JO dnr 5205-2013
Allvarlig kritik mot dåvarande Polismyndigheten i Skåne för bristerna vid behandlingen av personuppgifter inom myndighetens kriminalunderrättelseverksamhet
Beslutet i korthet: Efter uppgifter i media om att dåvarande Polismyndigheten i Skåne
hade ett olagligt register över mer än 4 000 romer granskades saken av Säkerhets- och integritetsskyddsnämnden och åklagare. Granskningarna visade att det fanns allvarliga brister vid personuppgiftsbehandlingen i två uppgiftssamlingar inom polisens kriminalunderrättelseverksamhet. Samlingarna innehöll uppgifter om flera tusen personer, varav ett större antal kunde antas vara romer. Bristerna bestod bl.a. i att det ändamål för personuppgiftsbehandlingen som angetts var alltför generellt, att användningen inte hade loggats, att gallring inte hade skett i tillräcklig omfattning och att det inte hade angetts vilka som inte var misstänkta. JO har granskat ansvaret inom polismyndigheten för bristerna.
I beslutet uppger JO att de brister som konstaterats fick mycket allvarliga konsekvenser. Särskilt den bristande gallringen har medfört att det byggdes upp ett mer eller mindre permanent släktregister avseende ett stort antal personer av romskt ursprung. De två uppgiftssamlingarna har de facto fått karaktären av ett register över etnisk tillhörighet.
Enligt JO har den mycket otydliga ansvarsfördelningen inom polismyndigheten varit en förutsättning för bristerna i uppgiftssamlingarna. Den beslutsordning som polismyndigheten tillämpat för behandling av personuppgifterna medförde att beslut i praktiken fattades av personer som saknade behörighet för detta. Oklarheterna i ansvarsfördelningen medförde att de inblandade inte var medvetna om omfattningen av sitt ansvar. Det saknades styrning och kontroll över vilka uppgiftssamlingar som byggdes upp och mycket begränsade möjligheter att upptäcka eventuella missförhållanden i dem. Vidare saknades det tekniska möjligheter att tillämpa myndighetens rutiner för loggning, gallring och markering av personer som det saknades misstankar mot. Myndigheten kände till detta, men vidtog inte nödvändiga åtgärder för att säkerställa att integritetsskyddsbestämmelserna följdes.
Det inträffade visar på omfattande och allvarliga brister inom kriminalunderrättelseverksamheten. JO riktar därför allvarlig kritik mot dåvarande Polismyndigheten i Skåne. Det vilar enligt JO ett tungt ansvar för bristerna på dem som innehaft befattningen som chef för länskriminalavdelningen. Ansvaret för de grundläggande bristerna när det gäller myndighetens organisation, instruktioner och praxis vilar dock ytterst på polismyndigheten och på dess högsta chef – länspolismästaren. JO är också mycket kritisk till chefen för kriminalunderrättelsetjänsten i Lund, som hade ett ansvar för att uppgiftssamlingarna faktiskt byggdes upp, och till den polis som byggde upp dem för det konkreta innehållet i dem.
JO förutsätter att den nya Polismyndigheten vidtar nödvändiga åtgärder för att garantera att polisdatalagens integritetsskyddsbestämmelser efterlevs inom hela myndigheten.
BESLUT
Riksdagens ombudsmän Box 16327 103 26 Stockholm Besök: Västra Trädgårdsgatan 4
E-post: justitieombudsmannen@jo.se Telefon: 08-786 40 00 Texttelefon: 08-786 61 15 Fax: 08-21 65 58
Justitieombudsmannen Cecilia Renfors
Dnr
I en serie tidningsartiklar publicerade i Dagens Nyheter med start den 23 september 2013 gjordes det gällande att dåvarande Polismyndigheten i Skåne hade ett olagligt register över mer än 4 000 romer. Med anledning av dessa uppgifter beslutade Säkerhets- och integritetsskyddsnämnden att inleda ett tillsynsärende mot Polismyndigheten i Skåne (dnr 173-2013). Uppgifterna medförde också att Åklagarmyndigheten inledde en förundersökning eftersom det fanns anledning att anta att brott som hörde under allmänt åtal förövats vid polismyndighetens personuppgiftsbehandling (AM-139971-13).
Säkerhets- och integritetsskyddsnämndens granskning avsåg polismyndighetens uppgiftssamling Kringresande . Nämnden uttalade sig i ärendet den 15 november 2013 och konstaterade att polismyndighetens behandling av personuppgifter i flera avseenden inte var förenlig med bestämmelserna i polisdatalagen . Justitiekanslern (JK) har därefter i ett beslut den 7 maj 2014 instämt i Säkerhets- och integritetsskyddsnämndens bedömning och funnit att den som varit föremål för personuppgiftsbehandling i uppgiftssamlingen ska vara berättigad till ersättning för kränkning med 5 000 kr (JK:s dnr 1441-14).
Förundersökningen avsåg den särskilda undersökningen Länsövergripande brottslighet , som polismyndigheten beslutat inleda den 22 oktober 2009, och de uppgiftssamlingar inom denna undersökning som benämndes Konflikt, Staffanstorp, romer respektive Kringresande . Överåklagaren AA beslutade den 20 december 2013 att lägga ned förundersökningen. Av beslutet framgick att personuppgiftsbehandlingen varit behäftad med flera fel. Det rörde sig dock huvudsakligen om systemfel som en enskild befattningshavare vid polismyndigheten inte kunde hållas straffrättsligt ansvarig för.
Även Diskrimineringsombudsmannen (DO) har granskat registreringen (ärende GRA 2013/617). I sitt beslut fann DO att det inte kunde uteslutas att polismyndigheten använt sig av etnisk profilering i sin brottsbekämpande verksamhet. Polismyndigheten rekommenderades att utreda detta.
I samband med Dagens Nyheters artikelserie kom det in nio anmälningar till JO mot Polismyndigheten i Skåne. Efter att ha tagit del av Säkerhets- och integritetsskyddsnämndens och överåklagare AA:s beslut kunde jag konstatera att lagligheten i polismyndighetens personuppgiftsbehandling blivit föremål för noggrann prövning. Det saknades därför skäl för JO att granska denna. Mot bakgrund av framför allt de bedömningar som gjordes i den straffrättsliga utredningen ansåg jag däremot att det fanns skäl för mig att närmare granska ansvarsfördelningen inom Polismyndigheten i Skåne när det gäller uppgiftssamlingarna Konflikt, Staffanstorp, romer och Kringresande . Min utredning har därför varit inriktad på den frågan.
I det följande redogörs först för de aktuella uppgiftssamlingarna, den rättsliga regleringen av polisens personuppgiftsbehandling och resultatet av de tidigare
granskningarna av uppgiftssamlingarna. Därefter behandlas de uppgifter som polismyndigheten lämnat till JO. Avslutningsvis redovisar jag min bedömning.
