JK 1441-14-47

Skadeståndsanspråk med hänvisning till att personuppgifter i det s.k. Kringresanderegistret har behandlats i strid med polisdatalagen

Justitiekanslerns beslut

Justitiekanslern tillerkänner AB ersättning med 5 000 kr och uppdrar åt Rikspolisstyrelsen att se till att beloppet betalas ut.

Bakgrund

Den 23 september 2013 publicerade Dagens Nyheter en artikel i vilken det uppgavs att Polismyndigheten i Skåne (polismyndigheten) hade ett register över romer. Med anledning av dessa uppgifter beslutade Säkerhets- och integritetsskyddsnämnden (SIN) att inleda ett tillsynsärende avseende det s.k. Kringresande­registret (SINs ärende med dnr 173-2013).

I ett uttalande den 15 november 2013 konstaterade SIN bl.a. att personuppgiftsbehandlingen i Kringresanderegistret hade följande generella brister.

1. Ändamålet med personuppgiftsbehandlingen var för oprecist.

2. Tillgången till personuppgifterna var inte begränsad till varje tjänstemans behov.

3. Ingen loggning hade förekommit när personuppgifter behandlades.

Efter SINs uttalande har ett stort antal personer begärt att SIN ska kon­trollera om de har varit föremål för polisens personuppgiftsbehandling i strid med lag eller annan författning. Många har samtidigt begärt ersättning av staten. Merparten av dessa personer har framställt sina anspråk på en blankett som SIN har tagit fram och lagt ut på sin hemsida. Några har begärt ersättning direkt hos Justitiekanslern.

SIN har till Justitie­kanslern anmält att de generella brister som har förekommit vid polisens personuppgiftsbehandling i Kringresanderegistret under punkterna 1-3 ovan enligt nämndens bedömning är sådana felaktigheter som kan medföra skadeståndsansvar för staten, jfr 20 § förordningen (2007:1141) med in­struktion för Säkerhets- och integritetsskyddsnämnden. 

Anspråket

SIN har i en anmälan hit bekräftat att AB har varit föremål för polisens personuppgiftsbehandling i Kringresanderegistret. AB har begärt ersättning med anledning härav. Anspråket får förstås som att ersättning begärs för den kränkning av den personliga integriteten som den felaktiga behandlingen av personuppgifter har orsakat honom, jfr 2 kap. 2 § första stycket 12 polisdata­lagen (2010:361) och 48 § personuppgiftslagen (1998:204).

Utredningen

Av SINs uttalande den 15 november 2013 framgår att drygt 4 700 personer, varav ca 200 avlidna, var registrerade i Kringresanderegistret. För en utförligare redogörelse av hur Kringresanderegistret var uppbyggt hänvisas till SINs uttalande som finns tillgängligt på nämndens hemsida www.sakint.se.

I uttalandet anför SIN följande sammanfattande bedömning av Kring­resanderegistret.

Polismyndighetens behandling av personuppgifter är i flera avseenden olaglig. Den allvarligaste bristen är att ändamålet med personuppgiftsbehandlingen är alldeles för vitt. Ett oprecist ändamål ger inga ramar för personuppgiftsbehandlingen, vilket i praktiken sätter integritetsskyddet ur spel. Vidare är det klarlagt att det inte finns behov av att registrera alla de personer som finns i uppgiftsamlingen, inte ens med det vida ändamål som gällt. En annan allvarlig brist är att det inte finns ett tillräckligt tydligt samband mellan den av polismyndigheten angivna brottsligheten och de personuppgifter som be­handlas. Sammantaget förefaller därför uppgiftssamlingen i vart fall delvis ha fått karaktären av en ”bra att ha”-uppgiftssamling. Ytterligare allvarliga brister som nämnden konstaterar är att tillgången till personuppgifter i uppgiftssamlingen inte har begränsats till varje tjänstemans behov, att ingen loggning har förekommit när personuppgifterna har behandlats, att tillräcklig gallring inte har ägt rum samt att det saknas upplysningar om vilka personer i uppgiftssamlingen som inte är misstänkta för brott. Nämnden konstaterar att det finns åtskilliga personer i uppgiftssamlingen som är av romsk härkomst och att många personuppgifter i uppgiftssamlingen inte borde finnas där. Detta kan ge intryck av att enbart etniciteten har varit orsaken till registreringen av personuppgifter i uppgiftssamlingen. Nämndens slutsats är dock att grunden för registreringen är antingen mer eller mindre välgrundade misstankar mot personer om begången eller befarad brottslighet eller släktskap med sådana personer. Polismyndigheten kan därför inte anses behandla uppgifter om personer enbart på grund av vad som är känt om deras etnicitet. 

Polismyndighetens behandling av personuppgifter är i flera avseenden olaglig.

