Tillsyn enligt personuppgiftslagen (1998:204) Scientologikyrkan i Malmö

Datum Diarienr 2011-04-18 473-2010 Scientologikyrkan i Malmö Sockerbruksgatan 2 232 35 Arlöv Tillsyn enligt personuppgiftslagen (1998:204) Scientologikyrkan i Malmö Datainspektionens beslut Datainspektionen konstaterar att Scientologikyrkan i Malmö behandlat personuppgifter i strid med 11 personuppgiftslagen genom att skicka marknadsföringsmaterial till en person som skriftligen anmält att hon motsatt sig en sådan behandling. Datainspektionen konstaterar att Scientologikyrkan i Malmö behandlar personuppgifter i strid med 9 punkten i) personuppgiftslagen genom att inte gallra kund- och medlemsuppgifter ur sitt adress- och arkivsystem när dessa inte längre behövs med hänsyn till ändamålen med behandlingen. Datainspektionen förelägger Scientologikyrkan i Malmö att införa gallringsrutiner som innebär att uppgifter om medlemmar och kunder gallras ur adress- och arkivsystemet i enlighet med de krav som personuppgiftslagen ställer. Det innebär att uppgifter om kunder och medlemmar ska gallras när kund- respektive medlemsförhållandet upphört. Om uppgifterna ska användas för återvärvning av kunden eller medlemmen, får uppgifterna sparas upp till ett år efter det att kund- eller medlemsförhållandet upphörde. Datainspektionen konstaterar att Scientologikyrkan i Malmö lämnar bristfällig information till de registrerade och därigenom handlar i strid med 25 personuppgiftslagen. Det saknas information om rätten att begära registerutdrag i det samtyckesformulär som Scientologikyrkan använder samt information på webbplatserna http://www.dianetik-malmo.se samt www.gratispersonlighetstest.se om hur länge personuppgifterna sparas. Datainspektionen kan komma att följa upp ärendet. Postadress: Box 8114, 104 20 Stockholm E-post: datainspektionen@datainspektionen.se Besöksadress: Drottninggatan 29, plan 5 Telefon: 08-657 61 00 Webbplats: www.datainspektionen.se Telefax: 08-652 86 52

Redogörelse för tillsynsärendet I början av 2010 mottog Datainspektionen ett klagomål på Scientologikyrkan i Malmö. Enligt klagomålet hade klaganden vid upprepade tillfällen fått direktreklam från Scientologikyrkan trots att hon aldrig varit medlem av Scientologikyrkan samt även begärt att kyrkan skulle sluta skicka material. Mot bakgrund av klagandens uppgifter inledde Datainspektionen i mars 2010 tillsyn mot Scientologikyrkan. I en begäran om yttrande den 17 mars 2010 gavs Scientologikyrkan tillfälle att yttra sig över klagomålet. I svar den 7 april 2010 uppgav Scientologikyrkan bl.a. följande: Det får inledningsvis nämnas att informationen saknas i Scientologikyrkans register om den i ärendet berörda personen med undantag av kontaktinformation, som dock visat sig vara felaktig och som avser en annan person. Förklaringen till den uppkomna felaktigheten är att informationen lagts in av misstag beträffande en person med snarlikt namn i samband med att adressuppgifter eftersöktes. All information som rör klaganden har avlägsnats ur vårt system. Med anledning av att klaganden i början av april återigen fått ett nytt brev från Scientologikyrkan samt att uppgifter förekommit i massmedia avseende olika register som kyrkan för, beslutade Datainspektionen att begära ett nytt yttrande. Scientologikyrkan gavs tillfälle att yttra sig över uppgifterna från klaganden samt redogöra för vilka personregister som kyrkan för över medlemmar, kunder eller liknande. I svar den 6 juni 2010 uppgav Scientologikyrkan bl.a. följande: Eftersom kyrkan är ett religöst trossamfund för vilket gäller avvikande regler, görs i det följande åtskillnad mellan a) klagomål, dvs. om kränkning av enskild föreligger och b) mediauppgifter. Beträffande klagomålet medges att handhavandefel uppkommit vid utskick men det bestrides att klagande per definition enligt 3 PuL är den registrerade dvs. den som uppgiften avser. a) Klagomål Datainspektionen efterfrågar vad som inträffat med anledning av förnyat klagomål. Klaganden gör i mejl den 1 april 2010 gällande att nytt utskick erhållits och att hon ännu finns kvar i kyrkans register. Namnet togs bort den 24 mars 2010. Utskicket per den 1 april har av kostnadsskäl sänts via distributör från Nya Zeeland, varför naturligen viss tidsför- Sida 2 av 10