Den 22 oktober 2009 beslutade den dåvarande chefen för länskriminalavdelningen vid Polismyndigheten i Skåne att personuppgifter skulle behandlas i en särskild undersökning enligt den då gällande polisdatalagen (1998:622) . Den särskilda undersökningen gavs beteckningen Länsövergripande brottslighet . I beslutet uppgavs att ändamålet med personuppgiftsbehandlingen var att identifiera och kartlägga allvarlig brottslig verksamhet av länsövergripande karaktär genom att lokalt identifiera och kartlägga nyckelpersoner och nätverk kring dessa. Chefen för länskriminalavdelningen angavs som ansvarig för den särskilda undersökningen, som skulle pågå mellan den 30 oktober 2009 och den 30 oktober 2010. Den särskilda undersökningen förlängdes genom flera beslut till den 27 februari 2013. Den 28 februari 2013 beslutade den nya chefen för länskriminalavdelningen att personuppgifter skulle behandlas i en särskild – gemensamt tillgänglig – uppgifts- samling med beteckningen G-SUS KUT Skåne enligt bestämmelserna i den nya polisdatalagen (2010:361) . I det beslutet gavs under rubriken närmare ändamål en allmän beskrivning av kriminalunderrättelseverksamhetens syften. Chefen för kriminalunderrättelsetjänsten i Skåne (KUT Skåne) angavs som ansvarig för uppgiftssamlingen. Uppgiftssamlingarna i den avslutade särskilda undersökningen Länsövergripande brottslighet överfördes till den särskilda – gemensamt tillgängliga – uppgiftssamlingen.
Personuppgifterna i den särskilda undersökningen behandlades i ett antal olika uppgiftssamlingar som lagrades i filmappar. De två nu aktuella uppgiftssamlingarna har funnits i filmapparna Konflikt, Staffanstorp, romer och Kringresande . Dessa båda mappar har bestått av en Excelfil och ett antal filer i formatet Analyst´s Notebook. När den särskilda undersökningen avslutades i februari 2013 fördes uppgiftssamlingarna oförändrade över till den särskilda – gemensamt tillgängliga – uppgiftssamlingen. Denna lagrades på en särskild server benämnd X.
Uppgiftssamlingen Konflikt, Staffanstorp, romer påbörjades vid polisområde mellersta Skåne i juli 2011 inom ramen för den särskilda undersökningen Länsövergripande brottslighet . Kriminalunderrättelsetjänsten i Lund (KUT Lund) påbörjade arbetet med uppgiftssamlingen efter ett möte med den operativa ledningsgruppen i polisområdet. Avsikten med den var att förebygga och förhindra att en konflikt mellan fyra romska släkter, i vilka det ingick personer som bodde i Staffanstorp, eskalerade. Under hösten 2011 misstänktes personer som varit aktuella i konflikten i Staffanstorp för bl.a. ett större antal bostadsinbrott, brott mot äldre och omfattande fakturabedrägerier. Med anledning av detta påbörjade KUT Lund i december 2011 uppgiftssamlingen Kringresande . Uppgifterna i Konflikt, Staffanstorp, romer utgjorde grunden för den nya uppgiftssamlingen Kringresande, som efterhand byggdes på med nya uppgifter.
Uppgiftssamlingen Konflikt, Staffanstorp, romer innehöll 1 049 unika personnummer, varav omkring 500 avsåg personer som var under 15 år och ett antal personer som var avlidna. Personuppgiftssamlingen Kringresande innehöll 4 673 unika personnummer, varav 1 104 avsåg personer som var under 15 år och omkring 45 personer som var avlidna. Ett större antal av de registrerade personerna kan på grund av att uppgiftssamlingarna byggde på släktskap antas vara romer, men det finns inga noteringar om etnicitet. Många av de registrerade var bosatta utanför Skåne. Uppgiftssamlingarna innehåller uppgifter om namn, personnummer, kön, adresser och släktskapsförhållanden. Det finns ingen anteckning om ändamålet med uppgiftssamlingarna eller uppgifterna i dem. Inte heller finns det några noteringar om vilka personer som inte är misstänkta för brott.
Personuppgiftsbehandlingen i polisens brottsbekämpande verksamhet reglerades fram till den 1 mars 2012 i polisdatalagen (1998:622) . Den lagen ersattes då av en ny polisdatalag ( 2010:361 ). Enligt den nya lagens övergångsbestämmelser skulle den gamla lagen tillämpas till utgången av år 2014 vid behandling av personuppgifter i en särskild undersökning som hade beslutats före ikraftträdandet av den nya lagen. Den gamla polisdatalagens bestämmelser har alltså varit tillämpliga för personuppgiftsbehandlingen i uppgiftssamlingarna Konflikt, Staffanstorp, romer och Kringresande t.o.m. den 27 februari 2013, när den särskilda undersökningen Länsövergripande brottslighet avslutades. För tiden därefter har den nya polisdatalagens bestämmelser varit tillämpliga.
Både den gamla och den nya polisdatalagen innehåller förbud mot att behandla uppgifter om en person enbart på grund av vad som är känt om personens etniska ursprung (se 5 § i den gamla polisdatalagen och 2 kap. 10 § i den nya). Enligt båda lagarna är vissa bestämmelser i personuppgiftslagen tillämpliga (se 1 § i den gamla polisdatalagen och 2 kap. 2 § i den nya polisdatalagen ). Av särskilt intresse är här 9 § första stycket personuppgiftslagen där det bl.a. anges att den personuppgiftsansvarige ska se till att personuppgifter samlas in bara för särskilda, uttryckligt angivna och berättigade ändamål (punkten c) och att inte fler personuppgifter behandlas än vad som är nödvändigt med hänsyn till ändamålen med behandlingen (punkten f). I den nya polisdatalagen finns särskilda bestämmelser om gallring av personuppgifter i 2 kap. 12 §. Enligt den bestämmelsen får personuppgifter inte bevaras under längre tid än vad som behövs för något eller några av de i lagen angivna ändamålen. I den lagen finns också bestämmelser som anger hur länge uppgifter som längst får bevaras. Beträffande den gamla polisdatalagen gällde personuppgiftslagens gallringsbestämmelse i 9 § första stycket i). Enligt den bestämmelsen får personuppgifter inte bevaras under längre tid än vad som är nödvändigt med hänsyn till ändamålen med behandlingen.
Uppgiftssamlingarna Konflikt, Staffanstorp, romer och Kringresande skapades inom och användes i polisens kriminalunderrättelseverksamhet, dvs. i den
verksamhet som består av att samla in, bearbeta och analysera information för att klarlägga om brottslig verksamhet har utövats eller kan komma att utövas och som inte utgör förundersökning enligt 23 kap. rättegångsbalken (se definitionen i 3 § i den gamla polisdatalagen ). För denna verksamhet finns särskilda bestämmelser i både den gamla och den nya polisdatalagen .
Den gamla polisdatalagen
Enligt den gamla polisdatalagen fick personuppgifter behandlas i kriminalunderrättelseverksamheten endast om en särskild undersökning hade inletts och det fanns anledning att anta att allvarlig brottslighet hade utövats eller kunde komma att utövas (se 14 §). En särskild undersökning definierades som en undersökning i kriminalunderrättelseverksamhet som innebär insamling, bearbetning och analys av uppgifter i syfte att ge underlag för beslut om förundersökning eller om särskilda åtgärder för att förebygga, förhindra eller upptäcka brott. Med allvarlig brottslig verksamhet avsågs verksamhet som innefattar brott för vilket är föreskrivet fängelse i två år eller däröver (se definitionerna i 3 §).
Ett beslut om att behandla personuppgifter i kriminalunderrättelseverksamheten skulle innehålla uppgifter om ändamålet med behandlingen och de villkor i övrigt som behövdes för att förebygga otillbörligt intrång i de registrerades personliga integritet (se 15 §). Uppgifter om en enskild person som det inte fanns någon misstanke mot skulle förses med en upplysning om detta förhållande (se 14 §).
Den nya polisdatalagen
Enligt den nya polisdatalagen får personuppgifter behandlas bl.a. om det behövs för att förebygga, förhindra eller upptäcka brottslig verksamhet (se 2 kap. 7 §). Om personuppgifter kan antas ha samband med misstänkt brottslig verksamhet som innefattar brott för vilket är föreskrivet fängelse i ett år eller däröver eller som sker systematiskt, får de göras gemensamt tillgängliga i polisens brottsbekämpande verksamhet (se 3 kap. 2 §). Uppgifter anses ha gjorts gemensamt tillgängliga när fler än ett fåtal personer har rätt att ta del av dem (se 3 kap. 1 §).
