Beslut Dnr 2009-01-12 767-2008 Fritidsresor AB Söder Mälarstrand 27 117 85 Stockholm Tillsyn enligt personuppgiftslagen (1998:204) registrering av kunduppgifter samt klagomåls- och reklamationshantering Datainspektionens beslut Datainspektionen konstaterar att Fritidsresor AB behandlar kunders personuppgifter i kundregistret i strid med 9 första stycket punkten i) personuppgiftslagen genom att spara kunduppgifter i kundregistret längre tid än två år efter avslutad resa. Datainspektionen förelägger Fritidsresor AB att antingen inhämta kundernas samtycke eller gallra kunduppgifter som är äldre än två år. Datainspektionen konstaterar vidare att Fritidsresor AB:s information om personuppgiftsbehandling inte uppfyller kraven i 23-25 personuppgiftslagen. Fritidsresor AB föreläggs att komplettera och förändra de brister i informationen som framgår av skälen. Ärendet avslutas. Redogörelse för tillsynsärendet Datainspektionen har under året arbetat med ett tillsynsprojekt med syfte att kontrollera hur resebolag registrerar uppgifter om sina paketresekunder, särskilt uppgifter om reklamationer och klagomål. Ett skäl till att Datainspektionen startat detta tillsynsprojekt var att vi under 2006 fick ett klagomål mot Fritidsresor om hur bolaget behandlade kunduppgifter. Efter klagomålet inledde inspektionen ett tillsynsärende, dnr 863-2006, mot resebolaget. Detta ärende avslutades med hänvisning till att Datainspektionen skulle granska resebolagens hantering av kunduppgifter i ett tillsynsprojekt. Som ett led i tillsynsprojektet genomförde Datainspektionen en inspektion hos Fritidsresor AB (Fritidsresor) den 2 juni 2008. Vid inspektionen framkom bl.a. följande: Postadress: Box 8114, 104 20 STOCKHOLM E-post: datainspektionen@datainspektionen.se Besöksadress: Fleminggatan 14, plan 9 Telefon: 08-657 61 00 Webbplats: www.datainspektionen.se Telefax: 08-652 86 52
2 (8) Bokningssystem Vid bokning av resa registreras Fritidsresor uppgifter om resenärer i ett bokningssystem. Varje resa registreras separat under ett särskilt bokningsnummer. Det är internationella regler som styr insamlingen av uppgifter, t.ex. kundens kontaktuppgifter, kön, födelsedatum, namn på medresenärer, bokad resa. Uppgift om civilstånd registreras inte. Det finns internationella koder för registrering av information om resenärens hälsa, t.ex. allergi, rullstolsbunden (SSR, IATA). En resenär kan endast lämna önskemål som rör boendet. Uppgifter om eventuellt önskemål är synligt på kundens biljett. I bokningssystemet noteras även om kunden medger e-postkontakt. En försäljningsagent som bokar researrangörens resor går direkt in i Fritidsresors bokningssystem och registrerar personuppgifter om sina kunder. Agenterna och Fritidsresor har reglerat personuppgiftshanteringen (biträdesavtal) i huvudavtalet. Enligt avtalet ska reklamationer om köp göras hos agenten. Om det är fråga om produktfel ska reklamationen lämnas till Fritidsresor. En resenär har själv tillgång till sin resebokning via webbsidan Min Resa. Kundregister Från bokningssystemet överförs personuppgifter till en kunddatabas. Kundregistret innehåller uppgifter om för- och efternamn, adress, mobil- och hemtelefonnummer, födelsedatum, kön samt uppgifter om bokade reseprodukter. Det är frivilligt att uppge e-postadress. Kundens eventuella önskemål noteras inte i kundregistret. Det är bokningsnumret som används som sökbegrepp i kundregistret. Fritidsresor registrerar inte personnummer. Det var tidigare frivilligt att lämna personnummer. Nu registreras enbart uppgifter om födelsedatum (år-månad-dag). Känsliga personuppgifter registreras inte i kundregistret. Reklamationer Klagomål registreras och handläggs i ett kund- och ärendehanteringssystem Lime claims (klagomålsregister). I Lime claims finns ett klassificeringssystem om förutbestämda orsaker/koder som varje klagomål ska hänföras till. Reklamationer lämnas per brev, per e-post och någon enstaka gång per telefon. Att använda e-postformulär är det vanligaste sättet att reklamera på. En inkommen skriftlig reklamation skannas för att därefter lagras i systemet. Hela det inkomna dokumentet skannas och något urskiljande av t.ex. känsliga personuppgifter görs inte. Om ett brev från klaganden innehåller känsliga personuppgifter och/eller uppgifter om lagöverträdelse kommer uppgifterna således att sparas. Det händer att bolaget från en lokal representant får information om personer som
