därför i nuläget inte är praktiskt genomförbart att avidentifiera bilderna i systemet. Vi har förståelse för svårigheterna. Men för att behandlingen inte ska riskera att strida mot personuppgiftslagen, måste ni vidta åtgärder för att minimera förekomsten av personuppgifter i systemet. Detta kan åstadkommas på flera sätt, exempelvis genom att fotografera vid tidpunkter på dygnet då så få personer som möjligt

6 (8) vistas på gatorna. Bildupplösningen bör dessutom inte vara högre än vad situationen kräver. Det måste också ske en manuell avidentifiering av bilderna i situationer då det är särskilt påkallat, till exempel då ni upptäcker integritetskänsligt bildmaterial eller då någon registrerad begär att bli avidentifierad. Det måste också finnas rutiner för att fortlöpande se över innehållet i GIS, så att det inte innehåller integritetskänsligt material. Laglig grund för behandlingen av personuppgifter I 10 personuppgiftslagen finns en uppräkning av vilka fall behandling av personuppgifter är tillåten. Om behandlingen av personuppgifter, exempelvis i GIS, inte kan hänföras till någon av de situationer som anges i paragrafen, är den otillåten och får inte utföras. Behandling av personuppgifter i GIS kan bland annat vara tillåten med stöd av samtycke från de registrerade eller för att kunna utföra en arbetsuppgift i samband med myndighetsutövning enligt punkten e). Behandlingen kan också vara tillåten efter en intresseavvägning enligt punkten f), om behandlingen är nödvändig och intresset av att behandla uppgifterna är större än den registrerades intresse av att uppgifterna inte behandlas. Vid en intresseavvägning vilket är den grund som normalt kan åberopas för att behandla personuppgifter i GIS blir bedömningen beroende av omständigheterna i det enskilda fallet. Den personuppgiftsansvarige vilket i regel är en kommunal nämnd måste ha ett berättigat intresse av att behandla uppgifterna och detta intresse måste väga tyngre än den registrerades intresse av skydd mot kränkning av den personliga integriteten. Omständigheter som spelar in vid bedömningen är till exempel ändamålet med behandlingen, vilka uppgifter som behandlas och på vilket sätt de behandlas. Det har också betydelse vilken information de registrerade får om behandlingen och vilken administrativ och teknisk säkerhet som vidtas i fråga om uppgifterna. Avgörande för bedömningen är också om behandlingen är förenlig med de grundläggande kraven i 9 personuppgiftslagen. Vi kan inte utifrån befintligt material närmare bedöma era möjligheter att behandla personuppgifter i GIS med stöd av en intresseavvägning. Vi ser i och för sig inte något principiellt hinder mot att ni använder tekniken för att effektivisera er verksamhet. Men för att behandlingen ska vara tillåten krävs att ändamålet är berättigat och att behandlingen inte utgör ett otillbörligt intrång i de registrerades personliga integritet. Allmänt kan sägas att möjligheterna att behandla personuppgifter är betydligt större i fråga om sådana GIS-verktyg som används internt i kommunens egna verksamheter, än sådana som görs allmänt åtkomliga för allmänheten. GIS-tillämpningar som görs tillgängliga för allmänheten får i regel inte innehålla direkta personuppgifter, som exempelvis bilder på personer. Det är också viktigt att ha i åtanke att personuppgifter som är att anse som känsliga enligt personuppgiftslagen, till exempel uppgifter som avslöjar politiska åsikter och uppgifter som rör hälsa eller sexualliv, aldrig får behandlas enbart med stöd av en intresseavvägning. För sådana uppgifter gäller särskilt restriktiva bestämmelser. För att ni ska få behandla denna typ av uppgifter i GIS, måste ni ha stöd i någon av bestämmelserna i 15-19