Vid behandling av personuppgifter som har gjorts gemensamt tillgängliga ska det genom en särskild upplysning eller på något annat sätt framgå för vilket närmare ändamål personuppgifterna behandlas (se 3 kap. 3 §). Om personuppgifterna direkt kan hänföras till en person som inte är misstänkt för brott eller för att ha utövat eller komma att utöva brottslig verksamhet enligt 3 kap. 2 § ska det genom en särskild upplysning eller på något annat sätt framgå att personen inte är misstänkt. Uppgifter om en person som kan antas ha samband med misstänkt brottslig verksamhet ska vidare förses med en upplysning om uppgiftslämnarens trovärdighet och uppgifternas riktighet i sak, om inte detta på grund av särskilda omständigheter är onödigt (se 3 kap. 4 §).
Säkerhets- och integritetsskyddsnämndens tillsyn omfattar personuppgiftsbehandling som sker med stöd av den nya polisdatalagen . Nämndens granskning
har därför avsett den personuppgiftsbehandling som skett i uppgiftssamlingen Kringresande fr.o.m. den 28 februari 2013.
Säkerhets- och integritetsskyddsnämnden kom vid sin granskning fram till att polismyndigheten inte kunde anses ha behandlat uppgifter om personer enbart på grund av vad som var känt om deras etnicitet. Nämnden fann däremot att personuppgiftsbehandlingen i flera avseenden inte uppfyllde de krav som uppställs i polisdatalagen .
Säkerhets- och integritetsskyddsnämnden fann vid sin granskning att det ändamål som polismyndigheten uppgett för behandlingen av personuppgifterna – att identifiera och kartlägga allvarlig brottslig verksamhet av länsövergripande karaktär genom att lokalt identifiera och kartlägga nyckelpersoner och nätverk kring dessa – inte uppfyllde de krav som ställs i 9 § första stycket c) personuppgiftslagen . Nämnden anförde:
Det ändamål som polismyndigheten har angett är enligt nämnden alldeles för generellt formulerat för att uppfylla lagens krav. Om man skulle godta detta ändamål, skulle ett orimligt stort antal uppgifter av mycket varierande slag kunna registreras i uppgiftssamlingen. Det angivna ändamålet utgör således inte en tillräcklig precisering av syftet med uppgiftssamlingen på det sätt som polisdatalagen kräver. Enligt nämndens uppfattning innebär en brist på precisering av ändamål i praktiken att polisdatalagens integritetsskydd sätts ur spel. Det av polismyndigheten angivna ändamålet kan därför inte godtas.
Nämnden konstaterade också att polisens personuppgiftsbehandling inte heller uppfyllde kravet i 3 kap. 3 § polisdatalagen , att det närmare ändamålet med behandlingen ska framgå genom en särskild upplysning eller på något annat sätt.
Vidare fann nämnden att personuppgiftsbehandlingen inte var förenlig med bestämmelserna i 2 kap. 7 § polisdatalagen , eftersom det inte fanns något behov av att behandla ett stort antal av personuppgifterna. Uppgiftssamlingen innehöll bl.a. ett stort antal personer bosatta utanför Skåne, över 1 000 barn och flera avlidna personer. Nämnden uppgav följande:
Sammanfattningsvis menar […] nämnden att det inte ens om man utgår från det vida ändamål som polismyndigheten hänvisar till finns anledning att anta att det för varje personuppgift verkligen finns ett konkret behov av att behandla personuppgiften eller ett tillräckligt samband med den av polismyndigheten beskrivna brottsliga verksamheten. Det kan enligt nämnden slås fast att åtskilliga personer i uppgiftssamlingen inte borde finnas där. Nämnden får intrycket av att uppgiftssamlingen i vart fall delvis har kommit att få karaktären av en ”bra att ha”-uppgiftssamling.
Säkerhets- och integritetsskyddsnämnden konstaterade även att tillgången till personuppgifterna varit alltför omfattande inom polismyndigheten, att det inte skett någon loggning av personuppgiftsbehandlingen, att gallringen av personuppgifter varit otillräcklig och att det inte funnits några särskilda upplysningar om vilka som inte var misstänkta.
JK prövade i sitt beslut den 7 maj 2014 om personer som varit registrerade i uppgiftssamlingen Kringresande var berättigade till ersättning från staten på grund av att deras personliga integritet hade kränkts genom registreringen. JK instämde i Säkerhets- och integritetsskyddsnämndens bedömning att polisens personuppgiftsbehandling i flera avseenden hade stått i strid med lag. Tre generella brister lyftes fram: att ändamålet med personuppgiftsbehandlingen var för oprecist, att tillgången till personuppgifterna inte var begränsad till varje tjänstemans behov och att ingen loggning hade förekommit när personuppgifterna behandlades. JK redovisade följande bedömning av statens skadeståndsskyldighet med anledning av dessa brister:
De personuppgifter som polisen behandlar i sin brottsbekämpande verksamhet med stöd av polisdatalagen är till sin natur av integritetskänslig karaktär. Det är därför särskilt viktigt att polisen i alla delar noggrant följer polisdatalagens bestämmelser för hur sådana uppgifter får behandlas. I detta fall har tre generella brister konstaterats. Dessa är sammantaget så allvarliga att de personer vilkas uppgifter behandlats i registret måste anses ha blivit utsatta för en sådan kränkning av sin personliga integritet att de är berättigade till ersättning av staten enligt 48 § personuppgiftslagen .
JK gjorde bedömningen att den som varit föremål för personuppgiftsbehandling i uppgiftssamlingen ska vara berättigad till ersättning för kränkning med 5 000 kr. I beslutet lämnade JK följande avslutande synpunkter:
Jag instämmer i den kritik som [Säkerhets- och integritetsskyddsnämnden] har riktat mot polismyndigheten i uttalandet den 15 november 2013. Polisens möjlighet att behandla personuppgifter i sin brottsbekämpande verksamhet är viktig och nödvändig men innebär samtidigt ett stort ansvar. Det är oacceptabelt att en polismyndighet upprättar ett register och behandlar personuppgifter utan att fullt ut uppfylla de krav som lagen föreskriver. Jag utgår från att samtliga polismyndigheter – om det inte redan har skett – går igenom sina register för att försäkra sig om att behandlingen av personuppgifter uppfyller de krav som gäller enligt relevanta lagar, förordningar och föreskrifter.
Överåklagare AA betonade i sitt beslut att Åklagarmyndigheten inte är en tillsynsmyndighet, utan att en allmän åklagares uppgift är att göra straffrättsliga bedömningar och utreda och lagföra sådana brott där man på objektiv grund kan förvänta sig en fällande dom vid en domstolsprövning. Han uppgav vidare följande:
Det är inte åklagarens uppgift att lagföra varje formellt eller annat fel, omdömesbrist eller andra tillkortakommanden om inte dessa samtidigt når upp till en brottslig nivå.
Hans prövning var därför inriktad på om fel vid personuppgiftsbehandlingen i de båda uppgiftssamlingarna kunde styrkas och om någon kunde hållas straffrättsligt ansvarig för dessa.
