IT-forensiska utredningar, sekretess och GDPR
Frågeställningen i detta inlägg är vilka förändringar som den nya dataskyddsförordningen (som ersätter personuppgiftslagen) kan komma att medföra för hur känsliga personuppgifter hanteras inom IT-relaterade utredningar. Utgångspunkten för dataskyddsförordningen är förenklat att enbart sådan behandling av personuppgifter får äga rum som är nödvändig, har stöd av lagstiftning och regelverk och som framstår som relevant och berättigad i ett visst sammanhang. Vidare får känsliga personuppgifter inte lagras längre än nödvändigt.
Mindre utredningsföretag behöver inte ha en egen kontaktperson gentemot datainspektionen eller en publik policy för hantering av känsliga personuppgifter. Om en utredning startas så ärver man i någon mening uppdragsgivarens policy samtidigt som man måste hantera även de krav som ställs i ett utredningssammanhang. Men man kan samtidigt ställas till svars för sin hantering av känsliga personuppgifter gentemot dataskyddsförordningen i och med att denna förordning ger de personer som berörs flera generella rättigheter.
De krav som redan ställs på utredningar är i många avseenden strängare och mer specifika än vad GDPR och därtill kopplad nationell lagstiftning kan ställa. Men några av de rättsfall som redan kan kopplas till GDPR ger anledning till mer eftertanke.
Under en utredning hanteras normalt personuppgifter av olika slag. Rådata i form av dataloggar eller i ännu högre grad information lagrad på datamedia, datorer eller annan utrustning kan innehålla mycket känslig information, exempelvis kommunikation med andra personer, kontaktuppgifter eller medicinsk information. Intervjuer med anställda kan innehålla ytterligare känslig information, i synnerlighet om personen själv misstänks för en oegentlighet eller om personen lämnar uppgifter om vad han tror har hänt och vilka som kan ha orsakat händelsen. Slutligen kan rapporter inklusive slutrapport, delrapporter i form av intervjureferat och tekniska utredningar innehålla känslig information som givetvis kan påverka berörda personer.
Grundläggande för en utredning är att information hela tiden utbyts mellan uppdragsgivare och utredare medan de som är föremål för en utredning, antingen som misstänkta eller som vittnen inte alls ska ha samma tillgång till information. Kraven på sekretess är höga under själva utredningen och även efteråt. Det är också uppdragsgivaren som bestämmer vad som ska hända efter utredningen och vad som ska kommuniceras utåt.
Vad kan då den dataskyddsförordningen ändra på i dessa avseenden? Några tidiga rättsfall utanför Sverige har berört vilken rätt personer har till status på en utredning som berör dem och vilken information som fortfarande finns lagrad om dem. Andra rättsfall har berört vilka tekniska metoder som får användas i utredningar.
I det första fallet hade ett företag som bedrev utredningar nekat att besvara frågor om vilka känsliga personuppgifter de eventuellt hade om en person. I det andra fallet hade ett företag använt teknisk avlyssning utan att någon rimlig grund för åtgärden.
Det första fallet är principiellt intressant. Om man bedriver utredningar så behöver man i vart fall ha en mall för hur en fråga besvaras med hänvisning till egna regelverk, aktuella krav på sekretess och uppdragsgivarens regelverk. I händelse att en anmälan sedan görs om misstänkt brott så behöver man kunna uppvisa för tillsynsmyndigheten alla noteringar i ärendet, exempelvis vilka rådata som mottagits, hur dessa hanterats, när rådata återlämnats eller förstörts och när arbetskopior förstörts, vilka rapporter som överlämnats till uppdragsgivaren och när egna arkivkopior på rapporter förstörts. Normala rutiner ska vara att information och rapporter förstörs när alla juridiska tidsfrister löpt ut, dvs när överklaganden eller skadeståndskrav inte längre kan ställas från någon part i ärendet. Själva arkivmappen med innehållsförteckning och datum ska inte innehålla några känsliga personuppgifter och kan alltså sparas betydligt längre tid. Man ska också notera att ett utredningsföretag till skillnad från ett vanligt företag inte kan besvara frågan om en viss person är eller har varit föremål för en utredning.
Detta innebär att en person som vänder sig direkt till ett utredningsföretag med en fråga och anger sitt namn, en specifik händelse eller en tidsperiod och en uppdragsgivare (tex sin egen arbetsgivare, sitt försäkringsbolag eller en myndighet) i normalfallet bara kommer att få veta utredningsföretagets rutiner och samtidigt få en hänvisning tillbaka till den aktuella uppdragsgivaren som äger ärendet och har rätten att besvara frågor. Denna kan i sin tur kontakta utredningsföretaget för att försäkra sig att alla rutiner följts eller kontrollera att information återlämnats eller förstörts.
Det andra fallet är också intressant. Även om det aldrig varit tillåtet att bedriva godtyckliga utredningsåtgärder som är integritetskränkande så innebär dataskyddsförordningen att det finns ett övergripande ramverk att förhålla sig till och en utsedd tillsynsmyndighet. I ett aktuellt fall hade ett företag installerat en tangentbordssniffer efter att en anställd vid ett enstaka tillfälle vägrat att visa vad han höll på att arbeta med på sin dator. Åtgärden bedömdes som oproportionerlig i förhållande till den eventuella risk som företaget var utsatt för och genomfördes utan analys av vilka åtgärder som borde ha övervägts.
En ytterligare aspekt är vilken information som lämnas i utredningsrapporter, behöver verkligen all känslig information vara med och vilken information ska lämnas i exempelvis olika delrapporter? Om en utredning resulterar i en arbetsrättslig tvist så är risken stor att en rapport kommer att delges en motpart och man riskerar då att känslig information om målsägare och personer som hörts kommer att lämnas ut till den misstänkte. Ansvaret för att känslig information sprids kan i ett sådant fall kunna komma att delas mellan utredningsföretaget och uppdragsgivaren.
En bärande tanke i dataskyddsförordningen är att all behandling av personuppgifter ska ha någon form av lagstöd. Det kan därför vara viktigt för ett utredningsföretag att veta vilka lagar eller regelverk som faktiskt tillåter vissa utredningar, vilka hänsyn som måste tas mot den personliga integriteten och hur länge information får behandlas eller lagras. Vissa utredningar måste också av naturliga fall få göras utan de inblandades samtycke. Det är därför viktigt att veta när samtycke krävs och vilka åtgärder som inte får utföras med enbart samtycke som grund. I dessa fall krävs oftast även ett berättigat intresse från uppdragsgivarens sida.
Förhoppningsvis kommer GDPR att skapa mer ordning i de utredningar som bedrivs och minska riskerna att personuppgifter förvaras på ett osäkert sätt, sprids utanför det uppdrag som föranledde en utredning eller på något sätt dyker upp i andra sammanhang.