Personuppgifter

Detta innebär i praktiken att personuppgifter, i någon form (direkt eller indirekt), kommer att behöva loggas. En personuppgift avser nämligen varje upplysning som avser en identifierad eller identifierbar fysisk person (även kallad registrerad), det vill säga en person som direkt eller indirekt kan identifieras särskilt med hänvisning till en identifierare (till exempel ett namn eller identifikationsnummer). Med andra ord, all slags information som direkt eller indirekt kan knytas till en person som är i livet.

Även om uppgifterna i en loggfil vid en första anblick kanske inte verkar vara en personuppgift (till exempel en tidsuppgift) så kan det sällan uteslutas, eftersom även indirekta personuppgifter omfattas, vilket innebär att om det med hjälp av någon annan kompletterande information (som till exempel ett arbetsschema) går att identifiera en person, så är uppgiften ifråga en personuppgift.

Mot bakgrund av detta utgör loggning ofta personuppgiftsbehandling. Det innebär att verksamheten måste beakta kraven i dataskyddslagstiftningen, vilket generellt sett avser dataskyddsförordningen ((EU) 2016/679, ”GDPR”), dataskyddslagen (2018:218) och registerförfattningar. För det fall det är fråga om brottsbekämpning ska även dataskyddsdirektivet för brottsbekämpning ((EU)

2016/680), brottsdatalagen (2018:1177) och särskilda registerförfattningar beaktas (till exempel lag (2018:1693) om polisens behandling av personuppgifter inom brottsdatalagens område).

Nedan sammanfattas grundläggande riktlinjer i förhållande till lagstadgade krav för personuppgiftsbehandling i samband med loggning som sker hos myndigheter eller andra offentliga aktörer.

Verksamheten ska säkerställa att:

Behandlingen av personuppgifter i verksamhetens loggar uppfyller kraven i för verksamheten tillämplig dataskyddslagstiftning

Kommentar: Avser den allmänna dataskyddsförordningen ((EU) 2016/679), dataskyddslagen (2018:218) och för verksamheten tillämpliga registerförfattningar. För det fall det är fråga om brottsbekämpning ska även dataskyddsdirektivet för brottsbekämpning ((EU) 2016/680), brottsdatalagen (2018:1177) och särskilda registerförfattningar beaktas.

Loggningen av personuppgifter utförs med särskilda, uttryckligt angivna och berättigade ändamål;

Kommentar: Kallas även principen om ändamålsbegränsning. En personuppgift får inte loggas bara för att den kan ”vara bra att ha”, utan det måste finnas en tydligt och särskilt angiven anledning till att uppgiften samlas in och sparas (till exempel för behörighetskontroll) och den anledningen måste vara berättigad (till exempel vara kopplad till myndighetens uppdrag), och ska vara bestämd innan behandlingen påbörjas. Se artikel 5.1 b) dataskyddsförordningen.

Att personuppgifterna i myndighetens loggar inte senare behandlas på ett sätt som inte är förenligt med det ursprungliga ändamålet för loggningen;

Kommentar: Kallas även finalitetsprincipen och innebär att man inte får behandla uppgiften för något annat ändamål än det som bestämdes när uppgiften samlades in. Notera att det finns undantag från principen, för bland annat ytterligare behandling för arkivändamål av allmänt intresse. Se artikel 5.1 b) dataskyddsförordningen.

Mängden personuppgifter i myndighetens loggar minimeras, dvs. att uppgifterna är adekvata, relevanta och inte för omfattande i förhållande till de ändamål som uppgifterna samlades in för;

Kommentar: Principen om uppgiftsminimering. En myndighet ska bara logga de särskilda uppgifter som faktiskt behövs för att myndigheten ska kunna utföra sitt uppdrag. Personuppgifterna ska t.ex. inte vara tillgängliga för någon annan än de anställda som faktiskt behöver uppgifterna för att utföra sina arbetsuppgifter. Tänk på att färdiga system kan ha förinställda loggningsinställningar som kan behöva ändras. Detta innebär i praktiken att den aktuella aktörens IT-verksamhet måste vara inläst på vilken loggning som faktiskt sker i de olika systemen och hur den kan förändras/styras. Se artikel 5.1 c) dataskyddsförordningen.

Personuppgifterna förvaras i en form som inte möjliggör att en individ/registrerad kan identifieras under en längre tid än vad som är nödvändigt för de ursprungliga ändamålen;

Kommentar: Kallas även principen om lagringsminimering. Notera dock att gallring typiskt sett kräver lagstöd, se vidare reglerna för bevarande och gallring i avsnitt Fel: Det gick inte att hitta referenskällan nedan. Notera även att det finns undantag från principen om lagringsminimering för bland annat behandling som sker för arkivändamål av allmänt intresse (under förutsättning att de lämpliga tekniska och organisatoriska åtgärder vidtas). Tänk på att färdiga system kan ha förinställda inställningar för gallring (till exempel ”log retention”/” log rotation”) som kan behöva ändras, så att de stämmer överens med det faktiska ändamålet med loggningen. Se artikel 5.1 e) dataskyddsförordningen.