I beslutet uppges att det var chefen för länskriminalavdelningen som 2009 beslutade om den särskilda undersökningen, men att chefen för KUT Lund 2011 beslutade att de aktuella personuppgiftsbehandlingarna skulle ske och att en polis
vid den enheten sedan byggde upp uppgiftssamlingarna. Enligt AA kunde chefen för länskriminalavdelningen inte rimligen bära straffrättsligt ansvar för den personuppgiftsbehandling som beslutats och utförts av medarbetare på den lokala nivån flera år efter att beslutet om den särskilda undersökningen meddelades. I stället delgavs chefen för KUT Lund och den polis som faktiskt skötte uppgiftssamlingarna misstanke om brott. Dessa båda hördes i utredningen.
Av beslutet framgår att det vid förhör med chefen för KUT Lund och den handläggande polisen hade framkommit att ändamålet och syftet med personuppgiftssamlingen Konflikt, Staffanstorp, romer var att utröna och förebygga allvarlig brottslighet som var kopplad till en konflikt mellan romska släkter i polisområdet och att man genom behandlingen försökt klarlägga släktsamband. Vidare hade det framkommit att ändamålet och syftet med behandlingen i person- uppgiftssamlingen Kringresande bl.a. var att utröna och förebygga allvarlig åldrings- och annan angiven brottslighet. Att de båda uppgiftssamlingarna skulle skapas och vilka ändamålen med dem skulle vara dokumenterades dock inte. Chefen för KUT Lund hade uppfattningen att någon dokumentationsskyldighet inte förelegat eftersom ändamål hade angetts i beslutet om den särskilda undersökningen. AA redovisade följande straffrättsliga bedömning i fråga om uppgiftssamlingarnas ändamål och dokumentationen av detta:
De uppgivna ändamålen med behandlingarna är i sig inte olagliga. Däremot finns det inte något beslut där ändamålen framgår. Ändamålen framgår inte heller på något sätt, t.ex. genom en särskild upplysning i personuppgiftssamlingarna. De ändamål och syften som anges i beslutet om den särskilda undersökningen uppfyller inte polisdatalagarnas krav. Det är en allvarlig brist då polisdatalagarnas regler syftar till att behandlingen av personuppgifter ska ske på ett rättssäkert och kontrollerbart sätt. […] chefen för KUT Lund [har] inte uppsåtligen […] underlåtit att upprätta sådana formella beslut eller upplysningar. Det kan inte styrkas att den oaktsamhet som han visat i detta hänseende når upp till en straffbar nivå då han trott sig tillämpa en tillåten rutin vid myndigheten. Det kan här vara fråga om ett systemfel som inte kan läggas en enskild befattningshavare till last.
Framför allt mot bakgrund av de uppgivna ändamålen med behandlingen fann AA att personuppgifterna i uppgiftssamlingarna inte hade behandlats enbart på grund av etnisk tillhörighet.
I beslutet uppges att det kunde tyckas uppseendeväckande att personuppgiftssamlingarna innehöll så många personuppgifter. AA bedömde dock att det inte gick att styrka att det varit oförenligt med ändamålet med personuppgiftssamlingarna att behandla dessa. Däremot konstaterade han att polisdatalagens gallringsbestämmelser inte hade följts. Personuppgiftssamlingen Konflikt, Staffanstorp, romer borde ha gallrats i samband med att uppgifterna tillfördes uppgiftssamlingen Kringresande . Det stora antalet personuppgifter, den geografiska spridningen och det faktum att barn och avlidna funnits registrerade visade dessutom att det fanns ett större antal personuppgifter i de båda uppgiftssamlingarna som rimligen inte behövdes för ändamålet med dem. Uppgiftssamlingarna borde därför ha gallrats i betydligt större utsträckning än vad polisen uppgett hade gjorts. AA bedömde dock att det här huvudsakligen tycktes ha varit
fråga om ett systemfel och att det inte kunde styrkas att någon enskild befattningshavare skulle bära det straffrättsliga ansvaret för detta.
I beslutet uppges att det inte har varit möjligt att logga personuppgiftsanvändningen i uppgiftssamlingarna och att alltför många inom polismyndigheten har kunnat ta del av innehållet i dessa samlingar. Dessa brister bedömdes dock utgöra systemfel som ingen enskild befattningshavare kunde lastas för.
I personuppgiftssamlingarna fanns det inte några upplysningar som angav vilka personer det inte fanns någon misstanke mot, vilket föreskrivs i polisdatalagarna. AA gjorde följande straffrättsliga bedömning beträffande denna brist:
Då ett mycket stort antal personer behandlats i personuppgiftssamlingarna, då dessa var uppbyggda på släktsamband samt då underåriga barn och avlidna personer registrerats måste det för den som tagit del av personuppgiftssamlingarna ha varit uppenbart att långtifrån alla var misstänkta. Med beaktande härav och då avsikten uppgetts vara att upplysningar om vilka personer som inte var misstänkta för brott skulle lämnas vid presentationer samt då ledningen, styrningen och kontrollen av verksamheten vid kriminalunderrättelseenheten kan ha brustit är åsidosättandet av vad som gällt för uppgiften i nu aktuellt hänseende att bedöma som ett ringa tjänstefel och gärningen således inte brottslig. Det kan också här vara fråga om ett systemfel som inte ska läggas en enskild befattningshavare till last.
AA redovisade avslutningsvis följande sammanfattande bedömning:
Det kan inte styrkas att anställd vid polismyndigheten gjort sig skyldig till brott genom att inte formellt ange ändamålet med behandlingen av personuppgifter på det sätt som bort ske. Det kan heller inte styrkas att det varit oförenligt med ändamålen med personuppgiftssamlingarna att behandla de personuppgifter som ingick i dessa. Det har inte framkommit anledning att anta att personuppgifterna […] utlämnats eller faktiskt spridits till obehöriga. Det kan inte längre antas att personuppgifterna förts in i personuppgiftssamlingarna enbart på grund av etnisk tillhörighet. Att uppgift inte förts in i personuppgiftssamlingarna om vilka personer i dessa som inte varit misstänkta för brott är ett ringa tjänstefel som inte utgör brott. Det kan inte styrkas att någon uppsåtligen eller av oaktsamhet underlåtit att gallra i personuppgiftssamlingarna i den omfattning som bort ske. Det är ett systemfel att loggning av arbetet med personuppgiftssamlingarna inte kunnat ske.
Fördelningen av processägarskap, processledning, övriga lednings- och styrningsförhållanden och inte minst bristande kontroll av kriminalunderrättelseverksamheten vid polismyndigheten kan ha bidragit till de systemfel vid polismyndigheten som konstaterats under förundersökningen. En enskild befattningshavare vid Polismyndigheten i Skåne kan inte straffrättsligt hållas ansvarig för detta.
Förundersökningen lades därför ned.
Min utredning har, som tidigare nämnts, varit inriktad på ansvaret för de brister i uppgiftssamlingarna Konflikt, Staffanstorp, romer och Kringresande som har konstaterats av Säkerhets- och integritetsskyddsnämnden och åklagare. Dåvarande Polismyndigheten i Skåne har anmodats att yttra sig över ett antal frågor som gäller detta.
Polismyndigheten i Skåne (länspolismästaren BB) har yttrat sig och gett in dokumentation avseende den särskilda undersökningen Länsövergripande
brottslighet . Vid min granskning har jag också haft tillgång till de yttranden som polismyndigheten tidigare gav in till Säkerhets- och integritetsskyddsnämnden och till handlingarna i förundersökningen.
Kriminalunderrättelsetjänstens organisation
I sitt yttrande lämnade Polismyndigheten i Skåne en redogörelse för kriminalunderrättelsetjänstens organisation. Av denna redogörelse och övrigt tillgängligt material framgår att polismyndighetens kriminalunderrättelsetjänst bestod dels av en central enhet, KUT Skåne, dels av lokala kriminalunderrättelsetjänster vid de olika polisområdena, däribland KUT Lund.
