Idrottsjuridik 2007 07-09-10 11.55 Sida 48 4 En guldgruva fylld med personuppgifter BO BENGTSSON Golfsporten var mycket tidig med att datorisera sin verksamhet. Redan i början av 1980-talet utvecklades ett gemensamt klubbadministrativt program, GK84, och det följdes av GK90 och GK96. De första programvarorna togs fram av fria aktörer, men efterhand blev Svenska Golfförbundet, SGF, huvudman och finansiär. Utvecklingen av GK96, som lanserades just 1996, finansierades med förbundsmedel. GK96 blev även det omodernt. Efter två utredningar presenterades ett förslag till Förbundsmötet 2002 att Golfsverige skulle finansiera och utveckla ett nytt modernt IT-system. Efter en intensiv debatt antog Förbundsmötet förslaget att investera totalt 64 miljoner kronor i det som 2002 blev Sveriges enskilt största IT-projekt. Ett utvecklingsavtal värt närmare 40 miljoner kronor tecknades med WM-data. Projektet GIT blev omgående en hackkyckling omsvärmad av olyckskorpar, men budgeten och tidplanen hölls väl. På avtalad dag den 5 februari 2004 driftsattes Golfens IT-system, GIT. Grundmodulen för administration av medlemmar, tävlingar och tidbokning fungerar efter sedvanliga barnsjukdomar riktigt bra. GIT tilldelades Microsofts utmärkelse.net Awards 2005 för bästa större affärs- och verksamhetslösning. För att finansiera GIT betalade golfklubbarna en extra medlemsdebitering om 56 kronor per aktiv golfspelare (medlem) i tre år. Från och med 2006 debiteras klubbarna en årlig avgift på 39 kronor inklusive moms som skall täcka allt från utveckling, drift och förvaltning till användarsupport. 48
Idrottsjuridik 2007 07-09-10 11.55 Sida 49 Bokning av speltider är den enskilt största funktionen i GIT. Golfsverige har ett av Sveriges största bokningssystem alla kategorier. 2006 gjordes det över 6 miljoner enskilda bokningar i GIT. Av bokningarna görs 70 procent av klubbpersonal och resterande 30 procent av golfarna själva genom inloggning i GIT:s Internettjänst Min Golf på www.golf.se. I Min Golf finns även funktioner för att ändra adress, hcp och anmäla sig till tävlingar m.m. 1. Upplägg och organisation GIT förvaltas av SGF Golfsystem AB som är ett av SGF helägt dotterbolag. De nämnda IT-avgifterna tillförs SGF Golfsystem. Huvudmålet för SGF Golfsystem är att bygga IT-verktyg som leder till ökade intäkter och minskade kostnader för golfklubbarna. Ett så komplext och stort projekt som GIT genererar naturligtvis en mängd intressanta juridiska frågor. Jag skall i den här artikeln dock koncentrera redogörelsen till hur vi löst olika frågor rörande behandlingen av personuppgifter. Av beslutet på Förbundsmötet 2002 att utveckla GIT följer också att alla golfklubbar och anslutna bolag (närmare 500 associationer) måste använda medlems- och hcp-funktionerna i GIT. Övriga delar är i praktiken frivilliga men alla använder också tävlingsmodulen. Tidbokningen och kassan används av runt 350 klubbar. Något nyttjanderättsavtal har inte tecknats mellan SGF Golfsystem och golfklubbarna. Rätten att använda GIT följer med medlemskapet eller anslutningsavtalet ( golfbolag ) med SGF. Frågor som normalt regleras i ett licensavtal beslutas i stället inom ramen för förbundsorganisationens beslutanderätt, och klubbarnas skyldighet att följa gemensamma beslut. En klubb som inte betalar IT-avgiften, eller inte rättar sig efter fattade beslut, kommer att bli föremål för disciplinära åtgärder för stadgebrott. Alla löpande ärenden och upphandlingar beslutas av styrelsen och ledningen för Golfsystem. Utvecklingsplanerna förankras i ett centralt klubbråd, CeGIT, som består av representanter för åtta regioner, ReGIT. Genom denna organisation som avviker från Golfsveriges 21 distrikt, engageras primärt tjänstemännen på golfklubbarna, d.v.s. klubb- och kanslichefer. Förslag på nya funktioner behandlas normalt i ReGIT följt av CeGIT, och om förslaget gillas där, vidare till ledningen för SGF Golfsystem för slutligt beslut och verkställning. 49
Idrottsjuridik 2007 07-09-10 11.55 Sida 50 2. En gemensam central databas Den avgörande skillnaden mellan GIT och tidigare IT-system var skapandet av en central databas bestående av samtliga golfklubbars medlemsregister. Därigenom öppnades en rad nya möjligheter att underlätta klubbarnas arbete och vidareutveckla verksamheten. Genom effektiva rutiner kan GIT definitivt bli ett verktyg för att minska klubbarnas, men också distriktsförbundens och SGF:s, administrativa kostnader. Att föra samman 495 tidigare lokalt lagrade medlemsregister till en gemensam databas var inte bara en teknisk utan i än högre grad politiskt mycket känslig fråga. Många klubbledare var rädda för att uppgifterna skulle spridas vidare till andra klubbar. Mellan golfklubbarna finns sedan några år tillbaka en stegrande konkurrens