• No results found

Beslut efter tillsyn enligt personuppgiftslagen (1998:204)

N/A
N/A
Info
Download
Protected

Academic year: 2022

Share "Beslut efter tillsyn enligt personuppgiftslagen (1998:204)"

Copied!
5
0
0

Loading.... (view fulltext now)

Download now ( 5 Page )

Full text

(1)

Datum Diarienr

2014-05-21 1078-2013

Staffanstorpshus AB Box 137

245 22 Staffanstorp

Beslut efter tillsyn enligt personuppgiftslagen (1998:204)

Datainspektionens beslut

Staffanstorpshus AB har behandlat känsliga personuppgifter i strid med 13 § personuppgiftslagen.

Staffanstorpshus AB:s personuppgiftsbehandling har stått i strid med kravet på god sed i 9 § punkt b) personuppgiftslagen genom att behandlingen av känsliga personuppgifter inte stått i överensstämmelse med vad som före- skrivs i branschöverenskommelsen ”Behandling av personuppgifter, inklusive kameraövervakning, vid uthyrning av bostäder”.

Datainspektionen förutsätter att Staffanstorpshus AB fortsätter det arbete som påbörjats i syfte att förhindra att personuppgifter fortsättningsvis be- handlas i strid med 13 § personuppgiftslagen och branschöverenskommelsen.

Ärendet avslutas.

Redogörelse för tillsynsärendet

Datainspektionen har via media fått indikationer på att kommunala bostads- bolag, bl.a. Staffanstorpshus AB (bolaget), behandlar personuppgifter om hyresgäster på ett sätt som strider mot bestämmelserna i personuppgiftslagen.

De uppgifter som bolaget registrerat om hyresgästerna har enligt uppgift varit känsliga personuppgifter, enligt 13 § personuppgiftslagen.

Datainspektionen har inlett tillsyn mot bolaget, som har yttrat sig. I yttrandet anförs i huvudsak följande:

(2)

Bolaget har registrerat uppgifter som exempelvis berört hyresgästers hälsotill- stånd. Samtycke för detta har inte formellt lämnats av de registrerade. Som exempel nämns en situation då en hyresgästs problem med hörseln registre- rats för att bolagets kundtjänst skulle förstå bakgrunden.

Enbart personal med behov av fastighetsspecifik information har behörighet till de känsliga personuppgifter som finns registrerade.

För att behandlingen av personuppgifter i fortsättningen ska ske i enlighet med personuppgiftslagen och branschöverenskommelsen har bolaget justerat sina rutiner. Bolaget har informerat sin personal om hur och vad som definie- ras som känslig information, och hur arbete med detta ska göras/inte göras.

Påminnelser har lagts in i system, till relevant personal, för att regelbundet gallra information.

Bolaget har genomfört anonymisering och radering på samtliga poster där det inte längre finns kvar någon kundrelation.

Notering om polisanmälan har gjorts till störningsärende för att eventuellt kunna avhysa berörd hyresgäst. Då behövs bakgrund till exempelvis hyres- nämnden. Detta är en uppgift som är nödvändig för att kunna genomföra en avhysning av den berörda hyresgästen. Registreringen omfattas därför av un- dantaget i DIFS 2010:1 1 § d).

Bolaget sålde nästan hela kvarvarande beståndet av lägenheter under 2012.

Första halvåret, till och med oktober 2012, fortsatte dock verksamheten i form av förvaltningsavtal med köparen. Därefter har bolaget haft en del fortsatta arbeten, exempelvis garantiarbeten. Runt mars 2013 fanns inte längre någon kundrelation kvar i det sålda beståndet. Anonymisering och radering har där- efter skett på samtliga poster där det inte längre finns kvar någon kundrela- tion. Detta arbete var initierat under hösten/vintern 2012 och klart i augusti 2013.