KUT Skåne utgjorde en sektion inom underrättelseenheten vid länskriminalavdelningen. KUT Skåne var huvudsakligen inriktad mot organiserad och gränsöverskridande brottslighet, kartläggning av yrkeskriminella och särskilda händelser av större omfattning. KUT Skåne hade också bl.a. ett myndighetsövergripande ansvar för arbetsmetoder, arbetsverktyg och utbildning i kriminalunderrättelsefrågor.
I varje polisområde fanns en lokal kriminalunderrättelsetjänst, däribland KUT Lund vid polisområde mellersta Skåne. Den var huvudsakligen inriktad mot mängdbrottslighet och lydde under chefen för polisområdet. I polisområdet fanns en operativ ledningsgrupp som ansvarade för kriminalunderrättelsetjänstens arbete (i polismyndighetens yttrande benämnt linjeansvar). Ledningsgruppen beslutade om inriktning, ansvarsfördelning och uppföljning av beslutade och genomförda ärenden. Efter beslut i den operativa ledningsgruppen överlämnades ansvaret för genomförandet till den som utsetts att leda insatsen eller projektet.
Inriktningen på de lokala kriminalunderrättelsetjänsternas arbete beslutades av länskriminalavdelningens underrättelseenhet (i polismyndighetens yttrande benämnt processledarskap). Detta avsåg bl.a. beslut om uppgiftssamlingar, hur data ska lagras, användning av programvara och utbildning av personal. Länskriminalavdelningens underrättelseenhet fördelade också uppdrag av länsövergripande karaktär och uppdrag som begärts av rikskriminalpolisens kriminalunderrättelsetjänst till de lokala kriminalunderrättelsetjänsterna.
Fram till hösten 2009 hade polisområdena befogenhet att själva besluta om att behandla personuppgifter i en särskild undersökning. Det fanns då ett stort antal lokalt beslutade särskilda undersökningar vars ämnesområden var splittrade, samtidigt som flertalet av dem mer eller mindre överlappade varandra ur ett länsgemensamt perspektiv. Under hösten 2009 påbörjades ett arbete med att revidera de särskilda undersökningarna och samtidigt skapa en ny, länsövergripande, beslutsordning. Genom den nya ordningen ändrades delegationsreglerna, och behörigheten att fatta beslut om att behandla personuppgifter i en särskild undersökning flyttades från polisområdeschefen till chefen för länskriminalavdelningen. Ett av de länsövergripande beslut om att behandla personuppgifter i en särskild undersökning som då fattades var det som avsåg den här aktuella
särskilda undersökningen Länsövergripande brottslighet . Chefen för länskriminalavdelningen fick senare befogenheten att besluta om behandling av personuppgifter i en särskild – gemensamt tillgänglig – uppgiftssamling enligt bestämmelserna i den nya polisdatalagen .
Ansvaret för den särskilda undersökningen och uppgiftssamlingarna
I sitt yttrande har Polismyndigheten i Skåne uppgett att chefen för länskriminalavdelningen har haft det övergripande ansvaret för personuppgiftsbehandlingen i den särskilda undersökningen Länsövergripande brottslighet och i den senare gemensamt tillgängliga uppgiftssamlingen. Chefen för länskriminalavdelningen har svarat för lagligheten i och utformningen av besluten om att inleda den särskilda undersökningen och att behandla personuppgifter i en gemensamt tillgänglig uppgiftssamling. Denne har också svarat för de övergripande konsekvenser som besluten kunde få för behandlingen av personuppgifter i verksamheten. Polismyndigheten uppgav följande:
Chefen för länskriminalavdelningen är och har alltså varit ansvarig för beslutet att starta [den särskilda undersökningen] och [den gemensamt tillgängliga uppgiftssamlingen] ”Länsövergripande brottslighet”, för att syftet med [dessa] är korrekt beskrivet utifrån behovet av behandlingen av personuppgifter samt för att omfattningen av personuppgifter i [dem] avgränsas genom att ange ändamålet i beslutet i enlighet med gällande integritetsskyddande lagstiftning för personuppgifter.
Enligt polismyndighetens yttrande har de som har haft behörighet att arbeta i en särskild undersökning eller en gemensamt tillgänglig uppgiftssamling också haft behörighet att besluta om att inom ramen för dessa bygga upp uppgiftssamlingar. I beslutet om att behandla personuppgifter i den särskilda undersökningen och den gemensamt tillgängliga uppgiftssamlingen uppges bl.a. att behörighet till databasen ges till behörig personal inom kriminalunderrättelsetjänsten vid länskriminalavdelningen eller polisområdena. Enligt polismyndigheten skapades uppgiftssamlingarna Konflikt, Staffanstorp, romer och Kringresande av en polisman som hade behörighet att arbeta i den särskilda undersökningen Länsövergripande brottslighet , och han informerade chefen för KUT Lund om att uppgiftssamlingarna byggdes upp. Enligt polismyndigheten får därmed chefen för KUT Lund anses som behörig beslutsfattare för båda uppgiftssamlingarna, och det är också han som har fattat besluten om att bygga upp dem. Dessa beslut har dock inte dokumenterats av chefen för KUT Lund, vilket enligt polismyndigheten borde ha skett. Enligt yttrandet har chefen för länskriminalavdelningen, som haft det övergripande ansvaret för den särskilda undersökningen, ”på sedvanligt sätt […] inte informerats i frågan.”
Polismyndigheten har uppgett att ansvaret för att integritetsskyddsbestämmelserna följdes vid hanteringen av uppgiftssamlingar vilade på de handläggare som hade behörighet att arbeta i dem och chefen för kriminalunderrättelsetjänsten i respektive polisområde. Detta innefattar bl.a. ett ansvar för att uppgiftssamlingarna gallras, att personuppgiftsbehandlingen loggas och att det anges om en registrerad person inte är misstänkt. Chefen för kriminalunderrättelsetjänsten i respektive
polisområde ansvarade för att detta arbete följdes upp. Ansvaret för att integritetsskyddsbestämmelserna följts vid hanteringen av uppgiftssamlingarna Konflikt, Staffanstorp, romer och Kringresande har alltså enligt polismyndigheten vilat på den polis som skapade och hanterade dem och chefen för KUT Lund.
I beslutet om den särskilda undersökningen uppges att all användaraktivitet loggas. Vidare anges att integritetsskyddet säkerställs genom en särskilt föreskriven gallringsrutin ( Rutin för gallring av särskilda undersökningar) . Av denna framgår följande. Personuppgifterna ska behandlas i en viss angiven databasmiljö (SURFA/ i2 iBase 4). Enbart personer vid kriminalunderrättelsetjänsten som genomgått viss utbildning och som arbetar med den särskilda undersökningen har tillträde till undersökningens databas. Huvudansvaret för informationen i den särskilda undersökningen vilar på chefen för länskriminalavdelningen, medan de enskilda användarna ansvarar för den information som de tillför databasen. För att administrera användare, behörighetsnivåer och gallring finns en administratörsgrupp. All användning av databaserna i den särskilda undersökningen ska loggas. Det ska framgå vilka personer som inte misstänks för brott. Detta ska ske genom att det på ett visst angivet sätt markeras vilka som misstänks för brott. Gallring av uppgifter om en registrerad person ska prövas minst en gång var tolfte månad. Detta ska ske dels genom att de som arbetar i den särskilda undersökningen fortlöpande prövar om personuppgifter ska gallras, dels genom en delvis automatiserad rutin som innebär att personuppgifter som inte skapats eller uppdaterats under de senaste tolv månaderna ska gallras. Rutinerna uppdaterades under 2011.