om golfspelarna. Att tappa ett 25-tal medlemmar kan för en klubb innebära ekonomisk kris. Det är inte bara klubbarnas rättigheter som skall tillgodotas i GIT. Även den enskilda golfmedlemmens integritet skall respekteras. GIT-systemet är därför omgärdat av ett omfattande regelverk i syfte att minimera risken för övertramp och missbruk i hanteringen av personuppgifter. I en tid när allt färre personer värdesätter medlemskapet, och inte längre är beredda att betala åtskilliga tusen kronor i årsavgifter, blir det allt vanligare med aggressiv marknadsföring från klubbarnas sida. Väl insamlade och bearbetade personuppgifter betingar ett mycket högt ekonomiskt värde. Ett register över aktiva golfspelare tillhör tveklöst den kategorin. Det föder i sig många idéer. Hur och om den gemensamma centrala databasen skall exploateras kräver därför noggranna överväganden. Vi tror oss numera ha funnit en bra balans mellan kommersiella satsningar, respekten för golfspelarens personliga integritet samt klubbarnas äganderätt till medlemsregistren. 3. Äganderätt till den centrala databasen Det råder inte någon tvekan om att en förening äger sitt medlemsregister. Det utgör en tillgång ett strukturkapital och kan likställas med ett företags kundregister. Därmed kan medlemsregistret också vara en strategisk affärshemlighet, men det förutsätter naturligtvis att klubben håller registret hemligt. Det sistnämnda kan det vara lite si och så med. Av tradition har klubbarna tryckt matriklar som spridits utanför den egna medlemskretsen. Däremot är 50
Idrottsjuridik 2007 07-09-10 11.55 Sida 51 det mycket vanligt med hemliga medlemsregister i brittiska och amerikanska golfklubbar. Ett medlemsregister kan möjligen också åtnjuta skydd enligt Upphovsrättslagens (UhL) bestämmelser i 49 om det s.k. databasskyddet (katalogskyddet). Jag anser dock att det är mycket tveksamt om ett traditionellt uppbyggt medlemsregister uppfyller kraven för sådant skydd. Däremot torde den samlade centrala GIT-databasen kunna tillerkännas skydd enligt 49 UhL. SGF skall enligt Förbundsmötesbeslut dels tillhandahålla varje golfhushåll ett exemplar av förbundets tidning Svensk Golf, dels tilldela varje klubbmedlem ett medlemskort. Kortet kan även kombineras med betalfunktion från Master Card. För att uppfylla dessa uppdrag måste SGF föra två personregister. Eftersom alla nödvändiga uppgifter redan finns i GIT-databasen, och dessutom uppdateras kontinuerligt av klubbarna och de registrerade personerna, finns det inga skäl att skapa tre fysiska databaser. Uppgifterna hämtas därför vid behov från GIT-databasen. Tekniken möjliggör en rationell hantering, men hur är det med äganderätten till de två SGF-registren som finns rent fysiskt ibland men inte alltid? Vi har i den praktiska hanteringen utgått från att SGF är personuppgiftsansvarig för alla behandlingar som rör prenumerations- och korthanteringen. Rimligen måste också SGF äga dessa samlingar av personuppgifter innebärande att om SGF säljer tidningen Svensk Golf till en extern aktör följer prenumerationsregistret med i försäljningen. Att uppgifterna av tekniska och praktiska skäl finns i samma databas som klubbarnas medlemsregister bör inte leda till annan bedömning. Rent tekniskt skapas det dessutom tillfälliga register eller filer över alla prenumeranter inför distributionen av ett nytt tidningsnummer. 4. Indirekt skydd genom PuL Personuppgiftslagen, PuL, ger också indirekt ett skydd åt klubbens medlemsregister och för den delen också SGF:s register. Personuppgifter får enligt PuL bara samlas in för särskilda, uttryckligt angivna och berättigade ändamål. Uppgifterna får inte behandlas på ett sätt som är oförenligt med dessa ändamål. De specifika personuppgifter som behandlas måste vara adekvata och relevanta i förhållande till de angivna ändamålen för behandlingen. Med be- 51
Idrottsjuridik 2007 07-09-10 11.55 Sida 52 handling avses de flesta arbetsuppgifter som utförs i GIT, t.ex. registrering av medlem, lottning av tävling och bokning av starttid. Eftersom rimligen endast golfklubben kan visa att de har en rätt enligt PuL att utan samtycke behandla personuppgifterna över medlemmarna uppnås i praktiken ett skydd mot ett obehörigt eller oönskat förfogande från tredje mans sida. Ingen annan aktör än medlemsklubben kan rimligen hitta stöd i PuL för att föra dataregister över andra golfklubbars medlemmar. 