dröjning torde ha uppkommit vid postgången. Vid upprättande av föregående yttrande kontrollerade kyrkan att uppgifterna tagits bort och konstaterade att rättning vid nämnda tidpunkt till fullo genomförts, varför felet inte rimligen kan uppkomma igen. Förebyggande utbildning hos personal har inletts. Det inträffade beklagas och en ursäkt har framförts till klaganden. Det har uteslutande rört sig om ett handhavandefel av enstaka natur. b) Mediauppgifter Datainspektionen efterfrågar vilka register Scientologikyrkan har, vilka personuppgifter som registreras, ändamålen med registren, den legala grunden för registren, uppgifter om lagringstid och vilken information om behandlingen som de registrerade får. Den aktuella tidningsartikeln hänvisar särskilt till 1) Central files 2) Etik-akter 3) Auditeringsakter 4) OSA-arkiv och 5) Dead-files. Uppgifterna i 1-5 behandlas manuellt och utgörs av ostrukturerade dokumentmappar. De behandlade uppgifterna rör medlemmar och avser s.k. ostrukturerat material. Personuppgiftslagen är därför inte tillämplig på dessa dokumentmappar. Informationen behålls så länge dokumentationen får anses ha betydelse för verksamhetens fullgörande. Mot bakgrund av ytterligare klagomål på Scientologikyrkans hantering av personuppgifter i samband med utskick av direktreklam, den information som lämnades i samband med bokbeställningar och personlighetstester via Internet samt vad kyrkan uppgett om hantering av personuppgifter om medlemmar, beslutade Datainspektionen att genomföra en inspektion. Vid inspektionen av Scientologikyrkan den 5 oktober 2010 framkom bl.a. följande: Personuppgiftsbehandling Scientologikyrkan samlar in uppgifter om enskilda personer i fem olika register. 1. PC-foldrar Inom ramen för Scientologikyrkans verksamhet genomförs samtal mellan en enskild person och en representant för kyrkan, en s.k. auditering. Dessa samtal, som i princip kan röra vilken information som helst, nedtecknas på papper. Dessa dokument placeras sedan i den intervjuades personliga pappersmapp (PC-foldern). Pappersmapparna är sorterade i alfabetisk ordning efter släktnamn och förvaras i ett arkiv. Någon annan sökväg till mapparna finns inte. Sida 3 av 10

2. Etikfoldrar Inom ramen för Scientologikyrkans verksamhet genomförs s.k. etiska intervjuer mellan den enskilde och representanter för kyrkan. Dessa samtal, som kan liknas vid bikter, kan innehålla vilken information som helst. Samtalen nedtecknas på papper. Dessa dokument placeras sedan i den intervjuades personliga pappersmapp (etik-foldern). Pappersmapparna är sorterade i alfabetisk ordning efter släktnamn och förvaras i ett arkiv. Någon annan sökväg till mapparna finns inte. För att markera att innehållet kan vara mycket känsligt anges uppgift konfidentiell på mappen. 3. Studentfoldrar Inom ramen för Scientologikyrkans verksamhet ges enskilda personer möjlighet att studera kyrkans religiösa texter. Hur dessa studier fortskrider nedtecknas på papper. Dessa dokument placeras sedan i den studerandes personliga pappersmapp (studentfoldern). Pappersmapparna är sorterade i alfabetisk ordning efter släktnamn och förvaras i ett arkiv. Någon annan sökväg till mapparna finns inte. 4. Personalfoldrar Uppgifter om Scientologikyrkans frivilligarbetare, exempelvis omdömen och uppgift om den enskildes kvalifikationer, nedtecknas på papper. Dessa dokument placeras sedan i frivilligarbetarens personliga pappersmapp (personalfoldern). Pappersmapparna är sorterade i alfabetisk ordning efter släktnamn och förvaras i ett arkiv. Någon annan sökväg till mapparna finns inte. 5. Adress- och arkivsystem med korrespondensfoldrar (CF-Files) Adress- och arkivsystemet är digitalt och innehåller uppgifter om medlemmar och kunder. Med kund menas exempelvis en person som beställt en bok eller en person som gjort ett personlighetstest på Scientologikyrkans webbplats, www.dianetik-malmo.se. Adress- och arkivsystemet innehåller namn och adressuppgifter, uppgift om medlemskap, donationer och bokköp m.m. Uppgift om medlemskap är en uppgift om religiös tillhörighet. Adress- och arkivsystemet innehåller inte några ytterligare känsliga uppgifter. Korrespondensfoldrarna innehåller brev som skickats till Scientologikyrkan. Breven placeras i brevskrivarens personliga pappersmapp (korrespondensfoldern). De kan även innehålla utskrifter av beställningar via Internet av t.ex. böcker. Pappersmapparna är sorterade i alfabetisk ordning efter släktnamn och förvaras i ett arkiv. Någon annan sökväg till mapparna finns inte. Sida 4 av 10

