Tillsyn enligt personuppgiftslagen (1988:204) - registrering av kunduppgifter samt klagomåls- och reklamationshantering

Beslut Dnr 2009-01-12 767-2008 Ving Sverige AB 105 20 Stockholm Tillsyn enligt personuppgiftslagen (1988:204) - registrering av kunduppgifter samt klagomåls- och reklamationshantering Datainspektionens beslut Datainspektionen konstaterar att Ving Sverige AB behandlar kunders personuppgifter i kundregistret i strid med 9 punkten i) personuppgiftslagen genom att spara kunduppgifter i kundregistret längre tid än två år efter avslutad resa. Datainspektionen förelägger Ving Sverige AB att antingen inhämta kundernas samtycke eller gallra kunduppgifter som är äldre än två år. Datainspektionen konstaterar vidare att Ving Sverige AB:s information om personuppgiftsbehandlig inte uppfyller kraven i 23-25 personuppgiftslagen. Ving föreläggs att komplettera och förändra de brister i informationen som framgår av skälen. Ärendet avslutas. Redogörelse för tillsynsärendet Datainspektionen har under året arbetat med ett tillsynsprojekt med syfte att kontrollera hur resebolag registrerar uppgifter om sina paketresekunder, särskilt uppgifter om reklamationer och klagomål. Som ett led i tillsynsprojekt genomförde Datainspektionen en inspektion hos Ving Sverige AB (Ving) den 3 juni 2008. Vid inspektionen framkom bl.a. följande: Kundhanteringssystemet Oneview Ving behandlar uppgifter om kunder i ett nytt kundhanteringssystem OneView, som används för bokningar och reklamationer. Detta system har varit i drift sedan den 15 april 2008 och arbetet med att helt övergå till detta system beräknas vara klart under juni månad. Postadress: Box 8114, 104 20 STOCKHOLM E-post: datainspektionen@datainspektionen.se Besöksadress: Fleminggatan 14, plan 9 Telefon: 08-657 61 00 Webbplats: www.datainspektionen.se Telefax: 08-652 86 52

2 (7) I OneView får personalen i kundtjänst tillgång till olika information om kunder såsom, bokningar, reklamationer, riktade reklamerbjudanden samt medlemskap på Mina sidor. Den personliga informationen om kunden som behandlas är namn, adress, telefonnummer, e-post, kön, kundnummer och födelsedata (endast obligatoriskt vid bokning på Internet). Vidare framgår viss information om bokningar såsom bokningsnummer, avresedatum, flygplats, destination, hotell, antal medpassagerare, status (t.ex. Avrest eller Inställd ). Viss ytterligare information behandlas om bokningen. Det är också möjligt att i samband med en bokning notera speciella önskemål som kunden har t.ex. ett rum med balkong. Detta fylls i av Vings personal i ett fritextfält. Det är inte möjligt för kunden att lämna sådana speciella önskemål vid bokning på Internet. Begränsad information om reklamationer lämnas också på bilden som reklamationsnummer, status, bokningsnummer och typ. Slutligen kan man genom bilden få information om reklam som skickats till kund samt om kunden är medlem på Mina sidor och anmält att han eller hon vill ha reklamutskick från Ving. OneView är gemensamt för Sverige, Finland, Danmark och Norge. Dock är åtkomsten till uppgifterna begränsad och uppdelad på så sätt att personal i Sverige endast har tillgång till uppgifter om svenska kunder. Reklamationshantering Ving tar emot reklamationer per mejl eller vanligt brev. Det går också att använda sig av Vings formulär för reklamationer som finns på företagets webbplats. Endast om det finns särskilda skäl accepterar Ving muntliga reklamationer. Reklamationer som skickas med vanligt brev scannas in och lagras digitalt i OneView. Om klagomålet avser det som en återförsäljare, s.k. agenter, ansvarar för t.ex. avtalat pris, skickas en kopia på klagomålet vidare till agenten. Uppgifter om äldre reklamationer, dvs. före det att OneView togs i drift, finns lagrade i ett annat system för reklamationshantering. Alla nya reklamationer registreras i OneView och planeringen är att det äldre systemet kommer att tas ur drift helt i september 2008. Endast ett begränsat antal personer, i dag ca 10 st., har åtkomst till detaljerade uppgifter om reklamationer. Kundtjänst har tillgång till den information om reklamationer som framgår av översiktbilden i One- View. I samband med en reklamation registreras uppgifter om namn, adress, personnummer (ej obligatoriskt), födelsedata (endast obligatoriskt vid bokning via Internet), land, telefonnummer, e-postadress samt bokningsnummer. Det sistnämnda är en förutsättning eftersom alla re-