5. Personuppgiftsansvaret Den som har rätt att behandla de insamlade uppgifterna är personuppgiftsansvarig och ytterst ansvarig för att behandlingarna följer regelverken. Uppgifterna måste behandlas på ett korrekt sätt och i enlighet med god sed. Den personuppgiftsansvarige kan anlita ett personuppgiftsbiträde för att utföra behandlingarna. Vi konstaterade tidigt i utvecklingsarbetet att golfklubben är personuppgiftsansvarig för alla behandlingar som sker i klubbens regi inkluderande den grundläggande registreringen av varje person. SGF Golfsystem förvaltar GIT inklusive den centrala databasen och intar därmed rollen som personuppgiftsbiträde till golfklubben för de behandlingar som görs på central nivå (t.ex. gallring eller årsrevision av hcp). Klubbens ansvar omfattar endast egen behandling. Om medlemmen X från klubben A deltar i en tävling på klubben B är det klubben B som ansvarar för att behandlingen följer reglerna i PuL. På motsvarande sätt ansvarar SGF för att behandlingen av personuppgifter till registren för Svensk Golf och medlemskortet följer PuL och andra tillämpliga regelverk. 6. Ändamålet med behandlingarna Det kan rimligen inte ifrågasättas att PuL är tillämplig på de behandlingar som utförs inom ramen för GIT. I avsnitt 13 diskuterar jag närmare om det finns behandlingar i GIT som kan falla utanför PuL på sätt anges i den så kallade missbruksbestämmelsen i 5 a PuL. Möjligen skulle också en del publiceringar av data från GIT på SGF:s Internetsajt golf.se kunna anses falla inom det s.k. journalistiska undantaget i 7 PuL. Enligt denna paragraf skall inte 52
Idrottsjuridik 2007 07-09-10 11.55 Sida 53 PuL tillämpas på sådan behandling av personuppgifter som sker uteslutande för journalistiska ändamål eller konstnärligt eller litterärt skapande, eller behandlingar där bestämmelserna i PuL skulle strida mot bestämmelserna om tryck- och yttrandefrihet i tryckfrihetsförordningen eller yttrandefrihetsgrundlagen. Internetsajten golf.se drivs av redaktionen för tidningen Svensk Golf. Hittills har man också valt att inte registrera sajten för ett Utgivningsbevis för webbplatser m.m., som utfärdas av Radio- och TV-verket. Ett sådant utgivningsbevis sätter bestämmelserna i PuL ur spel. Sammanfattningsvis har vi aldrig gjort annan bedömning än att PuL är tilllämplig. Integritets- och behandlingsfrågor fick därför stort utrymme vid arbetet med att kravställa GIT. Behandlingarna i GIT görs i enlighet med 10 PuL som föreskriver att personuppgifter får behandlas bara om den registrerade har lämnat sitt samtycke till behandlingen eller om behandlingen är nödvändig för att uppfylla något av ändamålen i punkterna a f. Något generellt samtycke har inte inhämtats från golfspelarna till behandlingarna i GIT. Vi har bedömt att samtycke inte krävs. Informationen om vad som görs har varit både bra och dålig, men alla verkligt aktiva golfare (ungefär 300 000 personer) har vid något tillfälle loggat in på Min Golf och blivit medvetna om vilka uppgifter som behandlas och exponeras. För alla behandlingar som följer av medlemskapet, t.ex. avgiftsfakturering, prenumeration Svensk Golf, tävlingsadministration, allmän registerföring m.m., är 10 a tillämplig, d.v.s. behandlingen är nödvändig för att ett avtal med den registrerade skall kunna fullgöras. Vid gästspel på annan bana uppkommer ett direkt kundförhållande mellan golfaren och den klubb han/hon gästar 10 a gäller bl.a. just kundregister. Bestämmelsen i 10 d Pul om en arbetsuppgift av allmänt intresse skall kunna utföras är enligt förarbetena tilllämplig på t.ex. resultatlistor. Även 10 f PuL torde kunna åberopas för ett antal av behandlingarna i GIT. Av bestämmelsen följer att ett ändamål som rör ett berättigat intresse hos den personuppgiftsansvarige eller hos en sådan tredje man till vilken personuppgifterna lämnas ut skall kunna tillgodoses, om detta intresse väger tyngre än den registrerades intresse av skydd mot kränkning av den personliga integriteten.... SGF Golfsystem har bl.a. accepterat att lämna ut uppgifter till 53
Idrottsjuridik 2007 07-09-10 11.55 Sida 54 forskningsprojekt inom hälsa och medicin, vilka kunnat garantera att uppgifterna kommer att behandlas på ett korrekt sätt. För elitspelarna görs det mer omfattande behandlingar. Sedan flera år tillbaka har spelarna på de nationella senior- och juniortourerna ständigt påmints om detta. Genom att anmäla sig till tävlingarna via Internet har de kontinuerligt godkänt och samtyckt till behandlingarna inklusive att externa företag svarar för datakörningarna: Personuppgifter Golfdata AB har Svenska Golftourerna AB:s uppdrag att svara för bearbetningen av erforderliga personuppgifter och lagra dessa i en databas. Golfdata kommer att ansvara för att bearbetningen följer reglerna i personuppgiftslagen. En del av personuppgifterna, bl.a. namn, klubbtillhörighet, tävlingsresultat, poäng och prispengar kommer att publiceras och spridas till klubbar, media m.fl. i form av bl.a. resultat- och rankinglistor. Uppgifterna kommer att, med undantag för bl.a. adress, telefon och epostadress, publiceras på Internet (www.golf.se/www.golfdata.se). Genom att anmäla sig till tävling ingående på de rankinglistor som administreras av Golfdata AB för Svenska Golfförbundets och Svenska Golftourerna anses spelaren ha samtyckt till bearbetningen av personuppgifterna. 