Tillsyn enligt personuppgiftslagen (1998:204) registrering av kunduppgifter samt klagomåls- och reklamationshantering

Transkript

1 Beslut Dnr Ticket Travel Group AB Värmdövägen Nacka Tillsyn enligt personuppgiftslagen (1998:204) registrering av kunduppgifter samt klagomåls- och reklamationshantering Datainspektionens beslut Ärendet avslutas. Redogörelse för tillsynsärendet Datainspektionen har under året arbetat med ett tillsynsprojekt med syfte att kontrollera hur resebolag registrerar uppgifter om sina paketresekunder, särskilt uppgifter om reklamationer och klagomål. Som ett led i tillsynsprojektet genomförde Datainspektionen en inspektion hos Ticket Travel Group AB (Ticket) den 10 juni Vid inspektionen framkom bl.a. följande: Ticket har ingen egen produktion av resor utan agerar som agent för olika reseproducenter. Ticket är agent för fem charterbolag. Resor säljs via butik, webb och per telefon. Kund-, boknings- och ekonomiregister Ticket registrerar kunduppgifter på två sätt dels i kundregistret SA- LES dels direkt i reseproducentens eget bokningssystem. I SALES registreras namn, personnummer (ej obligatoriskt), adress, e-post, telefonnummer samt om kunden samtyckt till att reklam skickas. Tickets huvudändamål med att behandla uppgifter om kunder i bokningsregistret är kundadministration dvs. för att kunna fullfölja avtalet med kunden. Därtill används uppgifterna för marknadsföring, statistik (t.ex. Populäraste resmålet ), och försäljningsuppföljning. Ticket sparar kunders personuppgifter i tre år i SALES. Bolaget har dock kvar uppgifterna i tio år, men då är de inte åtkomliga för resesäl- Postadress: Box 8114, STOCKHOLM E-post: datainspektionen@datainspektionen.se Besöksadress: Fleminggatan 14, plan 9 Telefon: Webbplats: Telefax:

2 2 (5) jarna. Bokföringslagen kräver att bolaget bevarar uppgifterna under denna tid. Ticket registrerar inte reklamationer och klagomål. Dessa skickas direkt till reseproducenten. Den som har klagomål får hjälp med att kontakta reseproducenten. Skriftligt underlag krävs för att klagomålet ska kunna skickas vidare. Vid bokning av resa via Tickets hemsida lämnas information om personuppgiftslagen. Samma information lämnas i de allmänna villkoren i Tickets katalog. Ticket har sin IT-drift utlagd till TietoEnator i Älvsjö. Det finns inget personuppgiftsbiträdesavtal med detta företag. I skrivelse den 13 juni 2008 till Datainspektionen har Ticket kompletterat med bl.a. följande uppgifter. Kundinformationen finns sparad för aktiva kunder så länge som man är en aktiv kund. Informationen avseende kunden raderas efter tre år efter kundens senaste kontakt, förutsatt att kunden ifråga är passiv. En resa kan inte beställas från leverantör, t.ex. flygbolag, hotell, charterresor, utan resenärsinformation. Det innebär att resenärsinformationen är en förutsättning för affärshändelsens uppkomst och spårbarhet. Resenärsinformationen är därför en väsentlig del av informationen på våra verifikationer avseende resor. Enligt bokföringslagen måste verifikationer sparas i tio år. Skäl för beslutet Vilka regler är tillämpliga? Personuppgiftslagen gäller i första hand sådan behandling av personuppgifter som är automatiserad. Det framgår av 5 personuppgiftslagen. Med personuppgifter avses enligt 3 personuppgiftslagen all slags information som direkt eller indirekt kan hänföras till en person som är i livet. Ticket behandlar uppgifter om kunder i elektroniska system. Materialet är strukturerat, enligt 5 a personuppgiftslagen, på ett sådant sätt att de s.k. hanteringsreglerna i personuppgiftslagen är tillämpliga på behandlingen. Allmänt om behandling av personuppgifter I personuppgiftslagen finns grundläggande krav som gäller för behandling av personuppgifter. I 9 första stycket personuppgiftslagen anges bl.a. att den personuppgiftsansvarige ska se till att personuppgifter endast samlas in för särskilda uttryckligt angivna och berättigade ändamål. Uppgifterna får därefter inte behandlas för något ändamål som är oförenligt för de ändamål som de samlades in för. Den personuppgiftsansvarige får inte heller behandla fler personuppgifter än vad som är nödvändigt med hänsyn till ändamålet. Den personuppgiftsansvarige ska se till att de personuppgifter som behandlas är adekvata och rele-