Skäl för beslutet Sammanfattning

Bolaget har behandlat känsliga personuppgifter i strid med personuppgiftsla- gen och branschöverenskommelsen. Bolaget har därefter infört nya rutiner i syfte att motverka att personuppgifter behandlas på ett felaktigt sätt och ge- nomfört så pass omfattande informationsinsatser bland sin personal att Data- inspektionen finner anledning att anta att bolaget fortsättningsvis kommer att behandla uppgifter i enlighet med personuppgiftslagen och branschöverens- kommelsen. Datainspektionen kan komma att följa upp ärendet vid senare tillfälle.

(3)

Känsliga personuppgifter

Det är enligt 13 § personuppgiftslagen förbjudet att behandla känsliga per- sonuppgifter, bl.a. uppgift om hälsa och etnicitet. Det är trots förbudet i vissa fall tillåtet att behandla känsliga personuppgifter, bl.a. om den registrerade lämnat sitt uttryckliga samtycke till behandlingen, enligt 15 § personuppgifts- lagen. Att hyresgästen lämnat information om sin hälsa till bolaget innebär inte att hyresgästen därmed har lämnat sitt uttryckliga samtycke till att denna uppgift registreras.

Datainspektionen konstaterar att bolaget har registrerat känsliga personupp- gifter om sina hyresgäster utan den registrerades samtycke. Bolaget har där- med behandlat känsliga personuppgifter i strid med 13 § personuppgiftslagen.

Uppgifter om lagöverträdelser

Det är enligt 21 § personuppgiftslagen förbjudet för andra än myndigheter att behandla personuppgifter om lagöverträdelser. Datainspektionen får besluta om undantag från förbudet i enskilda fall. Det finns även föreskrivet vissa generella undantag från förbudet i Datainspektionens författningssamling (DIFS 2010:1).

Datainspektionen konstaterar att bolaget har stöd av 1 § punkten d) i DIFS 2010:1 för att behandla personuppgifter om lagöverträdelser eftersom det är fråga om enstaka uppgifter som är nödvändiga för att rättsliga anspråk ska kunna fastställas, göras gällande eller försvaras i ett enskilt fall.

Krav på god sed

Av 9 § punkt b) personuppgiftslagen framgår att all behandling av person- uppgifter ska ske i enlighet med god sed. Lagen ger utrymme för branschor- ganisationer att närmare utforma sådana seder. I syfte att skapa en gemensam god sed för behandling av personuppgifter på bostadshyresmarknaden har Fastighetsägarna Sverige och SABO i samarbete med Hyresgästföreningen tagit fram en branschöverenskommelse, ”Behandling av personuppgifter, in- klusive kameraövervakning, vid uthyrning av bostäder”. Branschöverens- kommelsen i sin nuvarande lydelse gäller sedan april 2010.

Det framgår av branschöverenskommelsen (s.7) att undantag från förbudet mot att behandla känsliga personuppgifter får göras om behandlingen sker med den registrerades samtycke. Vad sedan gäller sättet för inhämtande av samtycket sägs följande:

Endast den omständigheten att den registrerade har lämnat en uppgift innebär inte att samtycke finns. Samtycket ska vara uttryckligt. I en fastighetsförvalt-

(4)

ning bör generellt tillämpas den ordningen att en känslig uppgift aldrig regi- streras utan skriftligt samtycke.

Av 15 § personuppgiftslagen framgår att ett samtycke ska vara uttryckligt. Ett uttryckligt samtycke kan vara såväl skriftligt som muntligt. Branschöverens- kommelsens krav på att ett samtycke ska vara skriftligt går således längre än kraven i 15 § personuppgiftslagen.

Datainspektionen konstaterar att bolaget har behandlat känsliga personupp- gifter utan att inhämta de registrerades skriftliga samtycke. Bolaget har där- med behandlat personuppgifter på ett sätt som avviker från vad som före- skrivs om inhämtande av samtycke i branschöverenskommelsen.