7. Förslag till utvidgat ändamål för behandlingarna i GIT Ändamålen för behandlingen kan ändras över tiden, men behandlingarna får inte ske i strid mot PuL och inte heller gå utanför vad de registrerade personerna rimligen kan förvänta sig. Hösten 2006, efter tre års användande av GIT, kunde det konstateras att den policy som tillämpats från GIT:s införande 2004 för utbyte av data mellan klubbarna (t.ex. vid gästspel på andra banor) och mellan klubbar och förbund (t.ex. för utskick av central information) i mångt och mycket var och är ett hinder mot såväl kostnadsbesparingar som verksamhetsutveckling. Det fanns således ett uttalat behov från GK, GDF och SGF att utvidga ändamålet för GIT, men även att inom ramen för befintliga ändamål komplettera regelverket med fler uttryckligen tillåtna behandlingar. Det gällde primärt 54
Idrottsjuridik 2007 07-09-10 11.55 Sida 55 en utökad tillgång till adress- och telefonuppgifter för att möjliggöra direkt kommunikation mellan klubb och golfspelare, eller mellan GDF/SGF och enskild golfspelare. Mot den bakgrunden utarbetade SGF Golfsystem en ny Ändamålsbeskrivning som blev till en proposition från Förbundsstyrelsen till Förbundsmötet 2007. Beslutet på 2007 års Förbundsmöte att anta en reviderad Ändamålsbeskrivning föregicks av tämligen få diskussioner på distriktsförbundens möten med klubbarna. Vi hade lagt mycket kraft på att i propositionen förklara PuL, nuvarande regelverk för GIT och varför det fanns ett behov av revidering. Möjligen uteblev debatten därför, men det kan också ha berott på att Förbundsstyrelsens proposition om en ny organisation och finansiering var både intressantare och lättare att ha åsikter kring än en proposition rörande behandling av personuppgifter. Förslaget innehöll två mycket viktiga förändringar: 1. Rätt för andra klubbar än hemmaklubben (representationsklubben) att via GIT-programmet läsa postadress, e-postadress och telefonnummer till även icke medlemmar, och 2. Rätt för SGF, och i vissa fall även Golfdistriktsförbund, att hämta namn, födelseår, kön, hcp, postadress, e-postadress och telefonnummer till valfria personer i databasen i syfte att skicka information till dessa och bygga olika Internettjänster. Stockholmsdistriktet inkom med synpunkter på propositionen och förslag till kompletterande skrivningar. Från SGF:s sida accepterades motförslagen. Förbundsmötet gick på samma linje och antog propositionen tillsammans med Stockholmsdistriktets ändringsförslag. 8. Innehållet i den reviderade ändamålsbeskrivningen Vår ändamålsbeskrivning innehåller en allmän reglering av hur och vad som görs i GIT samt en beskrivning av såväl tillåtna behandlingar som uttryckligen förbjudna behandlingar. Målet är att få till en enhetlig behandling ute på klubbarna och undvika kontroverser och kränkningar av enskilda personers integritet. 55
Idrottsjuridik 2007 07-09-10 11.55 Sida 56 A. GOLFKLUBBEN Golfklubb får behandla Golfspelares personuppgifter i GIT för följande ändamål: Finns det någon speciell anledning att skriva Golfklubb/ Golfspelare/ Golfdistrikts förbund med versalt G? Normalt bör det vara gement! På ett ställe är det gement... bör vara konsekvent 1. Administrera medlemsregister med till person hörande medlemsrelaterade ekonomiska transaktioner (avgifter, insatser, andelar/aktier m.m.). 2 Administrera aktuellt och historiskt handicapregister. 3. Administrera golftävlingar. 4. Administrera utbildningar. 5. Administrera andra sedvanliga föreningsaktiviteter (möten, fester m.m.). 6. Administrera bokning av starttider på egen eller anvisad anläggning. 7. Uppfylla rättigheter eller skyldigheter för Golfklubb eller Golfspelare som följer av stadgar, bestämmelser eller beslut fattade av Riksidrottsförbundet, Svenska Golfförbundet, Golfdistriktsförbundet och/eller Golfklubben. 8. Behandla adress- och telefonuppgifter för Golfspelare som gästspelat på Golfklubben. Tillgång till uppgifterna medges först om och när Golfspelaren betalt greenfee, spelat eller deltagit i klubbaktivitet eller det på annat sätt uppkommit en avtalsmässig kundrelation mellan spelaren och golfklubben. Personuppgifterna får endast användas inom ramen för den uppkomna kundrelationen och får inte användas för erbjudande om medlemskap eller andra marknadsföringsåtgärder. 9. Behandla personuppgifter för Golfspelare som anmält sig eller deltagit i tävling arrangerad av klubben. Personuppgifterna får användas endast under förutsättning att Golfspelaren inte motsatt sig detta genom notering i Min Golf. Programvaran i GIT kommer att utformas på ett sådant sätt att missbruk av uppgifterna förhindras eller i vart fall försvåras. Att värdklubben får tillgång till en enskild persons adressuppgifter innebär därför inte att värdklubben får tillgång till en annan golfklubbs samlade medlemsregister. Datainspektionen har utfärdat riktlinjer för kundregister och kundklubbar vilka kommer att inarbetas i GIT. 56