Lämpliga tekniska och organisatoriska åtgärder vidtagits för personuppgifterna, så att verksamheten säkerställer en säkerhetsnivå som är lämplig i förhållande till risken för de registrerades rättigheter och friheter;

Kommentar: Avser skydd mot obehörig eller otillåten behandling och mot förlust, förstöring eller skada genom olyckshändelse. Tekniska åtgärder kan till exempel vara autentisering, behörighetsstyrning, säkerhetskopiering kryptering, pseudonymisering. Organisatoriska åtgärder kan exempelvis vara rutiner, styrdokument och fysiska säkerhetsåtgärder. Eftersom uppgifterna till exempel inte ska vara tillgängligt för någon annan, än de anställda som faktiskt behöver uppgifterna för att utföra sina arbetsuppgifter, är behörighetsstyrning en särskilt viktig åtgärd i sammanhanget. En annan viktig åtgärd är att logga till ett annat system, till exempel en särskild säkerhetsmiljö, för att försvåra en angripares möjlighet att dölja sina spår efter ett angrepp. Se bl.a. artiklarna 5.1 f) och 32 dataskyddsförordningen.

Personnummer inte används slentrianmässigt i loggarna och att ett eventuellt beslut om att ändå använda sådana uppgifter motiveras och dokumenteras;

Kommentar: Personnummer får endast användas (utan samtycke från den registrerade) när det är klart motiverat med hänsyn till ändamålet med loggningen, vikten av en säker identifiering eller något annat beaktansvärt skäl (jfr 3 kap. 10 § i dataskyddslagen). Gäller även samordningsnummer.

”Känsliga personuppgifter” eller personuppgifter om lagöverträdelser, inte används/registreras i loggarna om det inte är nödvändigt för verksamhetens uppdrag som offentlig aktör och det finns en laglig grund för att behandla uppgifterna;

Kommentar: ”Känsliga personuppgifter” avser uppgifter om etniskt ursprung, politiska åsikter, religiös eller filosofisk övertygelse, medlemskap i en fackförening, hälsa, en persons sexualliv eller sexuella läggning, genetiska uppgifter, biometriska uppgifter som används för att entydigt identifiera en person (kallas i dataskyddsförordningen för ”särskilda kategorier av personuppgifter”). Tänk på att en uppgift som vid första anblick inte verkar vara en känslig personuppgift, kan bli det pga. det sammanhang som den förekommer i. Exempelvis kan ett namn som förekommer i en logg för ett system anses vara en hälsouppgift, om systemet i fråga bara hanterar patienter som genomgår viss behandling. Tänk även på att detta kan bli en konsekvens av att lagring/sammanställning av flera loggar sker i ett centralt loggsystem, vilket i sin tur kan medföra att säkerhetsåtgärder som vidtagits för att skydda uppgifterna blir verkningslösa. Exempelvis när en logg med personnummer och pseudokod (vars syfte är att logga vem som har skapat pseudokoden och när) lagras i samma loggsystem som en annan logg där samma pseudokod används för bokning av tid hos psykiatriker. Se artikel 9 dataskyddsförordningen. Även uppgifter som rör lagöverträdelser, har ett starkt skydd enligt artikel 10, och får som huvudregel behandlas av myndigheter, om det är nödvändigt för myndighetens uppdrag och det finns en rättslig grund för att behandla uppgifterna.

Det finns en laglig grund för att behandla personuppgifterna i loggen;

Kommentar: Det betyder att verksamheten måste kunna motivera varför den får behandla en viss personuppgift. Vanligtvis följer det från någon form av lagstiftning och/eller en myndighets registerförfattning, men det är inte alltid det framgår direkt i lagtexten vad som får loggas. Det är den personuppgiftsansvarige (enkelt uttryckt, den myndighet/offentliga aktören som bestämmer varför och hur uppgifterna i loggen ska behandlas/samlas in) som ska bedöma huruvida det finns sådan laglig grund för att behandla personuppgiften, i varje enskilt fall. För ”vanliga” uppgifter kan det exempelvis vara fallet om den aktuella behandlingen är nödvändig för att utföra en uppgift av allmänt intresse eller som ett led i myndighetens myndighetsutövning (enligt artikel 6.1 e dataskyddsförordningen). Detta gäller om behandlingen är nödvändig (1) för att utföra en uppgift av allmänt intresse som följer av lag eller annan författning, av kollektivavtal eller av beslut som har meddelats med stöd av lag eller annan författning, eller (2) som ett led i den personuppgiftsansvariges myndighetsutövning enligt lag eller annan författning (2 kap. 2 § dataskyddslagen). Notera att begreppet nödvändig inte innebär att det ska vara ”omöjligt” för myndigheten att utföra sin uppgift utan personuppgifter, men det ska leda till någon form av effektivitetsvinst, så om en arbetsuppgift kan utföras nästan lika enkelt och billigt utan att personuppgifter behandlas så anses det typiskt sett inte vara nödvändigt. Notera även att eventuell loggning av ”känsliga personuppgifter” kräver särskild laglig grund, enligt artikel 9.2 dataskyddsförordningen och att särskilda förutsättningar gäller för ”personuppgifter om lagöverträdelser” enligt artikel 10.

De registrerade/individer vars personuppgifter behandlas i loggarna informeras om hur deras personuppgifter hanteras;

Kommentar: Tänk på att ”registrerade” i termer av loggning, typiskt sett omfattar både anställda inom verksamheten och externa användare av verksamhetens tjänster. Vanligtvis informeras de registrerade genom verksamhetens (interna, respektive externa) dataskyddspolicy.

De bedömningar som gjorts för behandlingen dokumenteras.

Kommentar: Verksamheten ska ha ett register över sina behandlingar av personuppgifter, i enlighet med artikel 30 dataskyddsförordningen. Varje logg utgör en egen typ av behandling och de bedömningar som gjort i förhållande till dessa behandlingar ska dokumenteras i registret.