7 (8) personuppgiftslagen. Naturligtvis måste behandlingen även i fråga om känsliga uppgifter vara förenlig med de grundläggande kraven i personuppgiftslagen, bland annat måste den göras för berättigade ändamål och vara sakligt motiverad. Möjligheterna att behandla känsliga personuppgifter i GIS utan samtycke från de registrerade, är normalt mycket begränsade. Information till de registrerade Personuppgiftslagen ålägger i 23-25 den personuppgiftsansvarige en långtgående skyldighet att informera de registrerade om den personuppgiftsbehandling som sker i strukturerat material. Information ska normalt lämnas på eget initiativ av den personuppgiftsansvarige, innan uppgifterna samlas in. Informationen ska omfatta följande uppgifter: - uppgift om vem som är personuppgiftsansvarig, - uppgift om ändamålen med behandlingen, - all övrig information som behövs för att den registrerade ska kunna ta till vara sina rättigheter i samband med behandlingen, såsom information om mottagarna av uppgifterna, skyldighet att lämna uppgifter och rätten att ansöka om information (registerutdrag) och få rättelse. Personuppgiftslagen innehåller undantag från informationsplikten. Vilka undantag som är tillämpliga beror på om uppgifterna samlas in direkt från den registrerade själv eller från någon annan källa. Har uppgifterna samlats in från någon annan källa än den registrerade, behöver den personuppgiftsansvarige till exempel inte lämna information om det visar sig vara omöjligt eller om det skulle innebära en oproportionerligt stor arbetsinsats. I förevarande fall när ni fotograferar längs med gatunätet anser vi att uppgifterna samlas in direkt från de fotograferade. Det enda undantaget från informationsplikten i detta fall är om de registrerade känner till eller kan förutsättas känna till behandlingen. Ni är därför skyldiga att lämna information till de registrerade om behandlingen av personuppgifter i GIS. Personuppgiftslagen innehåller inga uttryckliga krav på hur informationen ska lämnas. Informationen kan t.ex. lämnas muntligen eller skriftligen. Men det är den personuppgiftsansvarige som har bevisbördan för att den registrerade har fått den information som krävs och det ligger därför i kommunens intresse att den information som lämnas är tydlig och begriplig för den registrerade. Kravet på att informationen ska vara tydlig innebär att det inte kan anses tillräckligt att informationen enbart lämnas genom till exempel annonser i massmedia. I vissa fall kan det godtas att informationen lämnas genom tydliga anslag, under förutsättning att samtliga registrerade har haft möjlighet att se anslaget. Administrativ och teknisk säkerhet för uppgifterna i systemet Oavsett om det rör sig om personuppgiftsbehandling i strukturerat eller ostrukturerat material, är personuppgiftsansvarige är enligt 31 personuppgiftslagen skyldig att vidta lämpliga tekniska och organisatoriska åtgärder för att skydda de personuppgifter som behandlas. Åtgärderna ska

8 (8) ställas i relation till de tekniska möjligheter som finns, kostnaderna för åtgärderna, de risker som finns samt de behandlade uppgifternas känslighet. Vi kan utifrån befintligt underlag inte uttala oss närmare om vilka säkerhetsåtgärder som aktualiseras i detta fall. Men vi konstaterar att uppgifterna i systemet kan vara integritetskränkande och att de kan missbrukas. Respektive nämnd bör se till att endast anställda som behöver uppgifterna i sitt arbete har tillgång till systemen. För att förhindra obehörig åtkomst bör det dessutom finnas ett system för behörighetskontroll, som gör det möjligt att identifiera användare och bekräfta deras identitet. Det är inte lämpligt att personuppgifterna i systemet görs tillgängliga för användarna genom grupplösenord. För att kontrollera åtkomsten till uppgifterna i systemet kan det också vara nödvändigt med en behandlingshistorik (logg) som sparas en viss tid samt rutiner för regelbunden uppföljning av loggen, exempelvis genom stickprovskontroller. Sammanfattning Vi ser utifrån personuppgiftslagens bestämmelser inte något principiellt hinder mot att ni använder GIS för att effektivisera er verksamhet. Men ni är skyldiga att se till att systemet utformas och används på ett sätt som inte strider mot personuppgiftslagen. Ni måste först och främst ta ställning till vem eller vilka som är personuppgiftsansvariga för behandlingen och upprätta biträdesavtal med eventuella personuppgiftsbiträden. Vilka bestämmelser i lagen som ni är skyldiga att iaktta beror på om det rör sig om behandling av personuppgifter i strukturerat eller ostrukturerat material (5 a ). Utifrån er beskrivning av systemet och dess användningsområden anser vi att det i normalfallet rör sig om behandling i ostrukturerat material. Det innebär att ni får behandla personuppgifter i systemet, så länge det inte medför en kränkning av de registrerades personliga integritet. Undantagsvis, om systemet används för att söka efter eller sammanställa just personuppgifter, kan hanteringsreglerna bli tillämpliga. I så fall är ni i princip skyldiga att iaktta samtliga bestämmelser i personuppgiftslagen, bland annat de långtgående bestämmelserna i lagen om information till de registrerade. Oavsett om det rör sig om behandling i strukturerat eller ostrukturerat material är ni skyldig att iaktta bestämmelserna i 30-32 om säkerhet för personuppgifter. Med dessa synpunkter avslutas ärendet. Detta yttrande har beslutats av generaldirektören Göran Gräslund i närvaro av chefsjuristen Leif Lindgren, teamledaren Britt-Marie Wester och juristen Oskar Öhrström, föredragande. Göran Gräslund Oskar Öhrström