Allvarlig kritik mot Polismyndigheten för en personuppgiftsbehandling inom kriminalunderrättelsetjänst

Justitiekanslerns beslut

Justitiekanslern tillerkänner AA ersättning med 20 000 kr. Polismyndigheten ansvarar för att ersättningen betalas ut till honom.

Justitiekanslern riktar allvarlig kritik mot Polismyndigheten för att uppgifter avseende AA har behandlats inom ramen för kriminalunderrättelseverksamhet avseende allvarlig brottslighet under över tio års tid utan att myndigheten kunnat peka på något konkret behov av behandlingen.

Ärendet

Bakgrund

På begäran av AA kontrollerade Säkerhets- och integritetsskyddsnämnden (SIN) om Polismyndigheten eller Säkerhetspolisen hade behandlat uppgifter om honom på ett sätt som stred mot lag eller annan författning.

Vid SIN:s kontroll framkom att AA hade varit föremål för Polismyndighetens personuppgiftsbehandling och att uppgifter om AA hade behandlats utan att det varit nödvändigt med hänsyn till ändamålet med behandlingen. I en underrättelse den 17 oktober 2019 konstaterade SIN att personuppgiftsbehandlingen hade skett i strid med brottsdatalagen (2018:1177) och att denna omständighet skulle kunna medföra skadeståndsansvar för staten. SIN gjorde därför en anmälan till Justitiekanslern enligt 20 § andra stycket förordningen (2007:1141) med instruktion för Säkerhets- och integritetsskyddsnämnden.

Följande har framkommit om den aktuella personuppgiftsbehandlingen efter att Polismyndigheten yttrat sig först till SIN och därefter hit.

AA:s personuppgifter i form av namn och personnummer har behandlats inom ramen för kriminalunderrättelseverksamhet och varit tillgängliga för fler än ett fåtal inom Rikspolisstyrelsen och inom Polismyndigheten. Det har inte gått att få klarhet i när behandlingen påbörjades, dock har det framkommit att uppgifterna från och med någon gång i tiden före 2009 fanns i en databas rörande viss brottslighet. Uppgifterna om AA fördes i januari 2009 in i ett Exceldokument när ett nytt IT-stöd kom till hos kriminalunderrättelsetjänsten vid dåvarande Rikskriminalpolisen. I Exceldokumentet fanns personuppgifter av samma slag rörande ett stort antal andra människor. I samband med ytterligare ett byte till ett nytt IT-stöd flyttades Exceldokumentet den 10 maj 2013 till det nya IT-stödet och kopplades till uppgiftssamlingar rörande viss allvarlig brottslighet. Under 2017 flyttades personuppgifterna ytterligare en gång till nya uppgiftssamlingar, åter avseende allvarlig brottslighet. Behandlingen av AA:s personuppgifter upphörde delvis i mars 2019 och helt i maj 2019, då det aktuella Exceldokumentet togs bort i sin helhet.

Anspråket

Sedan AA beretts tillfälle att framställa ett anspråk mot staten har han yrkat ersättning för ideell skada med 1 500 000 kr.

Rättsliga utgångspunkter

Under den tid som AA:s personuppgifter har behandlats har flera olika lagar avseende Polismyndighetens personuppgiftsbehandling varit gällande: personuppgiftslagen (1998:204), 1998 års polisdatalag (1998:622), 2010 års polisdatalag (2010:361) samt slutligen brottsdatalagen (2018:1177) och lagen (2018:1693) om polisens behandling av personuppgifter inom brottsdatalagens område (PBDL). Fram till att Polismyndigheten bildades den 1 januari 2015 var Rikspolisstyrelsen personuppgiftsansvarig för den aktuella behandlingen, därefter Polismyndigheten (se numera 1 kap. 4 § PBDL). Polismyndigheten svarar för den skada som kan ha vållats av dess föregångare Rikspolisstyrelsen.

Enligt den numera upphävda 48 § personuppgiftslagen ska den personuppgiftsansvarige ersätta den registrerade för skada och kränkning av den personliga integriteten som en behandling av personuppgifter i strid med lagen har förorsakat. Skadeståndsansvaret enligt personuppgiftslagen är strikt. Den 1 augusti 2018 trädde brottsdatalagen (2018:1177) i kraft. Skadeståndsansvaret regleras numera i 7 kap. 1 § brottsdatalagen. Där framgår att ersättning ska lämnas för skada och kränkning av den personliga integriteten under samma förutsättningar som tidigare. Sedan den 1 januari 2019 finns även PBDL, som i 7 kap. 2 § hänvisar till 7 kap. 1 § brottsdatalagen vad gäller skadestånd för personuppgiftsbehandling i strid med PBDL.

