Resebranschens register Datainspektionens rapport December 1998
Innehållsförteckning 1. Inledning 3 2 Lagstiftning m.m. 4 Datalagen och personuppgiftslagen 4 Europarådets förordning om en uppförandekodex för datoriserade bokningssystem 4 Rekommendation 1/98 om datoriserade bokningssystem 5 3 Inspektionerna 6 Ändamål med inspektionerna 6 Vad som framkommit vid inspektionerna 6 4 Rättsliga avgöranden 8 SABRE - målet 8 Beslut av Datainspektionen i tillståndsärenden 8 5. Avslutning 9 2
1. Inledning Datainspektionen har genomfört 19 inspektioner som avser resebranschen. Inspektionsobjekten var Bennet Resebyrå AB, Birka Line Svenska AB, British Airways, EF Eduction AB, Fritidsresor Sverige AB, Kilroy Travels AB, Motormännens Resebyrå AB, Nyman & Schultz AB, Resekompaniet i Stockholm AB, Scandline AB, Senior Production AB, Statens Järnvägar, Stena Line Scandinavia AB, STS Student Travels Schools AB, Swissair, Ticket Travel Group AB, Viking Line Skandinavien AB, Vingresor AB, Äventyrsresor AB. Syftet med inspektionerna var att kartlägga vad som registreras om kunder (passagerare) och hur dessa personuppgifter används. I denna rapport behandlas framförallt användningen av personuppgifter som rör flygresenärer, eftersom denna användning (i synnerhet kopplingen till de internationella flygbokningssystemen) väckt särskilda frågor ur integritetssynpunkt. I tillämpliga delar är dock vad som sägs i rapporten giltigt även beträffande registrering m.m. av båt-, tåg- och bussresenärer. I avsnitt 2 behandlas aktuell lagstiftning samt Europarådets uppförandekodex för datoriserade bokningssystem och en rekommendation som syftar till ändringar av denna kod. Redogörelse för inspektionsresultaten finns i avsnitt 3. Ett domstolsavgörande (SABRE-målet) refereras i avsnitt 4. I avsnittet finns också en kort redogörelse för beslut från Datainspektionen i tillståndsärenden. Avsnitt 5 är en avslutning med påpekanden och förslag. 3
2. Lagstiftning m.m. Datalagen och personuppgiftslagen Inspektionerna genomfördes med stöd av datalagen (1973:289). Därefter har personuppgiftslagen (1998:204) - PuL - trätt i kraft den 24 oktober 1998 och datalagen har upphört att gälla. Enligt övergångsbestämmelserna till PuL gäller dock datalagens bestämmelser till och med den 30 september 2001 för personregister som var inrättade före den 24 oktober 1998. Datalagens regler gäller således t.o.m. 30 september 2001 för de inspekterade personregistren. Av datalagens regler framgår bl.a. följande: Personregister skall föras så att inte otillbörligt intrång i registrerads personliga integritet uppkommer. För kundregister krävs normalt inget tillstånd från Datainspektionen. Personregister med känsligt innehåll t.ex. uppgift om någons sjukdom och hälsotillstånd, religiösa tro eller övertygelse m.m., kräver dock sådant tillstånd. Personuppgift, som skall användas för automatisk databehandling i utlandet, får inte utan medgivande från Datainspektionen lämnas ut till stat som inte anslutit sig till Europarådets konvention om skydd för enskilda vid automatisk databehandling (dataskyddskonventionen). Av personuppgiftslagens regler framgår bl.a. följande: PuL ställer vissa grundläggande krav på behandlingen av personuppgifter, bl.a. får personuppgifter behandlas endast på ett korrekt sätt och i enlighet med god sed. Personuppgifter får i princip bara behandlas om den registrerade lämnat sitt samtycke till det, men flera undantag finns. Undantagen är dock särskilt snävt begränsade vad avser behandlingar av känsliga personuppgifter och för överföring av personuppgifter till tredje land, dvs ett land som inte ingår i Europeiska unionen (EU) eller är anslutet till Europeiska ekonomiska samarbetsområdet (EES). Europarådets förordning om en uppförandekodex för datoriserade bokningssystem Genom Europarådets förordning (EEG) nr 2299/89 har en