3 (7) klamationer katalogiseras utifrån bokningsnummer. Vidare registreras s.k. orsakskoder, dvs. en katalogisering vad reklamationen avser. Under handläggningen av ett klagomål registreras även olika händelser i OneView. Det kan t.ex. vara att kunden varit i kontakt med Ving och ställt ytterligare frågor. Det är också möjligt att föra en kommunikation t.ex. med representanter för resmålet och ställa frågor och få svar på dessa i OneView. Det finns möjlighet att markera en reklamation som Urgent eller Sensitive. Detta används dock inte i dagsläget. Exempel på reklamationer som, om funktionen tas i bruk, skulle kunna Sensitive är sådan som innehåller information om brottslig handling, dödsfall och familjeproblem. Portalen Min Vingsida Vidare erbjuder Ving en möjlighet att bli medlem på Min Vingsida. Det är en webbportal där man kan gå in och beställa resor, anmäla sig till nyhetsbrev och få information om resemål etc. Vid registrering lämnar kunden uppgifter om namn, födelsedata, adress, telefonnummer och e-postadress. Duty Office Ving har ett s.k. Duty Office som har dygnet-runt-beredskap. Syftet är bl.a. att snabbt kunna vidta åtgärder vid olika nödsituationer. Detta Duty Office har tillgång till de uppgifter som lagras om kunder i OneView. Det gäller samtliga kunder dvs. uppgifter om norska, danska och finländska kunder. Antalet anställda som arbetar i Duty Office är 3-5 st. Ändamålet med behandlingen av kunduppgifter Vings huvudändamål med att behandla uppgifter om kunder i OneView är kundadministration dvs. för att kunna fullfölja avtalet med kunden. Därtill används uppgifterna för att kunna fullfölja avtalet med kunden. Därtill används uppgifterna för att kunna behandla reklamationer, utskick av taxfreekatalog samt, i vissa situationer, för utskick av annan direktreklam. Utlämnande av personuppgifter I ett fåtal fall lämnar Ving ut personuppgifter ur bokningsregistret till samarbetspartners. En sådan samarbetspartner är Inflight Service Europé AB, som är ett företag som sköter utskick av taxfreekataloger åt en mängd flygbolag. Vidare lämnar Ving ut vissa uppgifter om kunder och medresenärer till hotell(bl.a. namn, adress, tidpunkt och rum), bussbolag ( bl.a. namn, ålder på barn, kön och hotell), biluthyrningsföretag (namn, adress, destination, bokningsnummer, hotell, bil och tidpunkt) och resmål. Marknadsföring Ving använder kunders adresser för att skicka ut taxfreekatalog. Det sker endast om kunden accepterat att få katalogen hemskickad. Vidare kan en kund, via Min Vingsida prenumerera på ett nyhetsbrev.