I beslutet om att behandla personuppgifter i en särskild – gemensamt tillgänglig – uppgiftssamling hänvisas vad gäller integritetsskyddet i stället till ett dokument benämnt Rutiner för gemensamma uppgifter på X-servern . I detta dokument uppges att det inte behövs någon särskild uppgift om ändamålet med behandlingen om detta framgår på annat sätt. Anledningen till att en uppgift behandlas framgår enligt dokumentet för den enskilde tjänstemannen dels genom att denne kan se var i mappstrukturen uppgiften lagras, bearbetas och analyseras, dels utifrån den specifika arbetsuppgift tjänstemannen tilldelats för att behandla personuppgiften. Vidare uppges att det i majoriteten av datafilerna på nätverksenhet X framgår av omständigheterna vilka personer som inte är misstänkta för brott. I dessa fall behövs därför inte någon särskild upplysning om detta. För de fall det inte framgår vilka som inte misstänks för brott anges hur man ska markera detta. I dokumentet anges vidare en delvis automatiserad gallringsrutin för uppgifter som enligt tidsfristerna i polisdatalagen måste gallras. Någon rutin för den löpande gallringen av uppgifter som inte längre behövs utifrån det angivna ändamålet med behandlingen anges däremot inte.
Polismyndigheten har uppgett att rutinerna för loggning, gallring och markering av de som inte är misstänkta, förutsatte att arbetet skedde i en viss databasmiljö. Den tekniska lösningen gick dock inte att tillämpa i bl.a. polisområde mellersta Skåne. Det har därför delvis saknats automatiserade möjligheter för detta arbete. Enligt
polismyndigheten kan därför enskilda handläggare inte helt lastas för brister vad gäller gallring av personuppgifter och loggning av behandlingen i uppgiftssamlingarna Konflikt, Staffanstorp, romer och Kringresande . Enligt polismyndighetens yttrande har de tekniska problemen behandlats vid polismyndighetens it-råd, och man har även påtalat för Rikspolisstyrelsen att man har tekniska problem som man inte själva kunnat lösa.
Polismyndigheten i Skåne uppgav avslutningsvis följande:
Sammanfattningsvis kan polismyndigheten konstatera att ansvaret för uppgiftssamlingarna Konflikt, Staffanstorp, romer och Kringresande i enlighet med den organisation som polismyndigheten valt att använda sig av, åvilar en rad olika befattningshavare.
Min granskning har varit inriktad på ansvaret för personuppgiftsbehandlingen i uppgiftssamlingarna Konflikt, Staffanstorp, romer och Kringresande vid dåvarande Polismyndigheten i Skåne. Personuppgiftsbehandlingen i dessa uppgiftssamlingar har varit föremål för prövning av Säkerhets- och integritetsskyddsnämnden och av överåklagare AA. Vid båda granskningarna har allvarliga brister konstaterats. Min bedömning utgår från de brister vid personuppgiftsbehandlingen som Säkerhets- och integritetsskyddsnämnden och åklagaren har funnit.
I det följande sammanfattas dessa brister. Därefter beskrivs sammanfattningsvis ansvarsfördelningen inom polismyndigheten enligt myndighetens yttrande till JO och de uppgifter som funnits tillgängliga i ärendet. Efter det redovisar jag min bedömning av ansvaret för besluten om att bygga upp uppgiftssamlingarna och ansvaret för att integritetsskyddsbestämmelserna följs vid hanteringen av dem. Sist görs en avslutande bedömning av det inträffade. Innan jag går in på dessa frågor vill jag dock säga något om personuppgiftsbehandlingen i polisens kriminalunderrättelseverksamhet och betydelsen av ett starkt och fungerande integritetsskydd.
Polisens brottsbekämpande verksamhet förutsätter att uppgifter av skiftande slag kan behandlas. Polisen har därför getts omfattande möjligheter att behandla personuppgifter. Dessa är inte sällan integritetskänsliga, och för polisens personuppgiftsbehandling i den brottsbekämpande verksamheten gäller särskilda bestämmelser som ska skydda mot otillbörliga ingrepp i de registrerades personliga integritet. Polisens kriminalunderrättelseverksamhet är särskilt integritetskänslig. I denna verksamhet behandlar polisen personuppgifter i situationer där man med olika grad av styrka misstänker att brottslig verksamhet pågår eller planeras, men utan att det finns några konkreta brottsmisstankar. Vid sådana förhållanden är det oundvikligt att närgångna uppgifter om personer som senare visar sig sakna all koppling till brottslig verksamhet ibland kommer att behandlas. Uppgifter om personer som inte själva misstänks för brottslig verksamhet behöver också många gånger behandlas.
Polisdatalagens integritetsskyddsbestämmelser fyller därför en viktig funktion och är en förutsättning för polisens omfattande rätt att behandla personuppgifter.
Vid personuppgiftsbehandlingen i polisens kriminalunderrättelseverksamhet saknar de registrerade så gott som alltid möjlighet att själva ta till vara sina intressen, eftersom de oftast inte känner till behandlingen och många gånger inte heller kan få kännedom om den i efterhand. Integritetsskyddet förutsätter därför en fungerande kontroll från tillsynsmyndigheterna och det är mycket viktigt att dessa har goda förutsättningar för sitt arbete. Bestämmelser om dokumentation har i det sammanhanget en avgörande funktion.
Konstaterade brister
De tidigare granskningarna har visat att polisens behandling av personuppgifter i de aktuella uppgiftssamlingarna på flera punkter skett i strid med såväl den nya som den gamla polisdatalagens bestämmelser. Det ändamål för behandlingen som angavs i beslutet om att behandla personuppgifter i den särskilda undersökningen Länsövergripande brottslighet var alltför generellt formulerat för att uppfylla lagens krav. Samma brist har funnits i det senare beslutet om att behandla personuppgifter i en särskild – gemensamt tillgänglig – uppgiftssamling. Säkerhets- och integritetsskyddsnämnden har funnit att det även med detta alltför generellt formulerade ändamål saknades behov av att behandla ett stort antal av person- uppgifterna i uppgiftssamlingarna Konflikt, Staffanstorp, romer och Kringresande . Överåklagare AA ansåg att det inte gick att styrka att uppgifter behandlades i strid med det ändamål som beskrivits av de hörda poliserna. På grund av att uppgiftssamlingarna inte gallrades kom de dock att innehålla ett stort antal personuppgifter som det saknades behov av att behandla. Granskningarna visade också att den krets som hade tillgång till personuppgifterna var alltför stor, att det inte skett någon loggning av personuppgiftsbehandlingen, att gallringen av personuppgifter varit otillräcklig och att det inte funnits några särskilda upplysningar om vilka som inte var misstänkta för brott.
Ansvarsfördelning enligt uppgifter från polismyndigheten
Av utredningen framgår att det var chefen för länskriminalavdelningen som var behörig att besluta om att behandla personuppgifter i en särskild undersökning enligt den gamla polisdatalagen . Enligt den lagen skulle ett sådant beslut innehålla bl.a. uppgifter om ändamålet med behandlingen och de villkor i övrigt som behövs för att förebygga otillbörligt intrång i de registrerades personliga integritet. Att ett beslut fattades var en förutsättning för att polisen då överhuvudtaget skulle få behandla personuppgifter i sin kriminalunderrättelseverksamhet. I den nya polisdatalagen finns inte något motsvarande krav på att ett sådant särskilt beslut ska fattas. Av polismyndighetens yttrande framgår att det är chefen för länskriminalavdelningen som är behörig att besluta om att göra personuppgifter i en uppgiftssamling inom kriminalunderrättelseverksamheten gemensamt tillgängliga.