s.k. uppförandekodex antagits för datoriserade bokningssystem (nedan kallad uppförandekodexen). Förordningen gäller sedan 1989 (kompletterad 1993). Det primära syfte med uppförandekodexen är att främja effektiv konkurrens. I artikel 6.2 finns dock en integritetsskyddsbestämmelse. I denna bestämmelse stadgas att en systemleverantör (varje företag och dess filialer som har ansvaret för driften eller marknadsföringen av ett datoriserat bokningssystem) inte får göra personlig information rörande en passagerare tillgänglig för andra som inte är inblandade i transaktionen utan samtycke från passageraren. 4
Rekommendation 1/98 om datoriserade bokningssystem Under våren 1998 förde en särskild arbetsgrupp med representanter från EU-ländernas dataskyddsmyndigheter diskussioner om flygbokningssystem ur integritetssynpunkt. Diskussionerna resulterade i en rekommendation, antagen den 28 april 1998, som riktar sig till EUs kommission, parlament, råd och till Ekonomiska och sociala kommittén. Rekommendationen innehåller förslag att den ovan nämnda uppförandekodexen kompletteras med integritetsskyddsbestämmelser. I rekommendationen föreslås införandet av uttalade skyldigheter att informera konsumenten om att personuppgifterbehandlas i datoriserade bokningssystem. Informationen bör omfatta systemleverantörens namn och adress, ändamålen med behandlingen, hur länge uppgifterna bevaras och hur den registrerade skall gå till väga för att tillämpa sin rätt till tillgång till uppgifterna. inhämta de registrerades uttryckliga samtycke tillatt få registrera känsliga uppgifter (funktionshinder, måltider till muslimer osv.) omgående svara på en begäran från en passagerare somvill få tillgång till sina personuppgifter. Förslag finns också rörande gallring (utplåning) av personuppgifter och tidsbegränsningar av möjligheter att ha personuppgifter tillgängliga "online" i bokningssystemen. Det bör dock påpekas att det ännu inte är klart om rekommendationen kommer att medföra ändringar i uppförandekodexen. Rekommendationen har i sig ingen rättsverkan och utgör endast ett uttryck för de ändringar i uppförandekodexen som den ovan nämnda arbetsgruppen anser vara påkallade. 5
3. Inspektionerna Ändamål med inspektionerna Ändamålet med inspektionerna var att ta reda på vad som registreras om kunder (passagerare) i resebranschens personregister och hur sådana personuppgifter behandlas. Av särskilt intresse har varit att notera om känsliga personuppgifter registreras, om personuppgifter lämnas ut till utlandet, samt hur länge personuppgifter bevaras och är tillgängliga på ADB-medium. Vid inspektionerna har även andra kontroller utförts som är allmänt förekommande vid datalagsinspektioner, t.ex. rörande ADB-säkerhet, rutiner för utdrag enligt 10 datalagen och vidtagna åtgärder inför år 2000. Resultatet av dessa kontroller, som inte är specifika för resebranschen, redovisas inte i denna rapport. Vad som framkommit vid inspektionerna Inom resebranschen förs olika former av kundregister. Karakteristiskt för branschen är de kundregister som används för resebokningar (bokningsregister). Flertalet inspektionsobjekt registrerar sådana personuppgifter som är känsliga enligt 4 2 stycket datalagen, såsom uppgifter om handikapp, önskemål om kost som är betecknande för personer med viss religiös tro eller övertygelse. Registrering av sådana uppgifter sker främst i bokningsregistren. Uppgifterna behövs enligt resebranschen för att förbättra servicen för vissa passagerare. Tillstånd från Datainspektionen att föra personregister med känsliga personuppgifter saknades hos merparten av de inspekterade bolag som registrerade sådana uppgifter. För bokningar av flygresor används i allmänhet något av de internationella bokningssystemen Amadeus, Galileo, Sabre, Pars och Smart. Dessa globala bokningssystem ägs, förutom Smart, av olika sammanslutningar av