Beslut Dnr 2008-10-15 1176-2008 De handikappades riksförbund Box 47305 100 74 Stockholm Tillsyn enligt personuppgiftslagen (1998:204) utlämnande av uppgifter om medlemmar Datainspektionens beslut Datainspektionen konstaterar att De handikappades riksförbunds behandling av personuppgifter genom utlämnande av medlemmars personuppgifter till Salus- Ansvar för marknadsföringsändamål strider mot 9 och 13 personuppgiftslagen. Datainspektionen konstaterar vidare att De handikappades riksförbund inte uppfyller sin informationsskyldighet gentemot de registrerade enligt 25 personuppgiftslagen. Datainspektionen förelägger De handikappades riksförbund att upphöra med att lämna ut personuppgifter om medlemmar till Salus- Ansvar för marknadsföringsändamål och att informera de registrerade i enlighet med 25 personuppgiftslagen. Ärendet avslutas. Redogörelse för tillsynsärendet Datainspektionen har genom ett klagomål uppmärksammats på De handikappades riksförbunds (DHR) utnyttjande av personuppgifterna i sitt medlemsregister för kommersiella ändamål. Datainspektionen har inlett tillsyn mot DHR, som har yttrat i huvudsak följande. DHR har ett samarbetsavtal med försäkringsbolaget SalusAnsvar med syfte att kunna erbjuda DHR:s medlemmar bra försäkringar och banktjänster. Samarbetet startade den 1 maj 2007 och löper till den 30 april 2010. Beslutet att skriva på avtalet har tagits av DHR:s förbundsstyrelse. Postadress: Box 8114, 104 20 STOCKHOLM E-post: datainspektionen@datainspektionen.se Besöksadress: Fleminggatan 14, plan 9 Telefon: 08-657 61 00 Webbplats: www.datainspektionen.se Telefax: 08-652 86 52
2 (7) SalusAnsvar har utvecklat gruppförsäkringsprodukter för DHR:s medlemmar som man ska erbjuda till förbundets medlemmar. Ur DHR:s perspektiv är motivet till avtalet att ge medlemskapet i DHR ett mervärde och som ett sätt att rekrytera nya medlemmar till förbundet. SalusAnsvar har fått tillgång till uppgift om namn, adress, telefonnummer och ålder för att kunna ringa upp medlemmar som är mellan 30 och 75 år en gång per år. Några uppgifter om personers eventuella funktionsnedsättningar har inte lämnats ut. Samtliga telefonnummer som SalusAnsvar fick från medlemsregistret kördes gentemot NIX-registret och register för hemliga nummer. Enligt 16 c) personuppgiftslagen gäller att känsliga personuppgifter får behandlas om behandlingen är nödvändig för att rättsliga anspråk ska kunna fastställas, göras gällande eller försvaras. I kommentaren till personuppgiftslagen framgår att bestämmelsen kan vara tillämplig när en ideell organisation, där själva medlemskapet kan utgöra en känslig personuppgift, träffar avtal med någon annan om kollektiva förmåner för sina medlemmar, t.ex. en gruppförsäkring, och lämnar ut medlemsregistret till avtalsparten för att denne ska kunna fastslå vem som har ett rättsligt anspråk enligt avtalet. Rättsligt stöd för den aktuella behandlingen av personuppgifter är gruppförsäkringsavtalet mellan DHR och SalusAnsvar, som enligt 16 c) personuppgiftslagen ger DHR rätt att till SalusAnsvar lämna ut nödvändiga uppgifter ur medlemsregistret för att SalusAnsvar ska kunna fastställa medlemmens rättsliga anspråk enligt avtalet. Uppgifterna i medlemsregistret har samlats in för att ge förbundet möjlighet att kommunicera med medlemmarna. På inträdesansökan står det DHR för ett medlemsregister. Registrerade uppgifter används aldrig i kommersiellt syfte. Det går inte heller att köpa uppgifter ur DHR:s medlemsregister. Det finns också ett samtyckesavsnitt som lyder Jag är medveten om att jag i och med att jag anmäler mig som medlem i DHR [ ] samtycker till att de uppgifter som jag lämnat kommer att införas i DHR:s medlemsregister och att uppgifterna behandlas i enlighet med personuppgiftslagens bestämmelser. Vid årsaviseringen av medlemskapet skickades en folder från Salus- Ansvar med. Den beskrev samarbetet och förvarnade om att man som medlem skulle bli uppringd. Möjligheten att kostnadsfritt ringa ett samtal för att avsäga sig att SalusAnsvar skulle ringa presenterades också i foldern.