3 3 (5) vanta i förhållande till ändamålet med behandlingen samt att de personuppgifter som behandlas är riktiga. I bestämmelsens andra stycke anges att en behandling av personuppgifter för statistiska ändamål inte ska anses som oförenligt för med de ändamål som uppgifterna samlades in. I 10 personuppgiftslagen regleras under vilka förutsättningar det är tillåtet att behandla personuppgifter. Utgångspunkten är att behandling är tillåten endast om den registrerade har lämnat sitt samtycke. Från den regeln finns omfattande undantag. Det anges bland annat att personuppgifter får behandlas om behandlingen är nödvändig för att ett avtal med den registrerade ska kunna fullgöras. Om behandlingen avser känsliga personuppgifter, personnummer, uppgifter om lagöverträdelser finns ytterligare begränsningar i personuppgiftslagen. Särskilt om behandling av personuppgifter i kundregister I sitt kundregister behandlar Ticket uppgifter om kundens för- och efternamn, personnummer (ej obligatoriskt) adress, telefonnummer, e-postadress, information om bokade och avslutade resor samt uppgift om kunden samtyckt till reklam antingen via e-post eller vanligt brev. Uppgifterna behandlas för ändamålen kundadministration, marknadsföring, statistik samt försäljningsuppföljning. Datainspektionen väljer att särskilt ta upp Tickets gallring av kunduppgifter ur kundregistret. I övrigt har Datainspektionen inga synpunkter på hur Ticket behandlar kunduppgifter. Ett av de grundläggande kraven som ställs på behandling av personuppgifter är att den personuppgiftsansvarige ska se till att personuppgifter inte bevaras under längre tid än vad som är nödvändigt för ändamålet. Det framgår av 9 första stycket punkten i personuppgiftslagen. Därefter ska uppgifterna gallras, dvs. avidentifieras eller förstöras på ett sådant sätt att de inte går att återskapa. Om det finns bestämmelser om bevarande i annan lag eller förordning ska de bestämmelserna gälla. Ticket sparar kunders personuppgifter i minst tre år i kundregistret. Även uppgifter om kundens resor sparas under denna tid i kundregistret. Om kunden återkommer inom denna tid och köper en ny resa hos Ticket sparas kontaktuppgifterna och resehistoriken ytterligare tre år räknat från den nya resan dvs. under den tid som Ticket anser att kunden är aktiv. När tre år gått och kunden inte längre anses aktiv är uppgifterna inte längre åtkomliga för säljarna. Uppgifterna ligger dock kvar i kundregistret under ytterligare sju år, dvs. totalt tio år. Skälet är enligt Ticket att bokföringslagen ställer krav på att uppgifterna ska sparas under tio år. För kunder som reser frekvent innebär detta att Ticket kan följa kunders resemönster på ett detaljerat sätt. Datainspektionen anser att kunduppgifter, inklusive uppgifter om resor, normalt får sparas i resebolags kunddatabas under två år efter avslutad resa. Om resbolaget vill kunna lämna erbjudanden och ge en särskild service som bygger på att sådana uppgifter finns bevarade under en längre tid så kan det ske genom att bolaget inhämtar ett samtycke från kunden. Om så inte sker måste uppgifterna gallras ur kundregistret.

4 4 (5) Av utredningen framgår att Ticket sparar uppgifter om kunder i tre år efter den senaste resan. Uppgifterna sparas, enligt villkoren för registrering, under denna tid med stöd av kundens samtycke. Mot bakgrund av att uppgifterna sparas längre än två år med stöd av kundens samtycke har Datainspektionen inga synpunkter på detta. Uppgifter i kundregistret som behövs för bokföringsändamål får sparas så länge som bokföringslagen kräver. Dessa uppgifter ska dock inte vara åtkomliga i kundregistret, som har helt andra syften än att tillgodose bokföringslagens krav på verifikationer, efter att den tid som uppgifterna får sparas för kundadministration löpt ut. Reklamations- och klagomålshantering Ett av syftena med Datainspektionens granskning av Ticket har varit att granska hur bolaget registrerar klagomål och reklamationer. Som framkommit i ärendet registreras varken klagomål eller reklamationer i något särskilt system. Datainspektionen har därför inga synpunkter i detta avseende. Uppfylls kraven på information till de registrerade? Det är viktigt att de registrerade informeras om behandlingen av personuppgifter som sker i samband dels med bokning av en resa dels vid klagomål/reklamation. Informationen är nödvändig för att de registrerade ska kunna ta tillvara sina rättigheter. Enligt personuppgiftslagen ska den personuppgiftsansvarige, i detta fall Ticket, självmant lämna information om behandlingen av personuppgifter till de registrerade. Informationen bör innehålla: den personuppgiftsansvariges identitet (namn, adress, telefonnummer, organisationsnummer och i förekommande fall e-postadress), ändamålen med behandlingen av personuppgifter, all övrig information som behövs för att den registrerade ska kunna ta tillvara sina rättigheter i samband med behandlingen, såsom - vilka kategorier av uppgifter som behandlas, - hur länge uppgifterna sparas, - mottagare eller kategorier av mottagare av uppgifterna (dvs. till vilka uppgifterna kommer att lämnas ut), - rätten att gratis en gång årligen efter ansökan få information samt - rätten till rättelse Ticket lämnar information om hur företaget behandlar kunders personuppgifter i företagets allmänna villkor samt på webbplatsen. Datainspektionen kan konstatera att Tickets sammanlagda information till kunderna uppfyller de krav som kan ställas. Det krävs dock att kunden läser dels informationen på webbplatsen samt de allmänna villkoren eftersom den information som ges är lite olika. Datainspektionen rekommenderar därför Ticket att se över informationen.

5 5 (5) Uppfylls kravet på avtal med personuppgiftsbiträden? Den personuppgiftsansvarige är ansvarig för den behandling av personuppgifter som utförs. Genom att ge andra, utanför den personuppgiftsansvariges egen organisation, som behandlar personuppgifter för den personuppgiftsansvariges räkning tydliga instruktioner om hur uppgifterna ska behandlas får den personuppgiftsansvarige kontroll över den behandling som sker. Det ska finnas ett skriftligt avtal mellan den personuppgiftsansvarige och ett personuppgiftsbiträde. Avtalet ska reglera hur biträdet ska behandla uppgifterna och vilka säkerhetsåtgärder som ska vidtas (30 personuppgiftslagen). Enligt Ticket saknas personuppgiftsbiträdesavtal med det företag som sköter IT-driften. Datainspektionen förutsätter att Ticket snarast upprättar ett sådant. Jonas Agnvall