Grundläggande krav på behandling av personuppgifter fanns tidigare i 9 § personuppgiftslagen och finns numera i 2 kap. brottsdatalagen. Enligt 9 § personuppgiftslagen skulle den personuppgiftsansvarige se till bl.a. att personuppgifter behandlades bara om det var lagligt, att personuppgifter alltid behandlades på ett korrekt sätt och i enlighet med god sed, att personuppgifter samlades in bara för särskilda, uttryckligt angivna och berättigade ändamål samt att personuppgifter inte behandlades för något ändamål som var oförenligt med det för vilket uppgifterna samlades in. När det gäller gallringstiden innehöll både 1998 och 2010 års polisdatalagar en särreglering i förhållande till 9 § personuppgiftslagen. Enligt 13 § i 1998 års polisdatalag skulle uppgifter som inte längre behövdes för sitt ändamål gallras och på motsvarande sätt gällde enligt 2 kap. 12 § i 2010 års polisdatalag att personuppgifter inte fick bevaras under längre tid än vad som behövdes för något eller några av de i lagen angivna ändamålen. Att uppgifter i enlighet med dessa regler gallras så fort det inte längre är nödvändigt att behandla dem brukar kallas behovsgallring. En motsvarande regel om behovsgallring finns även i 2 kap. 17 § brottsdatalagen.

Brottsdatalagen gäller i fråga om skadestånd med anledning av skadefall som inträffat efter den 1 augusti 2018, medan 48 § personuppgiftslagen tillämpas på skadefall som har inträffat dessförinnan. I detta fall aktualiseras båda lagarna.

Det har ännu inte utvecklats någon rättspraxis rörande nivån på ersättning som ska utgå enligt 7 kap. 1 § brottsdatalagen. Förarbetsuttalanden och rättspraxis som hänför sig till bestämmande av skadestånd enligt den upphävda 48 § personuppgiftslagen bör dock kunna vara vägledande vid prövning av rätten till ersättning enligt 7 kap. 1 § brottsdatalagen (prop. 2017/18:232 s. 343 f.).

Justitiekanslerns bedömning

Har det funnits ett behov att behandla AA:s personuppgifter?

Det är oklart när behandlingen av AA:s personuppgifter inom ramen för polisens kriminalunderrättelseverksamhet inleddes. Det får dock antas ha varit efter 1998, när personuppgiftslagen började gälla.

Enligt 14 § i 1998 års polisdatalag gällde inom kriminalunderrättelseverksamhet en särreglering i förhållande till personuppgiftslagen, vilken innebar att personuppgifter fick behandlas i sådan verksamhet endast om en särskild undersökning hade inletts under ledning av Rikspolisstyrelsen eller en polismyndighet och om det fanns anledning att anta att allvarlig brottslighet hade utövats eller kunde komma att utövas. En särskild undersökning var enligt 3 § en undersökning i kriminalunderrättelseverksamhet som innebar insamling, bearbetning och analys av uppgifter i syfte att ge underlag för beslut om förundersökning eller om särskilda åtgärder för att förebygga, förhindra eller upptäcka brott. Uppgifter om en enskild person som det inte fanns någon misstanke mot skulle i en särskild undersökning förses med en upplysning om detta förhållande. När Rikspolisstyrelsen eller en polismyndighet inledde en särskild undersökning skulle det ske genom ett beslut om behandling av personuppgifter som bl.a. skulle innehålla uppgifter om ändamålet med behandlingen (15 §). När den nya polisdatalagen infördes 2012 fortsatte de äldre reglerna om särskilda undersökningar enligt övergångsbestämmelserna att gälla intill utgången av 2014.

Efter att Exceldokumentet innehållande AA:s uppgifter i maj 2013 överfördes till nya uppgiftssamlingar upphörde övergångsbestämmelserna att vara tillämpliga och i stället gällde 2010 års polisdatalag för behandlingen av AA:s uppgifter. Där fanns en mer allmän formulering avseende behovet när det gällde kriminalunderrättelsetjänst. Personuppgifter fick enligt 2 kap. 7 § behandlas bl.a. om det behövdes för att förebygga, förhindra eller upptäcka brottslig verksamhet, dvs. om behovet förelåg inom ramen för kriminalunderrättelseverksamhet.