Enligt polismyndighetens yttrande har chefen för länskriminalavdelningen ett ansvar som i huvudsak begränsar sig till utformningen av beslutet om att behandla
personuppgifter i den särskilda undersökningen Länsövergripande brottslighet och det senare beslutet om att behandla personuppgifter i en gemensamt tillgänglig uppgiftssamling. Enligt yttrandet har det varit cheferna för de lokala kriminalunderrättelsetjänsterna, i detta fall chefen för KUT Lund, som haft att besluta om vilka olika uppgiftssamlingar som skulle byggas upp, beslut som enligt polismyndighetens praxis inte behövde rapporteras till chefen för länskriminalavdelningen. Polismyndigheten har uppgett att chefen för KUT Lund var behörig att besluta om att uppgiftssamlingarna Konflikt, Staffanstorp, romer och Kringresande skulle byggas upp. Enligt yttrandet har chefen för KUT Lund och den handläggande polisen haft ansvaret för de konkreta uppgifter som registrerades i uppgiftssamlingarna och ansvaret för att det angavs vilka som inte misstänktes för brott samt för att gallring skedde.
Ansvaret för brister vid tillkomsten av uppgiftssamlingarna
Enligt beslutet om den särskilda undersökningen Länsövergripande brottslighet var ändamålet med personuppgiftsbehandlingen att identifiera och kartlägga allvarlig brottslig verksamhet av länsövergripande karaktär genom att lokalt identifiera och kartlägga nyckelpersoner och nätverk kring dessa. Det uppfyllde som tidigare framgått inte kraven i den dåvarande polisdatalagen . Den formulering som användes är så generell att ändamålet innefattar i princip alla slags uppgifter.
Det bristfälligt angivna ändamålet för personuppgiftsbehandlingen i den särskilda undersökningen innebar att det saknades tydliga riktlinjer från den ansvarige beslutsfattarens sida om vilka uppgifter som skulle och fick behandlas. I förening med den ansvarsfördelning som polisen har beskrivit blev beslutet om att behandla personuppgifter i den särskilda undersökningen i praktiken ett medgivande in blanco till de lokala KUT-cheferna att skapa de uppgiftssamlingar som de ansåg behövdes. I det här aktuella fallet var det följaktligen chefen för KUT Lund som i praktiken beslutade om att behandla personuppgifter i uppgiftssamlingarna Konflikt, Staffanstorp, romer och Kringresande . Detta skedde drygt två år efter det att ändamålet med personuppgiftsbehandlingen i den särskilda undersökningen angetts. Enligt den då gällande polisdatalagen skulle de ändamål för vilka personuppgifter fick behandlas i de två uppgiftssamlingarna ha framgått av beslutet om den särskilda undersökningen, eller av ett annat beslut om att behandla personuppgifter i den särskilda undersökningen. Konsekvensen av det nu beskrivna blev att chefen för KUT Lund fattade beslut som enligt myndighetens delegationsordning skulle ha fattats av chefen för länskriminalavdelningen.
Av förhör under förundersökningen framgår att chefen för KUT Lund inte dokumenterade att uppgiftssamlingarna Konflikt, Staffanstorp, romer och Kringresande skulle byggas upp. Enligt hans uppfattning omfattades detta av beslutet om att behandla personuppgifter i den särskilda undersökningen. Följden blev att varken uppgiftssamlingarnas existens eller det närmare ändamålet med dem dokumenterades. Eftersom skapandet av uppgiftssamlingar enligt myndighetens praxis inte anmäldes till chefen för länskriminalavdelningen, som var behörig beslutsfattare, har denne inte heller haft kännedom om vilka uppgifts-
samlingar som fanns i den särskilda undersökningen eller för vilka närmare ändamål uppgifter behandlas i dessa. Den bristande dokumentationen har avsevärt försvårat myndighetens möjlighet att kontrollera och följa upp sin personuppgiftsbehandling inom detta mycket integritetskänsliga område.
De uppgiftssamlingar som fanns i den särskilda undersökningen överfördes när denna avslutades oförändrade till den nya gemensamt tillgängliga uppgiftssamlingen. I beslutet om den särskilda – gemensamt tillgängliga – uppgiftssamlingen angavs inte något närmare ändamål med behandlingen, utöver en allmän beskrivning av kriminalunderrättelseverksamheten. Något närmare ändamål framgick inte heller av själva uppgiftssamlingarna. Inför beslutet genomfördes inte någon genomgång av det konkreta innehållet i de befintliga uppgiftssamlingarna, vilket hade varit naturligt. Det dokumenterades inte heller vilka uppgiftssamlingar som fanns. De brister som jag har konstaterat när det gäller ansvaret för den särskilda undersökningen överfördes alltså till den gemensamt tillgängliga uppgiftssamlingen.
Sammantaget har alltså den ordning som dåvarande Polismyndigheten i Skåne tillämpade för beslut om behandling av personuppgifter i den särskilda undersökningen Länsövergripande brottslighet , och den senare gemensamt tillgängliga uppgiftssamlingen, uppvisat grundläggande brister. Oklarheter i ansvarsfördelningen har inneburit att de inblandade inte har varit medvetna om omfattningen av sitt ansvar. Vidare har bristerna medfört att det inte fanns någon styrning från den ansvarige beslutsfattarens sida över vilka personuppgifter som skulle behandlas och att möjligheterna att kontrollera och följa upp personuppgiftsbehandlingen avsevärt försvårats. Detta har inneburit att integritetsskyddet till stor del sattes ur spel. För dessa allvarliga brister måste dåvarande Polismyndigheten i Skåne, ytterst länspolismästaren, kritiseras.
Ansvaret för loggning, gallring och särskilda markeringar i uppgiftssamlingarna
Av de tidigare granskningarna framgår att användningen av uppgiftssamlingarna Konflikt, Staffanstorp, romer och Kringresande inte loggades, att det inte har angetts vilka som inte var misstänkta för brott och att uppgiftssamlingarna inte gallrades i tillräcklig omfattning. Dessa brister är allvarliga. Den uteblivna loggningen har väsentligt försvårat möjligheterna att kontrollera användningen av uppgiftssamlingarna. Den bristande gallringen har fått till följd att uppgifter registrerats mer eller mindre permanent i uppgiftssamlingarna. Eftersom uppgiftssamlingarna bygger på släktrelationer mellan personer av romskt ursprung har denna brist fått allvarliga konsekvenser. Uppgiftssamlingarna har fått karaktären av ett mer eller mindre permanent släktregister över ett stort antal personer av huvudsakligen romskt ursprung. Att det saknas uppgifter om vilka som inte misstänks för brott har förstärkt detta intryck.
Ansvaret för att de här aktuella integritetsskyddsbestämmelserna följs har enligt polismyndighetens yttrande vilat på chefen för KUT Lund och den handläggande
polisen. Polismyndigheten har vidare uppgett att de särskilt föreskrivna rutinerna som gällt i dessa delar inte gick att tillämpa eftersom de förutsatte att behandlingen skedde i en viss databasmiljö, vilket inte var möjligt vid bl.a. KUT Lund. Det har därför delvis saknats automatiserade möjligheter för detta arbete, något som chefen för KUT Lund och den handläggande polisen enligt myndigheten inte kan lastas för.
