Datainspektionens möjlighet att meddela undantag i enskilda fall

Datainspektionen har, som nämnts ovan, möjlighet att i enskilda fall meddela undantag från 21 § personuppgiftslagen. Det framgår inte närmare, av ordalydelsen i 21 § eller av 9 § personuppgifts- förordningen, under vilka förutsättningar undantag kan beviljas. Datainspektionen har dock tolkat det som att undantag från för- budet ska beviljas restriktivt, mot bakgrund av uttalanden i för- arbetena samt artikel 8.5 i dataskyddsdirektivet.

1.3.1 Djurgårdens ansökan om undantag

Djurgården Elitfotboll (Djurgården) ansökte i slutet av år 2010 om undantag från förbudet att behandla personuppgifter om lagöver- trädelser. Av ansökan framgår huvudsakligen följande. Djurgården ansöker om undantag från förbudet i 21 § personuppgiftslagen för handläggning och uppföljning av personer som har blivit föremål för arrangörsavstängning och/eller tillträdesförbud. Djurgården menar i ansökan att det är svårt att bedriva trygga och säkra evene- mang om det inte finns möjlighet att beivra ordningsstörare med förbud att besöka idrottsarrangemang. Behovet av att löpande föra register över avstängda personer är enligt Djurgården mycket stort. De uppgifter som Djurgården avser att behandla förutom identifieringsuppgifter som namn, personnummer, folkbokförings- adress och liknande, är stillbilder från arenans övervakningssystem, beskrivning av påstådd förseelse alternativt misskötsamhet samt övrig dokumentation i ärendet såsom vittnesuppgifter, händelse- rapporter och videodokumentation. Uppgifter om målsmän, om personen i fråga är underårig, avser Djurgården även behandla. Vidare önskar Djurgården beskriva de överträdelser av arrangörs- avstängningar och tillträdesförbud som sker då det kan påverka framtida bedömningar avseende exempelvis risken att begå brott. Djurgården ansökte även om att få bevara uppgifter om tillträdes- förbud samt därtill hörande dokumentation för att säkerställa att framtida beslut blir korrekta.

Uppgifterna ska behandlas dels i en SQL-databas som är sökbar med hjälp av exempelvis namn och personnummer, dels i manuella akter. Avsikten är att databasen och de manuella akterna ska ha samma innehåll.

Djurgården avser att gallra uppgifter i databasen och den manu- ella akten två år efter det att sista beslutet om tillträdesförbud och/eller arrangörsavstängning har slutat att gälla. Om Djurgården skriver av ett ärende om arrangörsavstängning, det vill säga beslutar att inte stänga av personen i fråga, gallras uppgifterna två år efter avskrivningsbeslutet.

Vad gäller utlämnande av uppgifter anser Djurgården att uppgifter ur registret kan komma att lämnas ut till Svenska Fot- bollförbundets disciplinnämnd och Riksidrottsnämnden om av- stängningen överklagas. Då en person är föremål för tillträdes- förbud kan uppgifter komma att lämnas ut till specialidrotts- förbundet inom Riksidrottsförbundet, det vill säga Svenska Fot-

bollförbundet i det här fallet. Vidare ska det finnas möjlighet att lämna ut uppgifter till Åklagarmyndigheten och Polismyndigheten, i de fall det begärs. Vid match kommer en förteckning med fotografier på de avstängda personerna, tillsammans med infor- mation om vilken typ av avstängning det är fråga om, att tas ut ur databasen. Förteckningen lämnas till säkerhetspersonal för att underlätta identifiering. Uppgifter ska därför lämnas ut till säker- hetspersonal hos Svensk Evenemangssäkerhet. Djurgården har inte ansökt om att få lämna ut uppgifter till andra idrottsorganisationer. Vidare har Djurgården i ansökan redogjort för IT-systemets uppbyggnad och för vilken information som lämnas till de registre- rade. Vad gäller IT-systemet är databasen lösenordskyddad och användarna loggar in med användarnamn och lösenord som är krypterade i databasen. Varje användare har personliga behörig- heter i systemet. Samtliga personuppgifter krypteras för att und- vika att känslig information kommer ut vid intrång i databas- servern. In- och utloggning i systemet registreras, så även när dokument och sidor öppnas, ändringar görs i dokument, ändringar på personer eller i ärenden utförs samt förfrågningar mot systemet. Loggen sparas så länge ett ärende är öppet och raderas sedan till- sammans med ärendet.

1.3.2 Datainspektionens beslut

Datainspektionens beslut i frågan meddelades i mitten av år 2011. Som skäl för beslutet anger Datainspektionen inledningsvis att den behandling av personuppgifter som Djurgården önskar utföra är tillåten enligt 10 d § personuppgiftslagen. Inspektionen finner att det rör sig om en arbetsuppgift av allmänt intresse. Djurgårdens planerade behandling av personuppgifter kommer att innefatta personuppgifter om lagöverträdelser i den mening som avses i 21 § personuppgiftslagen och är därför som utgångspunkt förbjuden. Datainspektionen finner att den mängd uppgifter som Djurgården avser att behandla är fler än enstaka och att inget av undantagen i föreskrifterna DIFS 2010:1 därmed är tillämpliga. Beslutet avser därför frågan om det finns möjlighet att bevilja Djurgården dispens från förbudet i det enskilda fallet, enligt 21 § fjärde stycket personuppgiftslagen.

Datainspektionen finner att Djurgårdens intresse av att behandla personuppgifter om tillträdesförbud och arrangörs-

avstängningar är så tungt vägande att det klart överväger de regi- strerades intresse av skydd mot kränkning av deras personliga integritet. Vidare anser inspektionen att behandlingen är pro- portionerlig med hänsyn till syftet med behandlingen. Data- inspektionen anser därför att Djurgården Elitfotboll bör beviljas undantag från förbudet att föra register över lagöverträdelser.

Inspektionen beviljade således Djurgården Elitfotboll undantag enligt ansökan, under förutsättning att vissa villkor uppfylls. Vill- koren avser gallring, information till den registrerade och säker- heten kring uppgifterna. Datainspektionen menar att avskrivnings- ärenden måste gallras ur databasen så snart ett ärende har avslutats. Som villkor för beslutet gäller även att fullständig information måste lämnas till den registrerade i enlighet med personuppgifts- lagens bestämmelser. Vidare krävs stark autentisering vid inlogg- ning i databasen och att inga uppgifter om lagöverträdelser kom- municeras över öppna nät, till exempel via e-post, utan förses med krypteringsskydd.

Undantaget ger alltså idrottsorganisationen rätt att ha en data- bas över personer som har fått tillträdesförbud av åklagare eller som har avstängts från idrottsarrangemang genom så kallad arrangörsavstängning. Djurgården får således föra register över och ha bilder på de personer som har tillträdesförbud och arrangörs- avstängning. Materialet får endast användas vid Djurgårdens hemmamatcher och undantaget är tidsbegränsat.