Förutom dessa fem dokumentmappstyper har kyrkan även följande två dokumentsamlingar: a) Dead-files Pappersmappar som av någon anledning blivit inaktuella placeras i Dead-files. Det kan vara PC-folders, Studentfoldrar, Personalfoldrar eller Korrespondensfoldrar. b) OSA-arkivet Tidningsurklipp som rör Scientologikyrkan från dagstidningar. Urklippen är placerade i datumordning. Grund för behandling och ändamålen med behandlingarna All behandling av personanknuten information sker med stöd av samtycke. Scientologikyrkan använder sig av ett formulär i samband med att man samlar in t.ex. en medlems samtycke. Detta ska skrivas under av den enskilde. Information Scientologikyrkan tillhandahåller skriftlig information om personuppgiftslagen till den som besöker kyrkan på plats. Skriftlig information lämnas även i samband med att den registrerade samtycker till att genomgå en audition. Vid inspektionen påpekade Datainspektionen att Scientologikyrkans information saknar uppgift om den enskildes rätt att begära registerutdrag. Vidare påpekades att det inte klart och tydligt framgår på Scientologikyrkans webbplats i vilken omfattning personuppgifter kommer att behandlas om den enskilde beställer en bok eller gör ett personlighetstest över nätet. Gallring Det sker ingen automatisk gallring av uppgifter i Adress- och arkivsystemet. Om det inte längre är någon idé att kontakta en person, om personen exempelvis avböjt ytterligare information, görs en markering i registret som innebär att personen i fråga inte ska kontaktas mer. Scientologikyrkan vill dock behålla uppgifterna eftersom det förekommer att en person som sagt upp kontakten återkommer till kyrkan, och då är det bra att ha kvar historiken om personen i fråga. Om en person uttryckligen begär att få bli struken i registret så gallras dock uppgifterna helt och hållet. Sida 5 av 10

Uppgifter om personlighetstester via Internet gallras efter ett par månader. Det gäller dock inte om den registrerade kontaktar Scientologikyrkan. Scientologikyrkan har därefter vid tre tillfällen, den 8 november 2010, den 6 januari 2011 samt den 16 februari 2011, sammanfattningsvis uppgett bl.a. följande: Scientologikyrkan har genomfört följande åtgärder/rättelser: Den personuppgiftspolicy kyrkan tillämpar ges till samtliga personer som tillträder organisationen. På formuläret Generellt Godkännande i vilket medlemmar och andra kontaktkategorier lämnar skriftlig medgivande lämnas särskild information om hur kyrkan behandlar personuppgifter Upplysning om personuppgiftsbehandling PuL-text har kompletterats. Informationen finns tillgänglig som flygblad vid köp av böcker, i mejl vid promotion samt på kyrkans webbplats i samband med s.k. OCA-tester. PuL-text avsedd för bokköpare på webbplatsen www.dianetikmalmo.se har lagts till. För personkategori som inte är medlem och som inte köpt varor eller tjänster men som genomfört personlighetstest genomföres automatisk gallring av uppgifterna sex månader efter senaste kontakttillfälle. För samtliga personkategorier som sänt meddelande via mejl eller brev att de inte önskar utskick enligt viss sändlista genomföres strykning skyndsamt, dock senast inom två veckor efter mottagande av meddelandet. För personkategori som är medlem och vill avlägsna pappersfoldrar samt bli struken ur datasystemet är det möjligt att genomföra en sådan makulering efter skriftligt meddelande till kyrkan. Makuleringen genomföres senast inom två veckor efter mottagande av meddelande om makulering. Scientologikyrkan har hittills inte gjort åtskillnad mellan personkategorierna medlemmar respektive köpare av varor och tjänster. Såvitt Scientologikyrkan kan finna ställer varken lag eller praxis krav på en sådan uppdelning. Scientologikyrkan har emellertid frivilligt beslutat att genomföra en sådan åtskillnad. Det har vid genomförande av rättelser och förbättringar uppstått diskussion om det lämpligaste sättet att genomföra blockering/strykning. Det har sagts att t.ex. i Tyskland är det såväl accepterat såsom önskvärt Sida 6 av 10