Jag kan konstatera att det för uppgiftssamlingarna Konflikt, Staffanstorp, romer och Kringresande saknades tekniska möjligheter att logga behandling. På grund av att uppgiftssamlingarna inte skapades i den databasmiljö som anges i rutinerna för den särskilda undersökningen, gick det inte att tillämpa den rutin som angavs för att markera vilka personer som inte var misstänkta för brott. Den delvis automatiserade rutin som skulle garantera att gallringsprövning av alla uppgifter i den särskilda undersökningen genomfördes var tolfte månad gick inte heller att tillämpa. Trots de tekniska problem som polismyndigheten redogjort för hade det dock varit fullt möjligt för den som arbetat med uppgiftssamlingarna att genomföra både gallringsprövningen och markeringen av dem som inte var misstänkta, om än på ett mer resurskrävande sätt. När det gäller den gemensamt tillgängliga uppgiftssamlingen noterar jag att det inte har funnits rutiner för en kontinuerlig gallringsprövning annat än enligt de högst tillåtna bevarandetiderna som anges i den nya polisdatalagen .
Av utredningen framgår att polismyndigheten varit medveten om de tekniska problemen vid bl.a. KUT Lund. Trots denna kunskap vidtog man inte några åtgärder för att garantera att polisdatalagens integritetsskyddsbestämmelser följdes, t.ex. genom att ändra eller ta fram nya fungerande rutiner för de fall där den avsedda databasmiljön inte kunde användas. Polismyndigheten har inte heller följt upp och kontrollerat hur dessa bestämmelser efterlevdes vid de behandlingar som skedde i en annan databasmiljö än den avsedda. Jag kan också konstatera att de rutiner som togs fram för den gemensamt tillgängliga uppgiftssamlingen var bristfälliga i fråga om den löpande gallringsprövningen. Den polis som hanterade de aktuella uppgiftssamlingarna har naturligtvis trots detta ett ansvar för att han underlät att markera vilka som inte var misstänkta och för att uppgiftssamlingarna inte gallrades i tillräcklig utsträckning. Underlåtenheten att logga behandlingen, att markera vilka som inte var misstänkta för brott och att gallra uppgiftssamlingarna Konflikt, Staffanstorp, romer och Kringresande , måste dock huvudsakligen anses bero på att ledningen inte vidtagit nödvändiga åtgärder. Det är oacceptabelt att det inom polismyndigheten samlades in och behandlades personuppgifter inom den integritetskänsliga kriminalunderrättelseverksamheten utan fungerande rutiner för loggning, markering av personer som inte misstänks för brott och gallring. Att det funnits vissa tekniska problem utgör ingen godtagbar ursäkt. Dåvarande Polismyndigheten i Skåne, ytterst länspolismästaren, måste kritiseras för dessa allvarliga brister.
Av förundersökningen framgår att det inte har kunnat uteslutas att det inledningsvis fanns godtagbara skäl att behandla uppgifter i uppgiftssamlingarna Konflikt, Staffanstorp, romer och Kringresande . Vid de tidigare granskningarna har man kommit fram till att personuppgifterna i dessa båda uppgiftssamlingar inte enbart behandlats på grund av de registrerades etniska tillhörighet. Jag ifrågasätter inte dessa bedömningar. Vid min granskning har jag dock kunnat konstatera att bristerna vid polismyndighetens personuppgiftsbehandling medförde att det byggdes upp ett mer eller mindre permanent register över ett stort antal personer av romskt ursprung. Uppgiftssamlingarna har alltså de facto fått karaktären av ett register över just etnisk tillhörighet. Det finns därför skäl att se mycket allvarligt på bristerna hos dåvarande Polismyndigheten i Skåne. Att registreringen drabbade en redan utsatt grupp förstärker allvaret i det inträffade.
Bristerna i polismyndighetens hantering av den särskilda undersökningen Läns- övergripande brottslighet har också medfört att det saknades särskild dokumentation över såväl existensen av uppgiftssamlingarna Konflikt, Staffanstorp, romer och Kringresande som anledningen till att de skapades. Mycket tyder på att den som varit chef för länskriminalavdelningen, och därmed ansvarade för besluten om den särskilda undersökningen och den gemensamt tillgängliga uppgiftssamlingen, saknade närmare kännedom om vilka uppgiftssamlingar som fanns. Dessa brister har avsevärt försvårat en fungerande uppföljning och kontroll av personuppgiftsbehandlingen i uppgiftssamlingarna, vilket är mycket allvarligt. Jag noterar särskilt att förekomsten av de två uppgiftssamlingarna uppmärksammades av tillsynsmyndigheterna först efter att medierna avslöjat deras existens.
Av utredningen framgår att det var en polis som, under ledning av chefen för KUT Lund, skapade och i övrigt hanterade uppgiftssamlingarna Konflikt, Staffanstorp, romer och Kringresande . Av utredningen framgår vidare att en förutsättning för att dessa uppgiftssamlingar har uppvisat de mycket allvarliga brister som konstaterats vid tidigare granskningar är att ansvarsfördelningen när det gäller personuppgiftsbehandlingen i den särskilda undersökningen och den gemensamt tillgängliga uppgiftssamlingen var mycket oklar. Polismyndighetens organisation, instruktioner och praxis har medfört att det varken funnits någon styrning eller kontroll över vilka uppgiftssamlingar som byggts upp och mycket begränsade möjligheter att upptäcka eventuella missförhållanden i dem. Det har därtill varit känt inom polismyndigheten att det saknades förutsättningar för att tillämpa rutiner av avgörande betydelse för integritetsskyddet. Trots detta vidtog man inte nödvändiga åtgärder för att säkerställa att integritetsskyddsbestämmelserna följdes. Det inträffade visar på omfattande och allvarliga brister inom polismyndighetens kriminalunderrättelseverksamhet. Med det ansvar som chefen för länskriminalavdelningen haft för kriminalunderrättelseverksamheten i allmänhet, och den särskilda undersökningen och den gemensamt tillgängliga uppgiftssamlingen i synnerhet, vilar ett tungt ansvar för de brister som konstaterats på dem som innehaft den befattningen. Ansvaret för de grundläggande brister när det gäller
myndighetens organisation, instruktioner och praxis som jag funnit vid min granskning vilar dock ytterst på polismyndigheten och på dess högsta chef – länspolismästaren. Dåvarande Polismyndigheten i Skåne förtjänar allvarlig kritik för dessa brister.
Även om polismyndigheten måste bära det yttersta ansvaret för uppgiftssamlingarna har chefen för KUT Lund ett ansvar för att uppgiftssamlingarna faktiskt byggdes upp och den polis som byggde upp dem ett ansvar för deras konkreta innehåll. Jag är mycket kritisk också till deras agerande.
Jag förutsätter att den nya Polismyndigheten på grund av de allvarliga brister som funnits inom dåvarande Polismyndigheten i Skånes kriminalunderrättelseverksamhet vidtar nödvändiga åtgärder för att garantera att polisdatalagens integritetsskyddsbestämmelser efterlevs inom hela myndigheten. Ansvarsfördelningen inom kriminalunderrättelseverksamheten måste vara tydlig och det måste finnas fungerande riktlinjer för personuppgiftsbehandlingen. Det måste också finnas en fungerande intern uppföljning och kontroll som säkerställer att behandlingen uppfyller polisdatalagens integritetsskyddsbestämmelser. Jag vill avslutningsvis poängtera att det förtroende som lagstiftaren har gett Polismyndigheten, genom den omfattande rätten att behandla uppgifter inom kriminalunderrättelseverksamheten, förutsätter att man noggrant efterlever och respekterar polisdatalagens integritetsskyddsbestämmelser.