flygbolag med filialer i Sverige. Smart ägs huvudsakligen av SAS genom Smart Sverige AB. Personuppgifter som registreras och behandlas i de globala flygbokningssystemen är sådana som primärt behövs för att biljett skall kunna bokas/utfärdas, men också för t.ex. hotellbokningar och biluthyrning. Personuppgifter lagras i databaser även utanför EU. Mottagare (i och utanför EU) av uppgifter i ett bokningssystem är resbyråagenter, lufttrafikföretag och andra som är inblandade i en särskild transaktion. Vid inspektionerna kunde det konstateras att personuppgifter - genom de internationella flygbokningssystemen - lämnas ut även till länder som inte anslutit sig till 6
dataskyddskonventionen. De inspekterade bolag som på detta sätt lämnar ut personuppgifter saknade i regel det medgivande av Datainspektionen som krävs enligt 11 datalagen. Vad gäller de inspekterade bolagens gallring av personuppgifter i personregister, kan det först konstateras att det i allmänhet saknades heltäckande rutiner för hur gallring skall ske av kunduppgifter. I regel gallrar dock bolagen bokningsuppgifter (inklusive känsliga personuppgifter) i sina register kort tid efter det att en resa avslutats. Det förekom emellertid att känsliga uppgifter fanns lagrade även lång tid efter avslutad resa. Det kan ibland tillskrivas just avsaknaden av gallringsrutiner. Det fanns också exempel på att känsliga uppgifter bevarades för andra ändamål än för direkta bokningsändamål, t.ex. då uppgifter behövs för försäkrings- eller reklamationsärenden eller då uppgifter bevaras på önskemål från kunden (så att framtida resor, efter kundens behov, skall kunna erbjudas). Uppgifter om en bokad resa är endast tillgängliga "on line" i de internationella flygbokningssystemen för behöriga användare (t.ex. ett svenskt företag som bokat resan) och denna åtkomst är möjlig endast under en begränsad tid efter det att resan är avslutad. Hur gallring av personuppgifter, som lämnats ut från Sverige, sedan görs i utlandet har inte framkommit under Datainspektionens inhemska kontroll. 7
4. Rättsliga avgöranden SABRE - målet American Airlines, Inc. för ett personregister "SABRE" över sina kunder (köpare av resor). Bolaget ansökte i maj 1995 hos Datainspektionen om medgivande enligt 11 datalagen att få lämna ut personuppgifter ur registret för automatisk databehandling i USA i det internationella flygbokningssystemet "SABRE". Datainspektionen medgav utlämnande, men meddelade samtidigt föreskrifter att utlämnande bara får ske när en kund informerats om och samtyckt till att uppgifter lämnas ut. American Airlines har överklagat beslutet angående föreskrifterna om information och samtycke. Länsrätten i Stockhoms län (dom den 16 februari 1996, mål nr Ö 9386-95)och Kammarrätten i Stockholm (dom den 23 april 1997, mål nr 2104-1996) har inte ändrat de aktuella föreskrifterna eftersom dessa, enligt domstolarna, behövdes för att undvika otillbörligt integritetsintrång. I domstolarna invände American Airlines bl.a. att man tillämpade Europarådets förordning (EEG) nr 2299/89 (se avsnitt 2.2), vilken som lex specialis i förhållande till datalagen uttömmande borde anses reglera frågan om utlämnande. Domstolarna kom till slutsatsen att förordningen inte kunde anses som en speciallagstiftning som utesluter en tillämpning av datalagens längre gående regler beträffande integritetsskyddet. American Airlines har överklagat kammarrättens avgörande till Regeringsrätten. Frågan om prövningstillstånd skall meddelas med anledning härav har ännu inte avgjorts. Beslut av Datainspektionen i tillståndsärenden Efter inspektionerna har flera av de inspekterade bolagen till Datainspektionen inkommit med ansökningar om tillstånd enligt datalagen att få föra personregister. Ansökningar om ändringar av redan tillståndsreglerade personregister har också givits in. Ansökningarna har