3 (8) klagat direkt på plats. Problemet har lösts på resmålet och ett resmålskvitto visar att ersättning betalats ut direkt på plats. Fritidsresor tillämpar en frist på två år för reklamationer. I resevillkoret anges att reklamation ska ske senast två månader efter hemkomst. Totalt sju personer har åtkomst till klagomålsregistret. Tillgången är begränsad till de personer som behöver uppgifterna för att utföra sina arbetsuppgifter. Varje reklamation registreras per bokning. Bolaget har möjlighet att se om en kund klagat tidigare, men måste då plocka upp ärendet för just den bokningen. Det är inte aktuellt att notera särskilt om personer som återkommer med klagomål mot bolaget. Ändamål med behandling av kunduppgifter Personuppgifter i bokningssystemet och kunddatabasen behandlas för ändamålen kundadministration, dvs. för att kunna fullgöra avtalet med kunden, reklamation, direktreklam och statistik. Utlämnande av personuppgifter Uppgifter om kunder lämnas ut i följande fall: Till hotell på resemålet lämnas uppgifter om namn, vuxen/barn, man/kvinna och flygnummer. Uppgifter om bokningsnummer, namn, ålder och kön lämnas ut till Paxport AB (boka stol på flygplanet). Till hyrbilsbolag lämnas namn och flygnummer. Personuppgifter lämnas till agenter på flygplatsen. Uppgifter om flightnummer, namn, ålder och bokningsnummer lämnas ut till Infligh Service Europe AB (utskick av taxfreekatalog och för rätt leverens av taxfreevaror) Etikett med adressuppgift lämnas ut till vissa flygbolag för utskick av katalog om taxfree. Användning av personuppgifter vid marknadsföring Kunden kan ange om man vill ha reklam eller inte. Fritidsresors kataloger beställer resenären själv. Det är frivilligt att lämna e-postadress och kunden får välja om han eller hon vill ha e-postkontakt eller inte. En taxfreekatalog skickas till alla kunder. Information Fritidsresor lämnar information om kundregister i resevillkoren. Information om personuppgifter lämnas även på webbplatsen. Bevarande av personuppgifter I bokningssystemet rensas uppgifter kontinuerligt. Personuppgifter tas bort två- tre månader efter avslutad resa. I kundregistret tas personuppgifter bort efter tre år, såvida inte kunden bokar en ny resa inom treårsperioden. Då sparas personuppgifterna i
4 (8) ytterligare tre år och så vidare. Det innebär att Fritidsresor har lagrad information om samtliga bokade resor för en kund som reser frekvent med bolaget (kundhistorik). Lagringen av kunduppgifter har en kommersiell grund. En resenär som bokar en ny resa inom tre år utgör en s.k. aktiv kund och vare sig om denne sagt ja eller nej till direktreklam, kommer information om kunden att lagras under mycket lång tid. Det sker dock en viss gallring, t.ex. namn-, adressändringar. Varje månad görs en adressuppdatering via SPAR. Fritidsresor lagrar uppgifter om reklamationer i Lime claims i tio år. Lagringstiden är vald med hänvisning till ansvarsförsäkringar och bokföringslagens krav om kontroll av orsaken till gjorda utbetalningar vid reklamationer. Uppgifter om resebokningen via webbsidan Min Resa tas bort efter tre månader. Personuppgiftsbiträdesavtal Det pågår en kartläggning över eventuellt behov av att upprätta personuppgiftsbiträdesavtal med samarbetspartners på destinationen, flygbolag m.fl. Datadriften sköts internt men det finns två aktörer utanför organisationen och Fritidsresor ska se över om det behövs ett personuppgiftsbiträdesavtal/serviceavtal. Skäl för beslutet Vilka regler är tillämpliga? Personuppgiftslagen gäller i första hand sådan behandling av personuppgifter som är automatiserad. Det framgår av 5 personuppgiftslagen. Med personuppgifter avses enligt 3 personuppgiftslagen all slags information som direkt eller indirekt kan hänföras till en person som är i livet. Fritidsresor behandlar uppgifter om kunder och reklamationer/klagomål i elektroniska system. Materialet är strukturerat, enligt 5 a personuppgiftslagen, på ett sådant sätt att de s.k. hanteringsreglerna i personuppgiftslagen är tillämpliga på behandlingen. Allmänt om behandling av personuppgifter I personuppgiftslagen finns grundläggande krav som gäller för behandling av personuppgifter. I 9 första stycket personuppgiftslagen anges bl.a. att den personuppgiftsansvarige ska se till att personuppgifter endast samlas in för särskilda uttryckligt angivna och berättigade ändamål. Uppgifterna får därefter inte behandlas för något ändamål som är oförenligt för de ändamål som de samlades in för. Den personuppgiftsansvarige får inte heller behandla fler personuppgifter än vad som är nödvändigt med hänsyn till ändamålet. Den personuppgiftsansvarige ska se till att de personuppgifter som behandlas är adekvata och relevanta i förhållande till ändamålet med behandlingen samt att de personuppgifter som behandlas är riktiga. I bestämmelsens andra stycke anges att en behandling av personuppgifter för statistiska ändamål inte ska anses som oförenligt för med de ändamål som uppgifterna samlades in.