Idrottsjuridik 2007 07-09-10 11.55 Sida 57 B. SGF SGF får behandla Golfspelares personuppgifter i GIT, och således läsa/bearbeta uppgifter i GIT-databasen som tillhör Golfklubbarna, för följande ändamål: 1. Utfärda elektroniskt medlemskort, Golfkortet, med eller utan betalfunktion. 2. Administrera prenumerationsregister för tidningen Svensk Golf. 3. Utföra statistiska eller vetenskapliga beräkningar och studier (medlemsstatistik m.m.). 4. Uppfylla andra rättigheter eller skyldigheter för SGF som följer av stadgar, bestämmelser eller beslut fattade av Riksidrottsförbundet eller Förbundsmötet. 5. Behandla personuppgifter för Golfspelare i syfte att informera Golfspelaren via centrala utskick om verksamhet som bedrivs av SGF och innebär erbjudanden, rättigheter eller skyldigheter för Golfspelaren. 6. Behandla personuppgifter för Golfspelare som deltagit i tävling eller annan av SGF anordnad aktivitet i syfte att informera Golfspelaren via centrala utskick om dessa eller andra motsvarande verksamheter som bedrivs av SGF. Personuppgifterna får användas endast under förutsättning att Golfspelaren inte motsatt sig detta genom notering i Min Golf. 7. Behandla personuppgifter för Golfspelare som ingår/ingått avtalsmässig relation med SGF, t.ex. genom att beställa produkter eller tjänster från SGF eller anmäla sig till aktiviteter arrangerade av SGF. 8. Utföra behandlingar av personuppgifter som är nödvändiga för att SGF skall kunna utföra uppdrag/uppgift som Förbundsmötet beslutat om. Med personuppgifter avses i denna del enbart namn, adress, e-postadress, telefonnummer, födelseår, hemmaklubb, hcp, kön och golf-id. Uppgifterna får inte lämnas ut till tredje man, t.ex. tävlingssponsor. All behandling skall ske i SGF:s regi. Punkten 8 avser bl.a. utredningsuppdrag som SGF skall utföra på Förbundsmötets uppdrag, och där det finns berättigade skäl att exempelvis genomföra enkäter eller göra statistiska beräkningar. Golfdistriktsförbunden får också utföra ett antal behandlingar som rör personuppgifter relaterade till golfklubbarna i distriktet. Eftersom dessa behand- 57
Idrottsjuridik 2007 07-09-10 11.55 Sida 58 lingar ryms inom de behandlingar som SGF får utföra, går jag inte här närmare in på Golfdistriktsförbundens rättigheter. C. FÖRBJUDNA BEHANDLINGAR Följande behandlingar är uttryckligen förbjudna: 1. Överlämnande av personuppgifter till tredje man för direkt marknadsföring mot Golfspelare. Sådan behandling är tillåten endast om klubben antagit en intern policy som medger utlämnande av personuppgifter till tredje man, och klubbens medlemmar informerats i förväg om behandlingen. 2. Bearbetning, läsning, spridning eller annan form av behandling varigenom annan Golfklubb, GDF eller SGF utan tillstånd från den berörda klubben bereds tillgång till klubbens medlemsförteckning. Med uttrycket tredje man i denna Ändamålsbeskrivning avses också annan golfklubb än den vars personuppgifter frågan avser. Jag redogjorde i avsnitt 7 för att förslaget till ny ändamålsbeskrivning innehöll två mycket viktiga utvidgningar. Dessa återfinns i punkterna 8 och 9 till golfklubbs behandlingar och i punkterna 5 8 över tillåtna behandlingar i SGF:s regi. Men, utvidgningarna begränsas också genom de två uttryckligen otillåtna behandlingarna. Bestämmelserna skall sammantaget förstås så att SGF får visserligen hämta adressuppgifter ur GIT men dessa uppgifter kan inte lämnas ut till en sponsor eller samarbetspartner för ändamålet direkt marknadsföring. Alla erbjudanden från en sponsor, exempelvis ett erbjudande till golfspelare om rabatt på bensin, måste bakas in i informationsmaterial som har SGF som avsändare. Det var också viktigt för golfklubbarna att ett skydd upprätthålls mot att exempelvis en entreprenör som vill bygga en ny golfbana kan få ut adresser från GIT för att marknadsföra sitt projekt. Även om den fria konkurrensen skall upprätthållas är det naturligtvis orimligt att golfklubbarna genom ett Förbundsmötesbeslut skulle tvingas lämna ut hela eller delar av sina medlemsregister till tredje man för syftet att få dessa personer att byta klubb. Att adressuppgifter inte lämnas ut hindrar inte klubbar eller kommersiella aktörer från att annonsera i tidningen Svensk Golf om nya banor eller billiga medlemskap. 58