Vad branschöverenskommelsen innehåller om inhämtande av samtycke får anses ge uttryck för vad som betraktas som god sed. Bolaget får därmed anses ha behandlat personuppgifter i strid med god sed enligt 9 § första stycket punkt b) personuppgiftslagen.

Slutsatser

Bolaget har behandlat personuppgifter i strid med personuppgiftslagen och branschöverenskommelsen.

Bolaget har infört nya rutiner och informerat personal om vad som definieras som känslig information och hur sådana personuppgifter får behandlas. För att bolaget ska kunna gallra information regelbundet har påminnelser lagts in i systemen till relevant personal. På samtliga poster där det inte längre finns någon kundrelation har anonymisering och radering skett.

Datainspektionen förutsätter att bolagets åtgärder kommer att förhindra att personuppgifter fortsättningsvis behandlas i strid med personuppgiftslagen och branschöverenskommelsen. Därmed saknas anledning att vidta ytterliga- re åtgärder med anledning av det inträffade. Ärendet avslutas, men kan kom- ma att följas upp.

Hur man överklagar

Om ni vill överklaga beslutet skall ni skriva till Datainspektionen. Ange i skri- velsen vilket beslut som överklagas och den ändring som ni begär. Inspektio- nen måste ha fått ert överklagande inom tre veckor från den dag ni fick ta del av beslutet, annars kan överklagandet inte prövas. Datainspektionen sänder överklagandet vidare till Förvaltningsrätten i Stockholm för prövning om in- spektionen inte själv ändrar beslutet på det sätt ni har begärt.

(5)

Camilla Sparr

References

Download now ( PDF - 5 Page - 317.37 KB )

Related documents

Tillsyn enligt personuppgiftslagen (1998:204) lagligt stöd för behandling av kunders personuppgifter

marknadsföringsändamål. Svenska Spel använder uppgifterna i Playscan som underlag då de inte skickar direktadresserad reklam till vare sig den kund som erhållit färgen röd

Tillsyn enligt personuppgiftslagen (1998:204) Ideell förenings behandling av personuppgifter för löneutbetalningsändamål

att säkerställa att de anställda får sin semesterlön i enlighet med semesterlagen (1977:480) samt för att fullgöra de krav som ställs av lagstiftaren och i av parterna

Samråd enligt personuppgiftslagen (1998:204)

Enligt 9 § punkt f) personuppgiftslagen får inte fler personuppgifter behandlas än vad som är nödvändigt med hänsyn till ändamålet med behandlingen. Sluss- ningen av samtal

Tillsyn enligt personuppgiftslagen (1998:204) användning av biometri inom arbetslivet

Är det däremot fråga om behandling av personuppgifter i ostrukturerat material, till exempel uppgifter i löpande text eller uppgifter i ljud- eller bildupptagningar utan koppling

Tillsyn enligt personuppgiftslagen (1998:204) - E-Hälsomyndighetens tjänst Hälsa För Mig

uttryckligen använt ordet direktåtkomst men det är svårt att förstå tillgången som dessa andra användare får till Kontot på annat sätt än att det är frågan om

Tillsyn enligt personuppgiftslagen (1998:204) Socialdemokraternas behandling av personuppgifter i ett centralt medlemsregister

Datainspektionen förelägger därför, med stöd av 45 § första stycket person- uppgiftslagen, Socialdemokraterna att antingen upphöra med att behandla uppgifter om tidigare

Tillsyn enligt personuppgiftslagen (1998:204) bankers användning av s.k. appar

Datainspektionen konstaterar att Danske Bank A/S, Sverige Filial, inte lever upp till kraven på säkerhetsåtgärder enligt 31 § personuppgiftslagen genom att man via bankens

Tillsyn enligt personuppgiftslagen (1998:204) av 4T Sverige AB

När uppgifter från kreditupplysningsregister inte längre är adekvata eller relevanta för kreditprövningen ska de gallras såvida det inte är nödvändigt att bevara dem för