att namn som tas bort inte blir föremål för radering i syfte att hålla reda på personens namn för att undvika att personen inte förekommer på framtida lista då uppgifter köps in. Avsikten med uppgifterna är att vid samkörning med köpt lista filtrera bort blockerade namn. Datainspektionens vägledning i denna del skulle uppskattas. Skäl för beslutet Omfattas behandlingen av personuppgifter i PC-foldrar, Etikfoldrar, Studentfoldrar, Personalfoldrar och Korrespondensfoldrar av personuppgiftslagen? Datainspektionen konstaterar att personuppgifter i PC-foldrar, Etikfoldrar, Studentfoldrar, Personalfoldrar och Korrespondensfoldrar behandlas och sparas i pappersform. Det är inte fråga om en sådan helt eller delvis automatiserad behandling som anges i 5 första stycket personuppgiftslagen. Det är inte heller fråga om ett sådant manuellt register som uppfyller kraven på struktur i 5 andra stycket personuppgiftslagen. Datainspektionens bedömning är att personuppgiftslagen inte är tillämplig på hanteringen av personuppgifter i dessa pappersfoldrar, varför myndigheten inte kan ha synpunkter på hur personuppgifter behandlas i dessa. Nyssnämnda hindrar dock inte att själva behandlingen att skriva ut t.ex. en bokbeställning från adress- och arkivsystemet kan omfattas av personuppgiftslagen. Det gäller oavsett om utskriften sedan placeras i Korrespondensfoldern. Har Scientologikyrkan brustit i sin hantering av klagandens begäran om att slippa få marknadsföringsmaterial från Scientologikyrkan? Av det klagomål som ligger till grund för tillsynsärendet framgår att Scientologikyrkan, trots skriftlig begäran från klaganden redan under 2009, fortsatt att skicka marknadsföring till klaganden. Senaste utskicket som Datainspektionen fått kännedom om skickades i april 2010. Enligt 11 personuppgiftslagen får personuppgifter inte behandlas för ändamål som rör direkt marknadsföring, om den registrerade hos den personuppgiftsansvarige skriftligen har anmält att han eller hon motsätter sig sådan behandling. Mot denna bakgrund konstaterar Datainspektionen att Scientologikyrkan handlat i strid med 11 personuppgiftslagen. Uppgifterna är numera borttagna ur systemet, vilket kontrollerats vid inspektionen. Upplysningsvis vill Datainspektionen informera om att en begäran om att få slippa marknadsföring givetvis kan medföra att uppgifter om den som begär en sådan registreras. Ibland kan det vara osäkert om en person vill bli borttagen helt ur systemet, vilket kan leda till att han eller hon kan få direktreklam om adressuppgifter köps in externt, eller bara slippa få direktreklam. Vid osäkerhet bör den personuppgiftsansvarige utreda vad den registrerade vill och Sida 7 av 10