Slutligen gällde under tiden för personuppgiftsbehandlingen fr.o.m. den 1 augusti 2018 brottsdatalagens och PBDL:s reglering av behovet. Enligt 2 kap. 1 § i brottsdatalagen och 2 kap. 1 § PBDL får personuppgifter behandlas bl.a. om det är nödvändigt för att Polismyndigheten ska kunna utföra sin uppgift att förebygga, förhindra eller upptäcka brottslig verksamhet (dvs. en formulering som åter avser kriminalunderrättelseverksamhet). Med nödvändigt avses att personuppgiftsbehandlingen behövs för att Polismyndigheten ska kunna utföra en arbetsuppgift på ett effektivt sätt, i detta fall arbetsuppgiften att bedriva kriminalunderrättelseverksamhet (se Lindblom, Brottsdatalagen [2018:1177], 2 kap. 1 §, Karnov [JUNO] [besökt 2020-11-05]). Enligt brottsdatalagen gäller vidare att personuppgifter får behandlas bara för särskilda, uttryckligt angivna och berättigade ändamål (2 kap. 3 § första stycket). Om det ändamål för vilket personuppgifterna behandlas inte framgår av sammanhanget eller på annat sätt, ska det enligt andra stycket tydliggöras genom en särskild upplysning. Motsvarande regel som den sistnämnda fanns tidigare i 3 kap. 3 § i 2010 års polisdatalag.

Det är en självklar utgångspunkt att Polismyndigheten vid en granskning i efterhand närmare måste kunna ange och beskriva både behovet av en viss personuppgiftsbehandling och för vilket konkret ändamål behandlingen sker och har skett. Lika självklart är det att Polismyndigheten måste ha behovet klart för sig och bestämma ändamålen redan när personuppgifterna behandlas första gången. Av personuppgiftslagens och senare brottsdatalagens krav på att ändamålet ska vara särskilt följer att det måste vara tillräckligt preciserat för att det ska vara möjligt att avgöra om de personuppgifter som behandlas är relevanta för ändamålet med behandlingen. En alltför allmänt hållen ändamålsangivelse kan alltså inte godtas. Ändamålet får inte heller vara så vagt eller omfattande att en prövning av ändamålets rimlighet för en utomstående granskare i praktiken blir omöjlig. Ändamålet behöver i och för sig inte vara skriftligt nedtecknat, men både personuppgiftslagen och brottsdatalagen innehåller som nämnts ett krav på att det ska vara uttryckligt angivet, och den personuppgiftsansvarige är skyldig att uppge ändamålet om SIN begär det. Om personuppgifterna behandlas inom ramen för underrättelsearbete avseende viss brottslighet, är det en grundläggande förutsättning att det måste anges närmare vad det rör sig om för brottslighet. I kommentaren till brottsdatalagen nämns att det framför allt är i underrättelseverksamhet som det inte alltid framgår av omständigheterna för vilket ändamål personuppgifter behandlas och där det därför behöver tydliggöras genom en särskild upplysning. (Se i denna del Törngren, Personuppgiftslagen [1998:204], 9 § Karnov [JUNO] [besökt 2020-11-05], Lindblom, Brottsdatalagen [2018:1177], 2 kap. 3 §, Karnov [JUNO] [besökt 2020-11-05] och Sandén, Brottsdatalagen [30 sept. 2019, JUNO], kommentaren till 2 kap. 3 §.)

När det gäller hanteringen av detta ärende hos SIN och Justitiekanslern bör det betonas att Polismyndigheten inte kan åberopa någon sekretess i förhållande till någon av dessa myndigheter. Polismyndigheten är således skyldig att lämna fullständig information för att det ska vara möjligt att rätt bedöma behovet av registreringen och ändamålen (se 4 § lagen [2007:980] om tillsyn över viss brottsbekämpande verksamhet respektive 10 § lagen [1975:1339] om justitiekanslerns tillsyn). Om det vid olika tidpunkter har funnits underrättelser som talar för att AA hade någon viss koppling till de olika typer av brottslighet som avses med de olika uppgiftssamlingarna, hade det således varit högst relevant med information om innehållet i dessa underrättelser för att rätt kunna bedöma behovet. Polismyndigheten har dock inte kunnat nämna en enda sådan underrättelse, utan har i stället i allmänna ordalag angett att det är mycket vanligt att det under tiden som misstänkt brottslig verksamhet pågår tillkommer nya uppgifter avseende personers anknytning till den brottsliga verksamheten samt att detta får förutsättas ha skett i det aktuella fallet. Polismyndigheten har också påstått att detta skulle ha varit skälet till att uppgifterna fortsatte behandlas efter utgången av 2018. Myndigheten har emellertid samtidigt medgett att det inte varit möjligt att närmare bedöma vilka skälen varit att förlänga tidsfristen och därmed även medgett att gallring skett för sent. Vid bedömningen av behovet av registreringen måste utgångspunkten vara att det inte funnits några underrättelser, eftersom Polismyndigheten inte har kunnat nämna några sådana.