4 (7) Skäl för beslutet Slutligen skickar Ving ut s.k. avresemejl ca tre veckor före en avresa. Dessa kan innehålla olika erbjudanden. Ett avresemejl skickas endast om kunden accepterat att få marknadsföring via e-post. Information om personuppgiftsbehandling På Vings webbplats finns en särskild information om hur kunders personuppgifter behandlas. Denna information finns under rubriken Viktigt att veta. Vidare finns denna information i Vings resekatalog. Vid bokning på internet får kunden bekräfta att han eller hon tagit del av resevillkoren samt Viktigt att veta. Vid ett tillfälle har Ving fått en begäran om registerutdrag enligt 26 personuppgiftslagen. Gallring av personuppgifter Eftersom OneView nyligen tagits i bruk har ingen information gallrast ur systemet. Ving håller på att ta fram riktlinjer för hur länge uppgifterna om reklamationer ska vara tillgängliga i systemet. Som det ser ut idag är tanken att överföra uppgifterna om reklamationer ur OneView till ett arkivsystem efter ca. två år. I dag sparas uppgifter om reklamationer under tio år eftersom preskriptionstiden är tio år. Uppgifter om en resa ligger kvar i OneView under tre år. Skälet är att Vings definition av en kund utgår ifrån att en person återkommer och köper en ny resa inom denna tid. Så länge som kunden uppfyller detta sparas uppgifter om tidigare resor dvs. om en kund under en tioårsperiod köpt en resa varje år sparas uppgifterna om samtliga resor. Personlig information om kunden såsom namn, adress, telefonnummer, sparas så länge som denne uppfyller Vings villkor att klassas som kund. Det innebär att uppgifterna sparas i minst tre år men denna tid kan bli längre om kunden återkommer och köper en ny resa. Personuppgiftsbiträdesavtal Ving har ett driftsavtal ang. IT-driften med TietoEnator där det i avsnitt 16.2 i avtalet behandlar TietoEnators biträdesroll. Vilka regler är tillämpliga? Personuppgiftslagen gäller i första hand sådan behandling av personuppgifter som är automatiserad. Det framgår av 5 personuppgiftslagen. Med personuppgifter avses enligt 3 personuppgiftslagen all slags information som direkt eller indirekt kan hänföras till en person som är i livet. Ving behandlar uppgifter om kunder och reklamationer/klagomål i elektroniska system. Materialet är strukturerat, enligt 5 a personuppgiftslagen, på ett sådant sätt att de s.k. hanteringsreglerna i personuppgiftslagen är tillämpliga på behandlingen.

5 (7) Allmänt om behandling av personuppgifter I personuppgiftslagen finns grundläggande krav som gäller behandling av personuppgifter. I 9 personuppgiftslagen anges bl.a. att den personuppgiftsansvarige ska se till att personuppgifter endast samlas in för särskilda uttryckligt angivna och berättigade ändamål. Uppgifterna får därefter inte behandlas för något ändmål som är oförenligt för de ändamål som de samlades in för. Den personuppgiftsansvarige får inte heller behandla fler personuppgifter än vad som är nödvändigt med hänsyn till ändamålet. Den personuppgiftsansvarige ska se till att de personuppgifter som behandlas är adekvata och relevanta i förhållande till ändamålet med behandlingen samt att de personuppgifter som behandlas är riktiga. I bestämmelsens andra stycke anges att en behandling av personuppgifter för statistisk ändamål inte ska anses som oförenligt med de ändamål som uppgifterna samlades in. I 10 personuppgiftslagen regleras under vilka förutsättningar det är tillåtet att behandla personuppgifter. Utgångspunkten är att behandling är tillåten endast om den registrerade har lämnat sitt samtycke. Från den regeln finns omfattande undantag. Det anges bland annat att personuppgifter får behandlas om behandlingen är nödvändig för att ett avtal med den registrerade ska kunna fullgöras. Om behandlingen avser känsliga personuppgifter, personnummer, uppgifter om lagöverträdelser finns ytterligare begränsningar i 13-19 personuppgiftslagen. Särskilt om behandling av personuppgifter i kundregister I sitt kundregister behandlar Ving uppgifter om kundens för- och efternamn, adress, mobil- och hemtelefonnummer, födelsedatum, kön samt uppgifter om bokade samt avslutade resor. Uppgifterna behandlas för ändamålen kundadministration, reklamation och direktreklam. Datainspektionen väljer att särskilt ta upp Vings gallring av kunduppgifter. I övrigt har Datainspektionen inga synpunkter på hur Ving hanterar kunduppgifter. Ett av de grundläggande kraven som ställs på behandling av personuppgifter är att den personuppgiftsansvarige ska se till att personuppgifter inte bevaras under längre tid än vad som är nödvändigt för ändamålet. Därefter ska uppgifterna gallras, dvs. avidentifieras eller förstöras på ett sådant sätt att de inte går att återskapa. Det framgår av 9 första stycket punkten i) personuppgiftslagen. Om det finns bestämmelser om bevarande i annan lag eller förordning ska de bestämmelserna gälla. Ving sparar kundens namn- och adressuppgifter under tre års tid i kundregistret. Även uppgifter om kundens resa sparas under tre års tid. Flera andra resebolag har samman inställning som Ving till att spara dessa uppgifter. Om kunden återkommer inom denna tid och köper en ny resa hos Ving sparas kontaktuppgifterna och resehistoriken under ytterligare tre år räknat från den nya resan. För kunder som reser frekvent innebär detta att Ving kan följa kunders resemönster på ett detaljerat sätt. Datainspektionen anser att kunduppgifter, inklusive uppgifter om resor, normalt får sparas i resebolags kunddatabas under två år efter avslutad resa. Om