informera om den registrerade vad en radering respektive registrering innebär. Behandlingen av personuppgifter i adress- och arkivsystemet samt personlighetstester via Internet. Scientologikyrkan har ett gemensamt adress- och arkivsystem. I detta finns såväl uppgifter om t.ex. personer vars enda kontakt med kyrkan varit en beställning av en bok såsom uppgifter om medlemmar med namn, adress, donationer och kurshistorik. Det finns inget uttryckligt krav enligt personuppgiftslagen att hålla dessa kategorier åtskilda i ett datorsystem. Olika kategorier av uppgifter kan dock ställa olika krav bl.a. på hur länge uppgifterna får sparas. Uppgifter om kunder får sparas endast under så lång tid som det krävs för att administrera kundförhållandet, vilket normalt är fram till dess att en vara levererats och är helt betald. Att kunden har möjlighet att reklamera en vara innebär inte med automatik att uppgifter om kunden får bevaras under den tid som reklamationsfristen löper. För att kunna återvärva tidigare kunder anser Datainspektionen att uppgifterna om kunder får sparas upp till ett år efter att kundförhållandet upphörde för detta marknadsföringsändamål. Om han eller hon dessförinnan begär att bli struken ur registret ska personuppgifterna dock tas bort snarast möjligt. Uppgifter om medlemmar får sparas så länge det krävs för att kunna administrera medlemsförhållandet. När en medlem avslutar sitt medlemskap bör uppgifterna i medlemsregistret tas bort. Om uppgifter om medlemmen ska användas för återvärvning av medlemmen får uppgifterna sparas upp till ett år efter det att medlemsförhållandet upphörde. Men om den tidigare medlemmen dessförinnan tackar nej till att återigen bli medlem ska dennes personuppgifter tas bort snarast möjligt. Det ska finnas sådana rutiner som garanterar att uppgifterna om kunder och medlemmar gallras när de inte längre behövs för respektive ändamål. Det kan finnas avvikande bestämmelser i annan lagstiftning, till exempel bokföringslagen, som medför att vissa uppgifter måste bevaras för sådana ändamål under en längre tid än vad som angetts i stycket ovan. Uppgifterna får då inte användas för andra ändamål t.ex. marknadsföring eller återvärvning av kunder/medlemmar. Vid inspektionen framkom att Scientologikyrkan inte gallrar kund- och medlemsuppgifter ur adress- och arkivsystemet när dessa inte längre behövs med hänsyn till ändamålen med behandlingen. För att bli borttagen ur adress- och arkivsystemet krävs enligt Scientologikyrkan att medlemmen eller kunden Sida 8 av 10

kontaktar kyrkan och begär att få bli struken. Det åligger den personuppgiftsansvarige att gallra personuppgifter när dessa inte längre behövs för ändamålet och det går inte att ställa som krav att den registrerade ska kontakta den personuppgiftsansvarige och begära att uppgifterna ska tas bort. Mot denna bakgrund konstaterar Datainspektionen att Scientologikyrkan handlar i strid med 9 punkten i) personuppgiftslagen. Datainspektionen förelägger Scientologikyrkan i Malmö att införa gallringsrutiner som innebär att uppgifter om medlemmar och kunder gallras ur adress- och arkivsystemet i enlighet med de krav som personuppgiftslagen ställer. Det innebär att uppgifter om kunder och medlemmar ska gallras när kund- respektive medlemsförhållandet upphört. Om uppgifterna ska användas för återvärvning av kunden eller medlemmen får uppgifterna sparas upp till ett år efter det att kund- eller medlemsförhållandet upphörde. Datainspektionen har inga synpunkter på den gallringsrutin som Scientologikyrkan tillämpar vad avser personlighetstester via Internet. Enligt 25 personuppgiftslagen har den registrerade rätt att få information om den personuppgiftsansvariges identitet, ändamålen med behandlingen och all övrig information som behövs för att den registrerade ska kunna ta tillvara sina rättigheter såsom information om mottagarna av uppgifterna, skyldighet att lämna uppgifter och rätten att ansöka om information och få rättelse. Datainspektionen har tagit del av det samtyckesformulär som Scientologikyrkan använder. Det kan konstateras att det saknas information om möjligheten att begära registerutdrag. Datainspektionen har även tagit del av den information som finns på webbplatserna http://www.dianetik-malmo.se samt www.gratispersonlighetstest.se för vilken Scientologikyrkan i Malmö ansvarar. Det kan konstateras att det saknas information om hur länge personuppgifterna sparas. Datainspektionen förutsätter att Scientologikyrkan snarast kompletterar informationen på webbplatserna respektive samtyckesformuläret med ovannämnda uppgifter. Hur man överklagar Om ni vill överklaga beslutet skall ni skriva till Datainspektionen. Ange i skrivelsen vilket beslut som överklagas och den ändring som ni begär. Inspektionen måste ha fått ert överklagande inom tre veckor från den dag ni fick ta del Sida 9 av 10

av beslutet, annars kan överklagandet inte prövas. Datainspektionen sänder överklagandet vidare till Förvaltningsrätten i Stockholms för prövning om inspektionen inte själv ändrar beslutet på det sätt ni har begärt. Detta beslut har fattats av generaldirektören Göran Gräslund i närvaro av chefsjuristen Hans-Olof Lindblom, datarådet Catharina Fernquist samt juristen Jonas Agnvall, föredragande. Göran Gräslund Jonas Agnvall Kopia till: Klaganden i ärende 46-2010 Sida 10 av 10