Den allvarligaste bristen är att ändamålet med personuppgiftsbehandlingen är alldeles för vitt. Ett oprecist ändamål ger inga ramar för personuppgiftsbehandlingen, vilket i praktiken sätter integritetsskyddet ur spel. Vidare är det klarlagt att det inte finns behov av att registrera alla de personer som finns i uppgiftsamlingen, inte ens med det vida ändamål som gällt. En annan allvarlig brist är att det inte finns ett tillräckligt tydligt samband mellan den av polismyndigheten angivna brottsligheten och de personuppgifter som be­handlas. Sammantaget förefaller därför uppgiftssamlingen i vart fall delvis ha fått karaktären av en ”bra att ha”-uppgiftssamling.

Ytterligare allvarliga brister som nämnden konstaterar är att tillgången till personuppgifter i uppgiftssamlingen inte har begränsats till varje tjänstemans behov, att ingen loggning har förekommit när personuppgifterna har behandlats, att tillräcklig gallring inte har ägt rum samt att det saknas upplysningar om vilka personer i uppgiftssamlingen som inte är misstänkta för brott.

Nämnden konstaterar att det finns åtskilliga personer i uppgiftssamlingen som är av romsk härkomst och att många personuppgifter i uppgiftssamlingen inte borde finnas där. Detta kan ge intryck av att enbart etniciteten har varit orsaken till registreringen av personuppgifter i uppgiftssamlingen. Nämndens slutsats är dock att grunden för registreringen är antingen mer eller mindre välgrundade misstankar mot personer om begången eller befarad brottslighet eller släktskap med sådana personer. Polismyndigheten kan därför inte anses behandla uppgifter om personer enbart på grund av vad som är känt om deras etnicitet.

Justitiekanslern har förelagt Rikspolisstyrelsen att, mot bakgrund av de av SIN konstaterade generella bristerna, ange sin in­ställning till anspråk som framställs av personer som har förekommit i Kringresande­registret. Riks­polisstyrelsen har i ett yttrande hit sammanfattningsvis anfört följande.

Rikspolisstyrelsen gör sammantaget den bedömningen att de av SIN påtalade bristerna om oprecis ändamålsbeskrivning, bristande behörighetsbegränsningar och loggning inte kan anses ha orsakat en otillbörlig spridning av känsliga eller felaktiga uppgifter och inte heller lett till några negativa beslut eller andra åtgärder gentemot de registrerade. Bristerna har således inte medfört någon sådan kränkning av de registrerade personernas integritet som kan medföra rätt till ersättning enligt 48 § PUL.

Polismyndigheten i Skåne har för sin del i ett yttrande till Rikspolisstyrelsen anfört bl.a. att vissa av de brister som har påtalats av SIN ur ett integritetsperspektiv är att bedöma som allvarligare än andra. Polismyndigheten har överlåtit åt Justitiekanslern att ta ställning till om varje enskild brist eller de olika bristerna i kombination bör leda till skadeståndsskyldighet för staten.

Polisdatalagen (2010:361) trädde i kraft den 1 mars 2012. Av övergångs­bestämmelser till lagen framgår att vissa bestämmelser i den gamla polis­datalagen (1998:622) gäller till och med den 31 december 2014.

SIN har i uttalandet den 15 november 2013 konstaterat att den nuvarande polisdatalagen är tillämplig på den uppgiftssamling som finns i Kring­­resande­registret så som den såg ut när nämnden påbörjade sin inspektion den 24 september 2013. Justitiekanslern instämmer i denna bedömning och prövar därför de anspråk som framställs av personer som har förekommit i registret enligt bestämmelserna i polisdatalagen (2010:361).

Polisen får enligt 2 kap. 7 § polisdatalagen behandla personuppgifter om det behövs för att förebygga, förhindra eller upptäcka brottslig verksamhet, för att utreda eller beivra brott, eller för att fullgöra förpliktelser som följer av internationella åtaganden. Enligt 2 kap. 2 § polisdatalagen ska bl.a. vissa grundläggande krav i 9 § personuppgiftslagen gälla vid behandling av personuppgifter med stöd av polisdatalagen. Sålunda ska personuppgifter alltid behandlas på ett korrekt sätt och i enlighet med god sed samt samlas in bara för särskilda, uttryckligt angivna och berättigade ändamål (se 9 § första stycket b) och c) personuppgiftslagen).

Av polisdatalagen framgår vidare bl.a. att tillgången till personuppgifter ska begränsas till vad varje tjänsteman behöver för att kunna fullgöra sina arbets­uppgifter (se 2 kap. 11 § polisdatalagen). Vid behandling av personuppgifter som har gjorts gemensamt tillgängliga i polisens brottsbekämpande verksamhet ska det genom en särskild upplysning eller på något annat sätt framgå för vilket närmare ändamål personuppgifterna behandlas (se 3 kap. 3 § polisdatalagen).