6 (7) resebolaget vill kunna lämna erbjudanden och ge särskild service som bygger på att sådana uppgifter finns bevarade under en längre tid än två år så kan det ske genom att bolaget inhämtar ett samtycke från kunden. Om så inte sker måste uppgifterna gallras ur kundregistret. Av utredningen framgår att Ving sparar uppgifter om kunder, oavsett om denne samtyckt eller inte, under minst tre år. Det är inte visat att Ving har behov av att spara uppgifter i kundregister under längre tid än två år. Mot denna bakgrund konstaterar inspektionen att Ving behandlar uppgifter i strid med 9 punkten i) personuppgiftslagen. Reklamations- och klagomålshantering Ving lagrar reklamationer och klagomål digitalt i OneView dvs. genom att brev skannas in och e-post läses in. Ving sparar uppgifterna, inklusive själva reklamationen, under tio år. Lagringstiden är vald med hänsyn till preskriptionstiden. Datainspektionen väljer att särskilt ta upp Vings gallring av uppgifter om reklamationer. I övrigt har Datainspektionen inga synpunkter på hur Ving hanterar reklamationer och klagomål. Uppgifter om en avslutad reklamation får sparas under den tid som kunden kan återkomma med en ny reklamation. Orsaken är att resebolaget ska ha möjlighet att kontrollera om kunden reklamerat och förhindra t.ex. att kunden får dubbel kompensation. När det gäller att spara uppgifter som krävs för att uppfylla bokföringslagens krav sparas för detta ändamål och under den tid som anges i denna lag. Det kan innebära att vissa uppgifter får sparas medan andra måste gallras. Datainspektionen kan inte inom ramen för detta tillsynsärende avgöra vilka uppgifter om reklamationer som är nödvändiga att spara för bokföringsändamål. Det ifrågasätts dock om alla uppgifter, t.ex. den inskannade kopian av reklamationen som kan innehålla integritetskänslig information, är nödvändiga att spara för detta ändamål. Uppfylls kraven på information till de registrerade? Det är viktigt att de registrerade informeras om behandlingen av personuppgifter som sker i samband dels med bokning av en resa dels vid klagomål/reklamation. Informationen är nödvändig för att de registrerade ska kunna ta tillvara sina rättigheter. Enligt 23-25 personuppgiftslagen ska den personuppgiftsansvarige, i detta fall Ving, självmant lämna information om behandlingen av personuppgifter till de registrerade. Informationen bör innehålla: den personuppgiftsansvariges identitet (namn, adress, telefonnummer, organisationsnummer och i förekommande fall e-postadress), ändamålen med behandlingen av personuppgifter, all övrig information som behövs för att den registrerade ska kunna ta tillvara sina rättigheter i samband med behandlingen, såsom - vilka kategorier av uppgifter som behandlas,

7 (7) - hur länge uppgifterna sparas, - mottagare eller kategorier av mottagare av uppgifterna (dvs. till vilka uppgifterna kommer att lämnas ut), - rätten att gratis en gång årligen efter ansökan få information samt - rätten till rättelse Ving lämnar information i sina allmänna villkor (sid 225 i katalogen Vings värld april 2008 Mars 2009) samt på webbplatsen (Om personuppgifter). Informationen brister dock på följande punkter: Det saknas information om hur länge personuppgifterna bevaras. Det saknas information om att registerutdrag är gratis och lämnas på begäran en gång per år. Det saknas information om möjligheten att få rättelse. Datainspektionen förelägger Ving att åtgärda de brister i informationen som framgår ovan. Hur man överklagar Om ni vill överklaga beslutet skall ni skriva till Datainspektionen. Ange i skrivelsen vilket beslut som överklagas och den ändring som ni begär. Inspektionen måste ha fått ert överklagande inom tre veckor från den dag ni fick ta del av beslutet, annars kan överklagandet inte prövas. Datainspektionen sänder överklagandet vidare till Länsrätten i Stockholms län för prövning om inspektionen inte själv ändrar beslutet på det sätt ni har begärt. Håkan Meurling