Idrottsjuridik 2007 07-09-10 11.55 Sida 59 För att så långt möjligt förhindra missbruk har GIT-programmet försetts med tekniska spärrar som gör att adresser till andra klubbars medlemmar exponeras först när personen i fråga är inlottad i en tävling eller har betalat gästspelsavgiften. 9. Gränszonen mellan information och direkt marknadsföring Genom att bifalla Stockholmsdistriktets yrkande infördes också en klausul om etiska frågor i Ändamålsbeskrivningen. Innan SGF får ut adressuppgifter ur GIT-databasen skall SGF Golfsystem översända SGF:s begäran till det centrala klubbrådet, CeGIT, för bedömning. Regeln är dock endast tvingande när och om SGF skall informera enskilda golfspelare om erbjudanden från sponsorer eller samarbetspartners (jfr punkten 5 i tillåtna behandlingar SGF). Ytterst är det SGF Golfsystem som avgör om personuppgifter får lämnas ut till tredje man. Även en enskild golfklubb kan vara rätt beslutsfattare, men då för utlämningar av uppgifter ur enbart klubbens medlemsregister. I och med att det finns såväl ett straffrättsligt ansvar för brott mot bestämmelser i PuL, som bestämmelser om skadestånd till person vars integritet kränkts, måste alla beslut som kan medföra anvarspåföljd i någon form fattas av de personer som kommer att bära ett eventuellt straffansvar. CeGIT har ställt sig positivt till att en näringslivstidning skickar med ett erbjudande till alla som deltagit i en tävling som arrangeras i samarbete med SGF. Erbjudanden av det slaget är för övrigt mycket vanliga och uppskattade i samband med tävlingar. CeGIT har däremot nekat att en från klubbarna och SGF helt fristående tävlingsarrangör får tillgång till postadresser till golfspelare som deltagit i tävlingen och där vunnit priser. Det är sannolikt att CeGIT kommer att ställa sig negativa till erbjudanden från SGF till enskilda golfspelare inom områden där det föreligger, eller kan komma att uppstå, konflikter mellan centrala sponsorn och lokala sponsorer. Jag kan också tänka mig att CeGIT kommer att bromsa centrala utskick som gynnar enbart en grupp av medlemsklubbarna. Golfklubbarna får ofta erbjudanden från mer eller mindre seriösa aktörer om att byta produkter eller tjänster mot att aktören får en digital kopia av med- 59
Idrottsjuridik 2007 07-09-10 11.55 Sida 60 lemsregistret. Till gruppen seriösa aktörer kan vi hänföra detaljhandelskedjor som via franchisesystem driver golfshop tillsammans med klubbens tränaren. Klubbtränarna brukar göra ett utskick till klubbens medlemmar med t.ex. kedjans vårkatalog. Många klubbar tillåter detta medan andra motsätter sig att reklam skickas till medlemmarna oavsett vem som är avsändare. Frågan om att lämna ut adresserna måste avgöras av golfklubbarna lokalt så länge detaljhandelskedjorna låter de lokala klubbtränarna ombesörja utskicken. SGF Golfsystem och CeGIT kan bli involverade och ansvariga först om och när en detaljhandelskedja begär att få göra ett centralt riktat utskick till golfspelare. Ett alternativ till ett centralt utskick är att köpa bilageplats i tidningen Svensk Golf. Den modellen är mycket vanlig och faller egentligen utanför såväl PuL som Ändamålsbeskrivningen för GIT. Katalogen distribueras i det här fallet till prenumeranterna för tidningen Svensk Golf och eventuella urval görs på postnummer och ort. 10. Mer om direkt marknadsföring Det är normalt tillåtet att sälja adressuppgifter till tredje man för exempelvis ändamålet marknadsföring av produkter eller tjänster, men ett medlemsregister bör inte användas för sådant ändamål. Det finns en del praxis på detta område. Datainspektionen har i olika beslut konstaterat att adressuppgifter som köpts från kreditupplysningsföretag inte får användas för ändamålet direkt marknadsföring. Regeringsrätten har i två intressanta avgöranden (RÅ 2001 ref 68 och RÅ 2002 ref 54) öppnat för att 10 f PuL ger stöd för att lämna ut uppgifter till tredje man för ändamålet direkt marknadsföring. Jag citerar från domskälen i RÅ 2002 ref 54 som avsåg adressuppgifter som begärdes ut från CSN: I detta mål är det emellertid fråga om privatpersoners intresse av skydd för den personliga integriteten. Det bör i ett sådant fall därför krävas att avvägningen mellan bolagets kommersiella intresse och den enskildes integritetsintresse på ett entydigt sätt utfaller till det förstnämndas förmån för att ett utlämnande av de begärda uppgifterna skall kunna ske. 60