Av Polismyndighetens remissvar till SIN och till Justitiekanslern framgår att de personuppgifter som behandlats avseende AA har varit desamma sedan de fördes in i det aktuella Excelarket. Några nya uppgifter direkt knutna till AA har alltså, åtminstone såvitt beskrivits av Polismyndigheten, inte tillförts under hela den tid som personuppgiftsbehandlingen pågått. Det enda som hänt är att Exceldokumentet flyttats runt i polisens handläggningssystem och länkats till olika typer av uppgiftssamlingar och därmed till olika typer av brottslighet. Vilket det ursprungliga behovet av behandlingen varit och vilka ursprungliga ändamål som föranlett registreringen har Polismyndigheten inte alls kunnat svara på. Såväl yttrandet till SIN som yttrandet till Justitiekanslern innehåller förutom den kursiverade formulering som nämnts i föregående stycke flera liknande svepande formuleringar av typen att det är sannolikt att Polismyndigheten bedömde att AA:s uppgifter kunde antas ha samband med misstänkt brottslig verksamhet av visst slag samt att det får förutsättas att ett behov förelåg för behandlingen.

Det kan visserligen vara så att ändamålet i många situationer kan framgå redan av att uppgifterna finns i ett särskilt register eller i en viss uppgiftssamling som skapats för ett visst ändamål (jfr Sandén, Brottsdatalagen [2019-09-30], kommentaren till 2 kap. 3 §). Att en uppgiftssamling inom kriminalunderrättelsetjänsten avser viss brottslighet med en ganska allmänt formulerad beskrivning kan dock inte vara tillräckligt för att det närmare ändamålet ska vara klarlagt för alla personuppgifter i samlingen och än mindre säger det något om behovet i varje enskilt fall. Behovet av respektive personuppgiftsbehandling och ändamålet med den måste konkretiseras betydligt mer än så. Det framgår inte heller på något sätt vilket skäl Polismyndigheten haft att under årens lopp koppla AA:s uppgifter till fler och fler uppgiftssamlingar och dessutom uppgiftssamlingar avseende annan brottslighet än den som uppgifterna var kopplade till genom namnet på den ursprungliga databasen.

Polismyndigheten har inte ens med säkerhet kunnat ange om AA:s personuppgifter från början fanns i en särskild undersökning, utan bara anfört att detta är mycket sannolikt. Än mindre har Polismyndigheten klarlagt om AA:s uppgifter åtföljdes av en sådan upplysning som i en särskild undersökning skulle finnas avseende personer som inte var misstänkta för brott eller om han vid den tidpunkten i stället var misstänkt för brott, och i sådant fall hur länge en sådan misstanke kvarstod eller vad som hände med misstanken.

Behovet av det aktuella Exceldokumentet kan ifrågasättas, särskilt med hänsyn till att Polismyndigheten i samband med SIN:s granskning gallrade hela dokumentet. Ett fortsatt behov ansågs således saknas inte bara avseende AA:s personuppgifter, utan även i fråga om ett stort antal andra personer, vars personuppgifter också fanns i dokumentet. Det framstår som anmärkningsvärt att behovet av registrering av samtliga uppgifter skulle ha upphört just vid denna tidpunkt. Förfarandet talar i stället för att Polismyndigheten under lång tid underlåtit att pröva frågan om en eventuell behovsgallring av personuppgifterna i dokumentet.

Det nu anförda innebär att det framstår som mycket tveksamt om Polismyndigheten kan sägas ha påvisat något behov av att behandla AA:s personuppgifter. Något beslut om en särskild undersökning med uppgifter om ändamålet med behandlingen har Polismyndigheten inte kunnat uppvisa, och det framstår som mycket oklart när en sådan undersökning där AA:s uppgifter behandlades i så fall inleddes. Inom ramen för en särskild undersökning gällde dessutom som utgångspunkt en snäv gallringstid. Enligt 16 § i 1998 års polisdatalag skulle uppgifterna i en särskild undersökning således gallras senast ett år efter det att beslutet om behandlingen av personuppgifter fattades. Om det var av särskild betydelse för att den särskilda undersökningen skulle kunna avslutas fick dock uppgifterna behandlas under längre tid. Polismyndigheten har inte förklarat varför det skulle ha varit av särskild betydelse att inte gallra AA:s uppgifter inom ett år (dvs. inom ett år från den okända tidpunkt då behandlingen och den särskilda undersökningen inleddes).

