YTTRANDE Dnr 2006-06-28 970-2006 Ert dnr N2006/3914/TP Regeringskansliet Näringsdepartementet Enheten för transportpolitik 103 33 Stockholm Överklagande av Vägverkets beslut att inte lämna ut uppgifter ur vägtrafikregistret till Svensk Fordonsbas AB Näringsdepartementet har begärt Datainspektionens yttrande i rubricerat ärende. Med anledning härav får inspektionen anföra följande. Vägverket har genom det överklagade beslutet beslutat att inte försälja uppgifter avseende s.k. SPIN-koder till företaget Svensk Fordonsbas AB (bolaget). Bolaget yrkar i överklagande att regeringen måtte ändra Vägverkets beslut och förplikta Vägverket att till bolaget lämna ut SPIN-koder i varje aktuellt fall. Yrkandet framställs jämväl interimistiskt i avvaktan på regeringens slutliga beslut. Datainspektionen har utöver vad som framgår av till remissen bifogade handlingar handlingarna ingen närmare kännedom om omständigheterna i ärendet. Enligt Vägverkets beslut av den 22 mars 2006 köper bolaget regelbundet vägtrafikregisteruppgifter från Vägverket. Vidare framgår av beslutet att dessa uttag består av flera leveranser månadsvis eller årsvis samt att i två av leveranserna genereras SPIN-kod som anges var en kodifiering av ett personnummer. Vad sådana köp närmare innebär i frågan om ändamål, utlämnande, tillhandhållande, vidarespridning och annan behandling av personuppgifter från vägtrafikregistret går dock inte utläsa av det överklagade beslutet. Det står dock klart att Vägverkets tillhandahållande avser utlämnande i elektronisk form dvs. ett tillhandahållande som går utöver verkets skyldighet att lämna ut uppgifter enligt offentlighetsprincipen. Om ändamålet för bolagets Postadress: Box 8114, 104 20 STOCKHOLM E-post: datainspektionen@datainspektionen.se Besöksadress: Fleminggatan 14, plan 9 Telefon: 08-657 61 00 Webbplats: http://www.datainspektionen.se Telefax: 08-652 86 52
2 (5) behandling anger bolaget i sitt överklagande att det bedriver databasdrift och datakonsultverksamhet avseende statistiska programvaror och statistiska bearbetningar och att bolaget i denna verksamhet köper uppgifter ur Vägverkets vägtrafikregister. Bolaget tillägger att dess kunder använder uppgifterna antingen för att aktualisera, komplettera eller kontrollera information om fordonsägare, som finns i kund- eller medlemsregister eller för uttag av urval för direkt marknadsföring av information om fordonsägare, som inte motsatt sig behandling av personuppgifter för sådant ändamål. Bestämmelserna i PuL är i princip tillämpliga på behandling av personuppgifter som sker genom elektroniskt utlämnande om det inte finns avvikande bestämmelser om behandlingen i lag eller förordning. Hur personuppgifter i vägtrafikregistret får användas regleras närmast av lagen (2001:558) om vägtrafikregister och förordningen (2001:650) om vägtrafikregister. När det gäller hanteringen av personuppgifter i vägtrafikregistret finns det dessutom en bestämmelse i 8 förordningen (1997:652) med instruktion för Vägverket som reglerar Vägverkets rätt att sälja uppgifter till myndigheter och enskilda ur den del av vägtrafikregistret som avser fordonsregistreringen som verket för enligt förordningen om vägtrafikregistret. Möjligheterna att lämna ut personuppgifter ur vägtrafikregistret påverkas också av sekretesslagen. Vägverket är exempelvis skyldigt att göra en prövning enligt 7 kap. 16 SekrL innan personuppgifter lämnas ut. Man måste då göra en bedömning av om det kan antas att ett utlämnande av personuppgifterna skulle medföra att uppgifterna behandlas i strid med personuppgiftslagen. Vägverket synes inte, såsom bolaget tycks ha uppfattat det, grundat det överklagade beslutet på en prövning enligt 7 kap. 16 SekrL som resulterat i att verket funnit att ett utlämnande skulle medföra att uppgifterna behandlas i strid med personuppgiftslagen. Som Datainspektionen uppfattar det har Vägverkets prövning i stället tagit sikte på en prövning av om en försäljning avseende s.k. SPIN-koder är förenlig med den uttryckliga reglering som ges härom i 8 tredje stycket förordningen (1997:652) med instruktion för Vägverket. Vägverket synes således ha bedömt att det föreligger en sådan integritetsrisk när uppgifter i form av SPIN-koder lämnas ut till bolaget som medför att Vägverket enligt 8 tredje stycket nämnda förordning inte får sälja uppgifterna. Den