Enligt 2 kap. 2 § första stycket 12 polisdatalagen gäller bestämmelsen i 48 § personuppgiftslagen om skadestånd när personuppgifter behandlas enligt den först nämnda lagen. Av 48 § personuppgiftslagen framgår att den personuppgiftsansvarige ska ersätta den registrerade för skada och kränkning av den personliga integriteten som en behandling av personuppgifter i strid med lagen har orsakat. Skadeståndsansvaret är i princip strikt. Det krävs alltså inte att den personuppgiftsansvarige eller någon annan har varit oaktsam eller haft uppsåt att handla i strid med lagen för att ersättning ska utgå.

Av motiven till personuppgiftslagen framgår att ersättningen för kränkning får uppskattas efter skälighet mot bakgrund av samtliga omständigheter i det aktuella fallet. Därvid kan beaktas bl.a. sådana faktorer som om det har funnits risk för otillbörlig spridning av känsliga eller felaktiga uppgifter och om den registrerade på grund av den felaktiga behandlingen har blivit utsatt för något beslut eller några åtgärder som har kunnat innebära något negativt för honom eller henne (se prop. 1997/98:44 s. 143 f.). De angivna faktorerna är således exempel på omständigheter som kan beaktas när man bestämmer ersättningens storlek.

Staten har ådragit sig skadeståndsskyldighet

Justitiekanslern instämmer i SINs bedömning att polisens personuppgifts­behandling i Kringresanderegistret i flera avseenden har stått i strid med lag. Det är således utrett att bl.a. bestämmelserna i 2 kap. 11 § och 3 kap. 3 § polis­datalagen inte efterlevts fullt ut och att Kringresanderegistret haft de generella brister som SIN uttalat.

De personuppgifter som polisen behandlar i sin brottsbekämpande verksamhet med stöd av polisdatalagen är till sin natur av integritetskänslig karaktär. Det är därför särskilt viktigt att polisen i alla delar noggrant följer polisdata­lagens bestämmelser för hur sådana uppgifter får behandlas. I detta fall har tre generella brister konstaterats. Dessa är sammantaget så allvarliga att de personer vilkas uppgifter behandlats i registret måste anses ha blivit utsatta för en sådan kränkning av sin personliga integritet att de är berättigade till ersättning av staten enligt 48 § personuppgiftslagen.

Ersättningens storlek m.m.

Syftet med kränkningsersättning vid överträdelser av personuppgiftslagens eller, som i detta fall, polisdatalagens regler är att ersättningen ska ge upprättelse och kompensera för känslor av obehag hos den skadelidande. Ersättningen ska bestämmas utifrån en bedömning av vilken kränkning som typiskt sett får anses ha uppkommit. Högsta domstolen har nyligen fastslagit att ett sådant betraktelsesätt i stor utsträckning leder till bruk av schabloner, vilket bl.a. underlättar skaderegleringen till fördel för den skadelidande. Av Högsta domstolens avgörande framgår att ersättning för en kränkning som är att bedöma som mindre allvarlig, om än inte helt obetydlig, i normalfallet bör bestämmas till 3 000 kr (se NJA 2013 s. 1046).

De av SIN konstaterade generella brister som har förekommit vid behandlingen av personupp­gifter i Kringresanderegistret har drabbat samtliga registrerade. De har därigenom utsatts för en kränkning som får anses ha varit likartad för alla dem som har förekommit i registret. Kränkningen kan med hänsyn till registrets inriktning och syfte samt de brister som konstaterats inte anses som mindre allvarlig. Utredningen ger dock inte stöd för slutsatsen att de brister som förekommit i registret har lett till några negativa beslut eller åtgärder som inte hade uppkommit om personuppgiftsbehandlingen hade skett helt i enlighet med polis­datalagens bestäm­melser. Vid en samlad bedömning bör den som har varit föremål för personuppgifts­behandling i Kringresanderegistret anses vara berättigad till ersättning för kränkning med 5 000 kr. AB ska därför tillerkännas ersättning med 5 000 kr.

Polismyndigheten har utfört behandlingen av personuppgifter i Kringresanderegistret och är därmed enligt 2 kap. 4 § polisdatalagen personuppgifts­ansvarig. Ersättningen bör därför belasta polismyndighetens anslag. Riks­polisstyrelsen, i egenskap av central förvaltningsmyndighet, ges i uppdrag att se till att ersättningen betalas ut.

Avslutande synpunkter

Jag instämmer i den kritik som SIN har riktat mot polismyndigheten i uttalandet den 15 november 2013. Polisens möjlighet att behandla personuppgifter i sin brottsbekämpande verksamhet är viktig och nödvändig men innebär samtidigt ett stort ansvar. Det är oacceptabelt att en polismyndighet upprättar ett register och behandlar personuppgifter utan att fullt ut uppfylla de krav som lagen föreskriver. Jag utgår från att samtliga polismyndigheter – om det inte redan har skett – går igenom sina register för att försäkra sig om att behandlingen av personuppgifter uppfyller de krav som gäller enligt relevanta lagar, förordningar och föreskrifter.