Med hänsyn till den mycket begränsade information som Polismyndigheten kunnat lämna om personuppgiftsbehandlingen finner Justitiekanslern att utgångspunkten måste vara att det saknades ett tillräckligt behov av personuppgiftsbehandlingen redan vid den första tidpunkt som Polismyndigheten med någon säkerhet kunnat fastställa att behandling förekom, dvs. i januari 2009. Det har inte framkommit att någon information efter denna tidpunkt skulle ha tillkommit som gjort att ett behov senare uppkommit. Personuppgiftsbehandlingen har således skett utan att det varit nödvändigt och därmed i strid med lag från och med åtminstone januari 2009 och fram till att behandlingen upphörde i maj 2019.

Vilken skada har AA lidit av den felaktiga personuppgiftsbehandlingen?

För skadeståndsanspråk gäller enligt 2 § första stycket preskriptionslagen (1981:130) en preskriptionstid på tio år. AA vände sig till SIN den 16 november 2018, vilket får anses vara en preskriptionsbrytande åtgärd. Hans anspråk är således preskriberat endast i den del som rör tiden före den 16 november 2008. Det har inte gått att utreda när personuppgiftsbehandlingen inleddes och det kan därför inte med säkerhet sägas att personuppgiftsbehandlingen alls pågick redan i november 2008. Skadeståndet bör därför begränsas till perioden från januari 2009 till maj 2019. Skador som uppkommit på grund av personuppgiftsbehandlingen under denna period är inte till någon del preskriberade.

Ersättning för kränkning ska uppskattas efter skälighet mot bakgrund av samtliga omständigheter i det enskilda fallet. Det som kan ha betydelse är bl.a. att personuppgifter spridits eller att det funnits risk för otillbörlig spridning av integritetskänsliga eller felaktiga personuppgifter. En annan omständighet kan vara att den registrerade drabbats av beslut eller andra åtgärder som fått eller kunnat få negativa konsekvenser för honom eller henne.

Syftet med kränkningsersättning vid felaktig personuppgiftsbehandling är att ersättningen ska ge upprättelse och kompensera för känslor av obehag hos den skadelidande. Ersättningen ska bestämmas utifrån en bedömning av vilken kränkning som typiskt sett får anses ha uppkommit. Högsta domsto-len har slagit fast att ett sådant betraktelsesätt i stor utsträckning leder till bruk av schabloner, vilket bl.a. underlättar skaderegleringen till fördel för den skadelidande (se NJA 2013 s. 1046). Ersättning för kränkningar som är att bedöma som mindre allvarliga, om än inte helt obetydliga, bör normalt bestämmas till ett schablonbelopp på 3 000 kr.

De uppgiftssamlingar där AA:s uppgifter förekommit avser allvarlig brottslighet, vilket innebär att en felregistrering sällan eller aldrig kan bedömas som obetydlig. Uppgifter om namn och personnummer är visserligen inte känsliga i sig, men i och med att behandlingen skett i flera olika uppgiftssamlingar avseende olika typer av allvarlig brottslighet blir det ändå fråga om en väldigt känslig behandling, innefattande uppgifter om att personen har någon form av koppling till sådan brottslighet. Eftersom Polismyndigheten inte kunnat påvisa något behov eller nämna några underrättelser med koppling till AA måste utgångspunkten vid skadeståndsbedömningen också vara att det varit felaktigt att koppla AA till allvarlig brottslighet. Polismyndigheten har inte heller klargjort att AA haft en markering såsom inte misstänkt i den påstådda, särskilda undersökningen. Utgångspunkten måste mot den bakgrunden vara att han åtminstone någon del av tiden utan grund har behandlats som misstänkt för brottslighet. Kränkningen blir särskilt allvarlig genom att personuppgiftsbehandlingen pågått i över tio års tid utan att vara förenlig med personuppgiftslagstiftningen. Uppgifterna var gemensamt tillgängliga för en relativt stor krets personer, först inom Rikspolisstyrelsen och därefter inom Polismyndigheten. Dessutom flyttades uppgifterna flera gånger aktivt mellan olika uppgiftssamlingar. Det finns visserligen ingen utredning som visar att uppgifterna fått någon större, faktisk spridning inom myndigheterna. Kränkningen ökas dock något av att Polismyndigheten efter att SIN ställt frågor om behandlingen inte omedelbart gallrade uppgifterna, utan i stället dröjde en inte obetydlig tid med att gallra uppgifterna från alla uppgiftssamlingar.