3 (5) bedömningen har Vägverket gjort efter att det framkommit att de SPIN-koder som lämnats ut har avkodats och samkörts med andra uppgifter. Datainspektionen har på förevarande underlag svårt att bedöma vilka integritetsrisker som kan föreligga om SPIN-koder lämnas ut till bolaget. Datainspektionen har heller inte tillräckligt underlag för att kunna göra en bedömning av om ett utlämnade av uppgifterna och bolagets behandling av personuppgifter kan antas vara förenlig med personuppgiftslagen. Datainspektionen kan dock lämna några synpunkter och upplysningar till ledning för ärendets prövning. Bedömning av om ett utlämnande av uppgifterna är förenlig med personuppgiftslagen kräver kännedom om för vilka ändamål uppgifterna kommer att användas. Ett av de grundläggande krav som personuppgiftslagen ställer på behandling av personuppgifter är att uppgifter bara samlas in för särskilda, uttryckligt angivna och berättigade ändamål och att uppgifterna inte behandlas för något ändamål som är oförenligt med det för vilket uppgifterna samlades in (se 9 första stycket c) och d). För Datainspektionen är bolagets ändamål oklara. Visserligen nämner bolaget sådana ändamål som är upptagna i 5 första stycket punkt 4 och 5 i lagen om vägtrafikregister men då talar bolaget om kundernas användning. Om bolagets egen verksamhet anges databasdrift och datakonsultverksamhet avseende statistiska programvaror och statistiska bearbetningar. Enligt Datainspektionens mening behövs ytterligare information om bolagets användning av uppgifterna. Andra grundläggande krav på behandlingen av personuppgifter är bl.a. att den personuppgiftsansvarige ska se till att personuppgifter bara behandlas om det är lagligt, att personuppgifter alltid behandlas på ett korrekt sätt och i enlighet med god sed, att de personuppgifter som behandlas är adekvata och relevanta i förhållande till ändamålen med behandlingen och att inte fler personuppgifter behandlas än som är nödvändigt med hänsyn till ändamålen med behandlingen. För Datainspektionen framstår det inte som klart varför bolagets behöver behandla SPIN-koder. Eftersom ändamålet är oklart går det heller inte att ta ställning om
4 (5) bolagets behandling är förenlig med de grundläggande kraven i PuL. Om man utgår från ett sådant ändamål som bolaget uppger om kunders användning dvs. uttag av urval för direkt marknadsföring kan det vara av värde att vid bedömning av kravet på god sed vid behandlingen (se 9 första stycket b) PuL) känna till vad som gäller enligt branschöverenskommelsen inom området (SWEDMAS branschöverenskommelse för behandling av personuppgifter vid direktmarknadsföring för försäljnings-, insamlings-, medlemsvärvningsändamål och liknande). I exempelvis 6.1. den överenskommelsen anges att insamling och annan behandling av personnummer förutsätter särskilda skäl såsom vikten av en säker identifiering. Bortsett från s.k. tillfällig personnummersättning, som sker hos myndigheter, för att ta bort kunddubbletter och liknande skall personnummer ej behandlas i prospectsituationer enligt 6.3. I avsnittet 6.3 Anknytning saknas mellan de registrerade och den personuppgiftsansvarige anges bl.a. följande. Personuppgifter från vissa källor får samköras för att göra för direktmarknadsföringsändamålet relevanta urvalsdragningar som att ta bort dubletter genom matchning mot exempelvis egna kundregister och liknande. Fördjupning som leder till otillbörligt intrång i registrerads personliga integritet får ej förekomma. Avslutningsvis vill Datainspektionen något beröra Vägverkets bedömning av integritetsrisken med att lämna ut SPIN-koder. Som Datainspektionen angett ovan har inspektionen ingen närmare kännedom om omständigheterna i ärendet. Datainspektionen vet således inte vad uppgiften i Vägverkets beslut att SPIN-koder avkodats samkörts i praktiken inneburit. Mot vilka uppgiftssamlingar har samkörningar skett och för vilket ändamål? Vad har avkodningen inneburit? Har personnummer i klartext kommit fram genom avkodningen? Hur har i så fall dessa hanterats? Sammanfattningsvis anser Datainspektionen att det inte på föreliggande underlag går att ta ställning till om ett utlämnande av dessa uppgifter till bolaget är förenligt med bestämmelserna i personuppgiftslagen eller vilka egentliga integritetsrisker det föreligger med en sådan frivillig möjlighet till försäljning av uppgifter som bolaget
5 (5) yrkar att regeringen ska förplikta Vägverket att genomföra. Detta yttrande har beslutats av generaldirektören Göran Gräslund i närvaro av chefsjuristen Leif Lindgren och datarådet Hans-Olof Lindblom, föredragande. Göran Gräslund Hans-Olof Lindblom