framförallt avsett önskemål om att dels få föra personregister med känsliga uppgifter, dels få lämna ut personuppgifter till utlandet utan hinder av bestämmelsen i 11 datalagen. Datainspektionen har beviljat ansökningarna och, med beaktande av omständigheterna i varje enskilt ärende, meddelat föreskrifter (villkor för registrets förande). Föreskrifter har meddelats med innebörd att såväl registrering av känsliga personuppgifter som utlandsutlämnande av personuppgifter får ske endast under förutsättning att kunden informeras och samtycker. Inspektionen har också föreskrivit att känsliga personuppgifter skall gallras kort tid efter det att en resa avslutats. Beträffande ett personregister, där ändamålet med registret berättigat ett längre bevarande av känsliga uppgifter, har inspektionen meddelat en föreskrift om särskild åtkomstbegränsning vad avser sådana uppgifter. I ett beslut finns en föreskrift att den registeransvarige skall gallra personuppgifter om den person som uppgifterna gäller begär detta. 8
5. Avslutning Datalagens regler gäller till och med den 30 september 2001 för de personregister som inspekterats i reseprojektet. Således kommer den slutliga utgången av SABRE-målet att ha direkt betydelse för utlandsutlämnanden under denna tid. När resor bokas registreras en mängd detaljerad information som ofta omfattar direkt känsliga personuppgifter. Möjligheter finns att göra mer eller mindre integritetskänsliga analyser på kundnivå, särskilt när uppgifter bevaras under en längre tid. Kunduppgifter (inklusive känsliga personuppgifter) lämnas även till utlandet. Vid inspektionerna har inte framkommit att några integritetskänsliga bearbetningar/kundanalyser görs idag. Om resebranchen överväger att göra sådana analyser bör kunderna informeras om detta så att de själva kan bestämma om de godtar att en sådan analys görs om dem. Det finns anledning för Datainspektionen att bevaka resebranschens användning av kunduppgifter i framtiden. Beträffande bestämmelserna i PuL kan följande allmänna påpekanden göras. Huvudregeln är att personuppgifter endast får behandlas med de registrerades samtycke. Vidare kan det framhållas att ett av lagens grundläggande krav är att behandlingar av personuppgifter skall ske i enlighet med god sed. Vad som är god sed varierar beroende på vilket slag av behandling det är fråga om. En internationell uppförandekodex kan t.ex. någon gång vara direkt avgörande för om en behandling är laglig eller inte, men den kan också ha indirekt betydelse genom att utgöra ett uttryck för vad som är förenligt med god sed. Eventuella ändringar i uppförandekodexen i Europarådets förordning (EEG) nr 2299/89 (se avsnitt 2.2 och 2.3) kan således få stor betydelse för hur behandlingar av personuppgifter inom lufttransportsektorn skall bedömas. Frivilliga överenskommelser inom en bransch (branschöverenskommelser), med normer som rör behandlingar av personuppgifter i branschen, torde också få stor betydelse för att fastställa vad som är god sed. Inom resebranschen kan det därför finnas anledning att överväga om det är möjligt att på detta sätt komma överens om vissa normer för hur personuppgifter om kunder bör behandlas. I detta sammanhang kan det erinras att Datainspektionen, enligt 12 personuppgiftsförordningen (1998:1191), på begäran av en branschorganisation skall avge yttrande över förslag till branschöverenskommelse. Ett sådant yttrande skall bl.a. avse överenskommelsens förenlighet med PuL. En sådan överenskommelse kan därför utgöra ett gott stöd för personuppgiftsansvariga som skall tolka den nya lagen och har det direkta ansvaret för att behandlingar av personuppgifter sker på ett lagligt sätt. 9
Besöksadress: Fleminggatan 14, plan 9 Postadress: Box 8114, 104 20 Stockholm Beställningar: 657 61 42 (telefonsvarare) E-post: datainspektionen@din.se Fax: 08-652 85 52 Tel: 08-657 61 00