5 (8) I 10 personuppgiftslagen regleras under vilka förutsättningar det är tillåtet att behandla personuppgifter. Utgångspunkten är att behandling är tillåten endast om den registrerade har lämnat sitt samtycke. Från den regeln finns omfattande undantag. Det anges bland annat att personuppgifter får behandlas om behandlingen är nödvändig för att ett avtal med den registrerade ska kunna fullgöras. Om behandlingen avser känsliga personuppgifter, personnummer, uppgifter om lagöverträdelser finns ytterligare begränsningar i 13-19 personuppgiftslagen. Särskilt om behandling av personuppgifter i kundregister I sitt kundregister behandlar Fritidsresor uppgifter om kundens för- och efternamn, adress, mobil- och hemtelefonnummer, födelsedatum, kön samt uppgifter om bokade samt avslutade resor. Det är frivilligt att ange e-postadress. Uppgifterna behandlas för ändamålen kundadministration, reklamation, direktreklam och statistik. Datainspektionen väljer att särskilt ta upp Fritidsresors gallring av kunduppgifter. I övrigt har Datainspektionen inga synpunkter på hur Fritidsresor hanterar kunduppgifter. Ett av de grundläggande kraven som ställs på behandling av personuppgifter är att den personuppgiftsansvarige ska se till att personuppgifter inte bevaras under längre tid än vad som är nödvändigt för ändamålet. Det framgår av 9 första stycket punkten i) personuppgiftslagen. Därefter ska uppgifterna gallras, dvs. avidentifieras eller förstöras på ett sådant sätt att de inte går att återskapa. Om det finns bestämmelser om bevarande i annan lag eller förordning ska de bestämmelserna gälla. Fritidsresor sparar kundens namn- och adressuppgifter under tre års tid i kundregistret. Även uppgifter om kundens resa sparas under tre års tid. Flera andra resebolag har samma inställning som Fritidsresor till att spara dessa uppgifter. Om kunden återkommer inom denna tid och köper en ny resa hos Fritidsresor sparas kontaktuppgifterna och resehistoriken under ytterligare tre år räknat från den nya resan. För kunder som reser frekvent innebär detta att Fritidsresor kan följa kunders resemönster på ett detaljerat sätt. Datainspektionen anser att kunduppgifter, inklusive uppgifter om resor, normalt får sparas i resebolags kunddatabas under två år efter avslutad resa. Om resbolaget vill kunna lämna erbjudanden och ge en särskild service som bygger på att sådana uppgifter finns bevarade under en längre tid så kan det ske genom att bolaget inhämtar ett samtycke från kunden. Om så inte sker måste uppgifterna gallras ur kundregistret. Av utredningen framgår att Fritidsresor sparar uppgifter om kunder, oavsett om denne samtyckt eller inte, under minst tre år efter avslutad resa. Det är inte visat att Fritidsresor har ett behov av att spara uppgifter i kundregistret under en längre tid än två år. Mot denna bakgrund konstaterar inspektionen att Fritidsresor behandlar uppgifter i strid med 9 första stycket punkten i) personuppgiftslagen.