Idrottsjuridik 2007 07-09-10 11.55 Sida 61 Det saknas emellertid skäl att anta att marknadsföringen skulle komma att innehålla inslag som i sig kan betraktas som integritetskränkande. Det bör vidare beaktas att de uppgifter som begärs utlämnade inte kan bedömas vara känsliga. Med hänsyn till nu nämnda förhållanden, liksom till att den enskilde har en ovillkorlig rätt att motsätta sig att personuppgifterna används för direkt marknadsföring, finner Regeringsrätten att bolagets kommersiella intresse i förhållande till det motstående integritetsintresset väger så tungt att dess tilltänkta behandling av personuppgifterna inte kan anses stå i strid med 10 PuL. Det kan inte heller antas att den planerade behandlingen av personuppgifterna skulle strida mot någon annan bestämmelse i PuL. De två Regeringsrättsavgörandena avsåg begäran att få ut adresser enligt offentlighetsprincipen, och om myndigheten kunde vägra detta med stöd av PuL och sekretesslagen. Likväl anser jag att domarna kan tas till intäkt för att en förening kan få använda sitt medlemsregister för kommersiella ändamål, t.ex. genom att låta en sponsor genomföra direkt marknadsföring till föreningens medlemmar. Det finns också regler i marknadsföring kring utskick via e-post. Direkt marknadsföring får som huvudregel endast mejlas till den som har samtyckt till det på förhand (13 b marknadsföringslagen). Som jag redogjort för i avsnitt 8 har Golfsverige bestämt att personuppgifter i GIT inte får lämnas ut till tredje man för ändamålet direkt marknadsföring mot Golfspelare. Enda undantaget är om den enskilda klubben har antagit en intern policy som medger utlämnande av personuppgifter till tredje man, och klubbens medlemmar informerats i förväg om att så kan ske. SGF kommer endast att erbjuda paketlösningar där erbjudanden integreras med information från SGF till golfaren. I vissa större centrala avtal kan det finnas en rätt för samarbetspartnern att genomföra utskick till enskilda golfare. Frågan reglerades med följande skrivning: SGF kan enligt förbundsmötesbeslut ge strategiska partner möjligheten att bearbeta målgruppen som helhet eller som delsegment med erbjudanden kombinerat med information från SGF. Golfare kan avanmäla sig för sådan information. SGF brukar också i avtalet reglera de avtalsmässiga konsekvenserna för det fall att Här förbundsmöte med gement f, tidigare F 61
Idrottsjuridik 2007 07-09-10 11.55 Sida 62 Förbundsmötet eller CeGIT beslutar om en annan ordning som hindrar centrala utskick. 11. Exponering och spridning via Internet Under de första åren med PuL pågick det en allmän debatt om huruvida personuppgifter fick exponeras på Internet eller om man därigenom bröt mot bestämmelsen i 33 PuL rörande överföring av personuppgifter till tredje land. Genom det s.k. Bodilmålet (RH 2004:51 och EGD C-101/01) och Lundsbergsmålet (NJA 2005 s. 361) får det anses vara klarlagt att 33 PuL inte hindrar Internetpublicering som görs från en verksamhet etablerad inom EG/EES. Andra bestämmelser i PuL är självfallet tillämpliga om inte ett Utgivningsbevis för webbplatser m.m., registrerats. Mängder av uppgifter som bearbetats i GIT exponeras på Internet. En del sker bakom den lösenordsskyddade tjänsten Min Golf, men tävlingsinformation är såväl sökbart som publikt. Min Golf innehåller en kraftfull bokningsmotor med exponering av samtliga speltider på över 350 golfanläggningar. På bokade tider visas kön och hcp för de spelare som bokat tiden. Namn och klubb visas inte. Den som är inloggad i Min Golf kan se namnet på spelarna i den boll som han/hon är inbokad i. I Danmark har man däremot valt att visa allt i klartext och att även göra den centrala databasen sökbar motsvarande Eniros katalogtjänster! Trots att vi i grunden jobbar efter samma EG-direktiv (95/46/EG) görs det mycket skilda tolkningar av var gränsen för den personliga integriteten ligger. Tävlingsdata kan också vara känsliga. Den enskilda golfaren får visserligen acceptera att sämre idrottsliga prestationer syns i listor på webben, men klubbarna är generellt sett försiktiga med att publicera företagstävlingar och andra mindre officiella tävlingar på Internet. Erfarenheten säger nämligen att en och annan golfare inte vill avslöja för arbetskollegerna att kundbesöket gjordes på en golfbana 12. Den enskilda golfarens rättigheter För att undvika konflikter och respektera det faktum att bland 550 000 golfare finns det många olika åsikter om vad som är integritetskänsligt, har vi lagt in 62
Idrottsjuridik 2007 07-09-10 11.55 Sida 63 flera möjligheter att säga nej till behandlingar. Vi får kontinuerligt mejl och samtal från golfspelare med starka åsikter om vad som inte borde vara tillåtet att göra i GIT. Protesterna från golfarna gäller ofta att deras namn exponerats på Internet, t.ex. i samband med en golftävling. För att blidka de kritiska golfarna har vi i Min Golf infört en funktion som innebär att golfspelaren kan aktivera ett sekretesskydd för att stoppa visning av namnet i tävlingslistor på Internet. I stället för namnet visas Sekretess. Sedan 2004 har emellertid antalet personer som väljer att skydda sitt namn minskat radikalt. Datainspektionen initierade efter ett flertal påstötningar och insända klagomål från enskilda golfare, ett