Kritik mot polisens datahantering från två myndigheter

Kritik mot polisens datahantering från två myndigheter

I mars och april har både Säkerhets- och integritetsnämnden (SIN) samt Datainspektionen riktat kritik mot polisens datahantering. Det är inte första gången SIN och Datainspektionen finner att polisen inte följer lagen.

En genomgång av Föreningen för digitala fri- och rättigheter (DFRI) från 2015 visar att SIN i 13 av 18 granskningsärenden under perioden våren 2014-våren 2015 fann att polisen på olika sätt inte följde de regler som polisen borde följa. Dataskydd.net har läst igenom ytterligare 27 tillsynsärenden från SIN från och med 2 september 2015 fram till 27 april 2016, varav 18 innehåller kritik och minst två lett till polisanmälningar på grund av de allvarliga bristerna. I flera fall är kritiken en upprepning av tidigare kritik, i ett fall avskriver SIN kritiken för att cheferna underrättats om tidigare kritik, och samtliga brottsbekämpande verksamheter verkar ha störst problem med ändamålsbegränsning, gallring och, något förvånande, laglig bas för övervakningsbeslut. Samtliga fall av olaglig övervakning har inte polisanmälts.

Vid denna tillsyn är det underrättelseverksamheten som kritiken riktas mot. OBS-portalen är ett nationellt informationssystem. Systemet används för utbyte av underrättelseinformation, i teorin bara i sammanhang som rör brottsbekämpning men enligt Datainspektionen även i en rad andra sammanhang. Systemet saknar  tillräckliga accesskontroller och gör inte skillnad mellan särskilt integritetskänsliga uppgifter och andra uppgifter (till exempel sekretessklassade uppgifter så som skyddad identitet och ej sekretessklassade uppgifter så som identiteter som inte är skyddade). Det är heller inte tydligt att uppgifterna som förekommer i systemet är riktiga, eller i vilken utsträckning man gör uppgifterna tillgängliga för andra genom att publicera dem i systemet.

På dataskyddsspråk skulle vi säga att polisen är dåliga på ändamålsbegränsning, och att polisen missat att införa tillräckliga organisatoriska och tekniska säkerhetsåtgärder.

Datainspektionens rekommenderationer stannar oftast vid att polismyndigheten bör se över sina rutiner till följd av de konstaterade bristerna. Även SIN använder sig av rekommendationer, men som Dataskydd.net tidigare rapporterar lyssnar de brottsbekämpande myndigheterna inte på rekommendationer som inte påvisar uppenbar lagstridighet om rekommendationen inte skulle följas.

För privatpersoner och enskilda i Sverige finns få möjligheter att utöva sina rättigheter. Till exempel behöver polisen inte redovisa i vilken utsträckning eller hur de har publicerat någon särskild individs uppgifter i OBS-portalen. Justitiedepartementet har även tidigare tolkat polismyndighetens insamling och utbyte av underrättelseinformation i fall som inte behövs för myndighetens verksamhet som en anledning att ytterligare försvåra insyn (se Dataskydd.net:s kommentarer på Ds 2016:2).

Den enda möjlighet till granskning man har som enskild är att vända sig till SIN. Dataskydd.net:s och DFRI:s genomgång av sådana granskningar föranleder känslan av att de brottsbekämpande myndigheter inte tar dessa granskningar på tillräckligt stort allvar. Om man som enskild inte ens har rätt att veta hur uppgifter har behandlats och spritts, så som verkar vara fallet med OBS-portalen, har man givetvis mycket sämre möjligheter att utöva sina rättigheter.

De senaste lagändringarna i polisedatalagen genomfördes i februari 2016, och fler är att vänta, bland annat på grund av EU:s nya dataskyddsdirektiv. Direktivet kan komma att åtgärda vissa av de insynsproblem som idag finns för enskilda. Till skillnad från den svenska lagstiftaren, har den europeiska lagstiftaren lagt större emfas på transparens.

Läs mer:

Dagens juridik, '"Anmärkningsvärt" att polisen bryter mot samma lag om och om igen - trots återkommande kritik' (20.04.2016):

http://www.dagensjuridik.se/2016/04/anmarkningsvart-att-polisen-bryter-m...

Datainspektionen, Kritik mot polisens it-system för brotts-, spanings- och kriminalunderrättelseinformation (21.04.2016):

http://www.datainspektionen.se/press/nyheter/2016/kritik-mot-polisens-it...

Säkerhets- och integritetsnämnden, Uttalande om inhämtning av uppgifter om elektronisk kommunikation vid Polismyndigheten (region Väst, polisområde Göteborg) (16.03.2016):

http://www.sakint.se/dokument/rapporter-och-uttalanden/Uttalande-IHL-PM-...(dnr-206-2015).pdf

Datainspektionen, Polisen bör anpassa sig till nya polisdatalagen (28.01.2014):

http://www.datainspektionen.se/press/nyheter/2014/polisen-bor-anpassa-si...

Riksdagen, Polisdatalag (2010:361) t.om. SFS 2016:29:

http://www.riksdagen.se/sv/dokument-lagar/dokument/svensk-forfattningssa...

DFRI, DFRI:s remissyttrande SOU 2015:31 Datalagring och integritet (26.08.2015):

https://www.dfri.se/dfris-remissyttrande-sou-201531-datalagring-och-inte...

Dataskydd.net, Dataskydd.net lämnar remissyttrande på Ds 2016:2 om förändringar i offentlighets- och sekretesslagen (02.03.2016):

https://dataskydd.net/nyheter/2016/03/02/dataskyddnet-lamnar-remissyttra...

Vi använder varken kakor eller analysverktyg och vår webbserver loggar inte ditt besök.

Problem med sajten? Frågor? Kontakta oss! Vi finns också på Mastodon/Fediverse. Nyheterna finns som RSS-flöde.

All text, förutom citat, är tillgänglig under CC0 (ingen upphovsrätt).