Med beaktande av omständigheterna i det aktuella fallet och den praxis som finns i ärenden av detta slag, finner Justitiekanslern att kränkningsersätt-ningen till AA bör bestämmas till 20 000 kr.

Tillsyn

Polismyndigheten har i sina remissvar både i ärendet hos SIN och här ansett att det är tillräckligt att det i efterhand kan förutsättas ha funnits ett behov eller att det räcker att efteråt kunna anta att ett behov funnits för att rättfärdiga en personuppgiftsbehandling inom ramen för kriminalunderrättelsearbete avseende allvarlig brottslighet. Denna inställning ser jag som bekymmersam. Det är oroande att Polismyndigheten inte förefaller se det högst problematiska i att myndigheten inte kunnat peka på något konkret behov för personuppgiftsbehandlingen.

De enda medgivanden Polismyndigheten har gjort i ärendet här är dels att uppgifterna har gallrats något för sent avseende en viss del av behandlingen, dels att det varit olämpligt med en så stor samling av personuppgifter i ett samlat dokument. Myndighetens inställning avseende gallringen bygger på att någon behovsgallring aldrig skulle ha varit aktuell samt på att en ny gallringsfrist skulle ha börjat löpa när myndigheten flyttade dokumentet i sina handläggningssystem 2013 och knöt det till nya uppgiftssamlingar. Nya rättsliga grunder skulle därmed ha uppkommit för behandlingen, nya närmare angivna ändamål skulle ha börjat gälla och nya gallringsfrister skulle ha börjat löpa. Det problematiska med detta resonemang är dock att Polismyndigheten inte på något sätt kunnat förklara varför det var nödvändigt att koppla dokumentet till nya uppgiftssamlingar. Det framgår således över huvud taget inte varför AA:s personuppgifter just i samband med att systemen ändrats (vilket också i tiden sammanföll med att ny lagstiftning skulle börja gälla) bedömts ha samband med andra typer av brottslighet än tidigare. Det ligger nära till hands att anta att AA:s namn och personnummer har ingått i en stor samling av personuppgifter som flyttats runt och knutits till olika uppgiftsamlingar avseende allvarlig brottslighet, utan att någon gjort en närmare analys av behovet. Mycket talar enligt min mening för att någon egentlig behovsprövning i AA:s fall inte gjorts sedan någon gång i tiden före 2009 (om någon behovsprövning skett dessförinnan går inte att bedöma på det föreliggande materialet, men jag får hoppas att en sådan skett).

Omständigheterna vid tillskapandet av Exceldokumentet i januari 2009 ger vid handen att det inte heller då gjordes någon behovsprövning. Dokumentet synes ha utgjort en ren tömning av personuppgifter ur ett tidigare datasystem. Detta är i linje med vad Polismyndigheten har angett i detta avseende, nämligen att dokumentet skapades av tekniska skäl vid bytet av underrättelsesystem för att befintliga underrättelser och kunskap inte skulle gå förlorade.

Det råder inget tvivel om att det är mycket olämpligt att upprätta ett dokument med ett stort antal personuppgifter där det inte av dokumentet går att utläsa vare sig i vilket sammanhang personuppgifterna har sammanställts eller syftet med sammanställningen. Tankarna går snarast till Exceldokumentet som innehöll det s.k. Kringresanderegistret. Polismyndigheten har dock påpekat att dokumentet avviker både när det gäller utseende och hur personuppgifter normalt behandlas inom myndigheten. Detta låter i och för sig betryggande. Jag förutsätter att det inte finns ytterligare dokument och att sådana fortsättningsvis inte kommer att upprättas.

Polismyndigheten förtjänar allvarlig kritik för att uppgifter avseende AA har behandlats inom ramen för kriminalunderrättelseverksamhet avseende allvarlig brottslighet under över tio års tid utan att myndigheten kunnat peka på något konkret behov av behandlingen.

Jag har för avsikt att vid något tillfälle framöver särskilt följa upp Polismyndighetens personuppgiftsbehandling inom ramen för kriminalunderrättelseverksamheten, antingen i samband med att något ärende som överlämnas från SIN ger anledning till detta eller genom egna tillsynsåtgärder.