6 (8) Reklamations- och klagomålshantering Fritidsresor lagrar reklamationer och klagomål digitalt i ett särskilt system, dvs. genom att brev skannas in och e-post läses in. Varje reklamation registreras utifrån bokningsnummer och klassificeras utifrån ett antal förutbestämda orsaker/koder. Fritidsresor sparar samtliga uppgifter, inklusive själva reklamationen, under tio år. Lagringstiden är vald med hänsyn till ansvarsförsäkringar och bokföringslagens krav på kontroll av orsaken till gjorda utbetalningar vid reklamationer. Datainspektionen väljer att särskilt ta upp Fritidsresors gallring av uppgifter om reklamationer. I övrigt har Datainspektionen inga synpunkter på hur Fritidsresor hanterar reklamationer och klagomål. Uppgifter om en avslutad reklamation får sparas under den tid som kunden kan återkomma med ny en reklamation. Orsaken är att resebolaget ska ha möjlighet att kontrollera om kunden reklamerat och förhindra t.ex. att kunden får dubbel kompensation. När det gäller att spara uppgifter om reklamationer för bokföringsändamål får endast de uppgifter som krävs för att uppfylla bokföringslagens krav sparas för detta ändamål och under den tid som anges i denna lag. Det kan innebära att vissa uppgifter får sparas medan andra måste gallras. Datainspektionen kan inte inom ramen för detta tillsynsärende avgöra vilka uppgifter om reklamationer som är nödvändiga att spara för bokföringsändamål. Det ifrågasätts dock om alla uppgifter, t.ex. den inskannade kopian av reklamationen som kan innehålla integritetskänslig information, är nödvändiga att spara för detta ändamål. Vad som sagts i detta stycke gäller även när uppgifterna sparas med hänsyn till ansvarsförsäkringar. Uppfylls kraven på information till de registrerade? Det är viktigt att de registrerade informeras om behandlingen av personuppgifter som sker i samband dels med bokning av en resa dels vid klagomål/reklamation. Informationen är nödvändig för att de registrerade ska kunna ta tillvara sina rättigheter. Enligt 23-25 personuppgiftslagen ska den personuppgiftsansvarige, i detta fall Fritidsresor, självmant lämna information om behandlingen av personuppgifter till de registrerade. Informationen bör innehålla: den personuppgiftsansvariges identitet (namn, adress, telefonnummer, organisationsnummer och i förekommande fall e-postadress), ändamålen med behandlingen av personuppgifter, all övrig information som behövs för att den registrerade ska kunna ta tillvara sina rättigheter i samband med behandlingen, såsom - vilka kategorier av uppgifter som behandlas, - hur länge uppgifterna sparas,
7 (8) - mottagare eller kategorier av mottagare av uppgifterna (dvs. till vilka uppgifterna kommer att lämnas ut), - rätten att gratis en gång årligen efter ansökan få information samt - rätten till rättelse Fritidsresor lämnar information om hur företaget behandlar kunders personuppgifter i sina allmänna villkor samt på webbplatsen. Datainspektionen kan konstatera att Fritidsresors information till kunderna brister på följande punkter: Fritidsresor lämnar information om att personnummer behandlas när det i själva verket är uppgift om födelsedatum. Det saknas information om att uppgift om kön behandlas. Det saknas information om att kundregistret även används för statistikändamål. Det saknas information om att resehistorik sparas och hur länge. Det saknas information om att ansökan om registerutdrag enligt 26 personuppgiftslagen är gratis en gång per år. Datainspektionen förelägger Fritidsresor att åtgärda de brister i informationen som framgår ovan. Uppfylls kravet på avtal med personuppgiftsbiträden? Den personuppgiftsansvarige är ansvarig för den behandling av personuppgifter som utförs. Genom att ge andra, utanför den personuppgiftsansvariges egen organisation, som behandlar personuppgifter för den personuppgiftsansvariges räkning tydliga instruktioner om hur uppgifterna ska behandlas får den personuppgiftsansvarige kontroll över den behandling som sker. Det ska finnas ett skriftligt avtal mellan den personuppgiftsansvarige och ett personuppgiftsbiträde. Avtalet ska reglera hur biträdet ska behandla uppgifterna och vilka säkerhetsåtgärder som ska vidtas (30 personuppgiftslagen). Av vad som framkommit arbetar Fritidsresor med en översyn av behovet av personuppgiftsbiträdesavtal med samarbetspartners på destinationen, flygbolag m.fl. Fritidsresor har reglerat personuppgiftsbehandlingen med försäljningsagenterna i huvudavtalet. Om denna översyn visar att det finns ytterligare behov av personuppgiftsbiträdesavtal förutsätter Datainspektionen att Fritidsresor upprättar sådana.
Hur man överklagar 8 (8) Om ni vill överklaga beslutet skall ni skriva till Datainspektionen. Ange i skrivelsen vilket beslut som överklagas och den ändring som ni begär. Inspektionen måste ha fått ert överklagande inom tre veckor från den dag ni fick ta del av beslutet, annars kan överklagandet inte prövas. Datainspektionen sänder överklagandet vidare till Länsrätten i Stockholms län för prövning om inspektionen inte själv ändrar beslutet på det sätt ni har begärt. Jonas Agnvall