tillsynsärende (dnr 1730-2004). Efter inspektion av GIT på Ågesta GK och skriftväxling med SGF Golfsystem konstaterade Datainspektionen i ett beslut att myndigheten inte funnit några brister i personuppgiftshanteringen på Ågesta GK. Vi drog därvid slutsatsen att möjligheten att välja sekretess på Internet var en tillräcklig åtgärd för att uppfylla kravet på en försiktig hantering av personuppgifter på Internet. Så långt möjligt har vi försökt följa Datainspektionens råd kring personuppgifter och Internet. Efter införandet av den nya Ändamålsbeskrivningen har det också införts en möjlighet att kryssa Nej till utskick av information från SGF, Golfdistriktsförbund eller annan klubb än hemmaklubben. Jag har visserligen tidigare anfört att personuppgifterna i GIT inte skall användas för direkt marknadsföring utan endast för information, men vad som är marknadsföring kontra information kan man naturligtvis ha olika uppfattningar om. Genom att erbjuda Nej-rutor uppfyller GIT 11 PuL om att Personuppgifter får inte behandlas för ändamål som rör direkt marknadsföring, om den registrerade hos den personuppgiftsansvarige skriftligen har anmält att han eller hon motsätter sig sådan behandling. 13. Behandlingar som faller utanför PuL Jag skall avslutningsvis diskutera frågan om det finns behandlingar i GIT som kan anses falla inom den s.k. missbruksbestämmelsen i 5 a PuL som trädde i kraft den 1 januari 2007. Av denna bestämmelse följer att reglerna i PuL inte gäller för behandling av personuppgifter som inte ingår i eller är avsedda att ingå i en samling av per- 63
Idrottsjuridik 2007 07-09-10 11.55 Sida 64 OK? sonuppgifter som har strukturerats för att påtagligt underlätta sökning efter, eller sammanställning av, personuppgifter. En sådan behandling får dock inte utföras om den innebär en kränkning av den registrerades personliga integritet. I sak kan jag inte se att 5 a PuL omfattar de tillåtna behandlingarna i GIT. All databehandling i GIT bygger på väl strukturerade personuppgifter som är såväl sökbara som sammanställda. Möjligen finns det enstaka behandlingar av t.ex. vissa listor på webben som skulle kunna uppfylla rekvisiten i 5 a (sökmöjligheter saknas, statisk sammanställning), men dessa behandlingar är enligt vår uppfattning likväl acceptabla enligt 10 PuL. Datainspektionen anför i frågor & svar på myndighetens webbplats att publicera en lista med namn som inte har strukturerats på annat sätt än att de står i en viss ordning är ett exempel på behandling av personuppgifter som är undantagen från PuL:s hanteringsregler. Som exempel på sådan lista ges att en förening presenterar en lista på medlemmarna i styrelsen på sin webbplats. I tredje upplagan av Personuppgiftslagen av Sören Öman och Hans-Olof Lindblom ges ett belysande exempel på när undantagsregeln är tillämplig. Om en lista skrivs in i ett Worddokument skall (kan) 5 a PuL tillämpas. Om listan däremot skrivs in i Excel har det påtagligt underlättats för sökningar eller sammanställningar och 5 a är inte tillämpar. 14. Sammanfattning Bestämmelserna i PuL kan ärligen inte anses ha hindrat någon önskad behandling i GIT. Det som klubbar och förbund behöver göra faller inom det tillåtna området, och utan krav på uttryckligt samtycke. Att golfsporten har haft långtgående hinder mot att exponera adresser i systemet har primärt berott på att klubbarna varit negativa och rädda för att deras medlemsregister skulle få fötter och missbrukas av andra klubbar. Det skall inte förnekas att ett väl underhållet register med över 550 000 registrerade personer är en guldgruva för moderna marknadsföringsmetoder. Det gäller såväl utskick som mer avancerade annonsexponeringar på Internet. Ett totalt fritt utlämnande av adressuppgifter eller djupare analyser av golfarnas val av banor, bostadsort, hcp, spelfrekvens m.m., hade sannolikt kunnat ge kraftigt ökade intäkter till sporten. 64
Idrottsjuridik 2007 07-09-10 11.55 Sida 65 Golfsverige har genom det senaste Förbundsmötesbeslutet valt att inta en balanserad avvägning mellan respekt för personlig integritet och ett spridande av adressuppgifterna. Information går före direkt marknadsföring och den som inte vill ha informationen slipper. Den som inträtt som medlem i en golfklubb skall inte tvingas bli utsatt för en uppsjö av reklamerbjudanden. Jag kan inte i nuläget se något tungt skäl för att försöka sätta PuL ur spel genom att inordna publiceringarna under någon av undantagsbestämmelserna, t.ex. journalistiska ändamål eller registrera ett utgivningsbevis för webbplatsen. Det hade öppnat möjligheten att skapa en publik matrikel över alla svenska golfspelare med adresser, telefonnummer och flygfoto över bostaden. Men vill vi ha det och finns det något reellt behov? Nej, jag tror inte det. 65