Skäl för beslutet Vem är personuppgiftsansvarig? Den som, ensam eller tillsammans med andra, bestämmer ändamålen med och medlen för behandlingen av personuppgifter är personuppgiftsansvarig i personuppgiftslagens mening (3 personuppgiftslagen). Det är normalt sett den juridiska person som behandlar uppgifterna i sin verksamhet och som bestämmer vilka uppgifter som ska behandlas och vad uppgifterna ska användas till. 3 (7) Mot bakgrund av vad DHR har uppgett gör Datainspektionen bedömningen att SalusAnsvar är ansvarig för den behandling av personuppgifter som själva marknadsföringsåtgärderna innebär. DHR är däremot personuppgiftsansvarig för behandlingen att lämna ut personuppgifter om sina medlemmar till SalusAnsvar för att SalusAnsvar ska kunna erbjuda medlemmarna försäkringar och banktjänster, dvs. marknadsföra sig. Det är alltså den behandling av personuppgifter som själva utlämnandet av uppgifterna för marknadsföringsändamål innebär som Datainspektionen har att ta ställning till i detta ärende. Vilka regler är tillämpliga? Datainspektionen gör bedömningen att det rör sig om sådan automatiserad behandling av personuppgifter som omfattas av personuppgiftslagen, och att materialet är strukturerat på ett sådant sätt att de s.k. hanteringsreglerna är tillämpliga på den aktuella behandlingen (5-5 a personuppgiftslagen). Är behandlingen av personuppgifter förenlig med de grundläggande kraven? Enligt 9 personuppgiftslagen ska den personuppgiftsansvarige bl.a. se till att personuppgifter alltid behandlas på ett korrekt sätt och i enlighet med god sed. Vad som är god sed vid behandling av personuppgifter får avgöras mot bakgrund av t.ex. utfärdade föreskrifter, branschregler som har utarbetats av etablerade branschorganisationer och hur ansvarsfulla personuppgiftsansvariga som regel beter sig. Om den personuppgiftsansvarige har upprättat en policy för sin behandling av personuppgifter får det som regel anses strida mot god sed att den personuppgiftsansvarige inte följer den policy denne själv har ställt upp. Detta torde gälla åtminstone om policyn varit tillgänglig för de registrerade när de aktuella personuppgifterna samlades in. Vid ändring av policyn bör den personuppgiftsansvarige informera de registrerade och ge dessa en möjlighet att motsätta sig ändringen. Motsvarande bedömning får göras om den personuppgiftsansvarige på annat sätt har informerat om sin behandling, men sedan inte behandlar uppgifterna på det sättet och inte heller informerar på nytt (se Öman, Sören, & Lindblom, Hans-Olof, Personuppgiftslagen En kommentar, 3 uppl., s. 160f). Den personuppgiftsansvarige ska vidare, enligt 9 personuppgiftslagen, se till att personuppgifter samlas in bara för särskilda, uttryckligt angivna och berättigade ändamål. Personuppgifterna får sedan inte behandlas för något ändamål som är oförenligt med det för vilket uppgifterna samlades in.
4 (7) Även ett utlämnande av personuppgifterna till en annan måste vara förenligt med det ursprungliga ändamålet. Då måste man beakta vad mottagaren av uppgifterna ska använda dem till och jämföra den tilltänkta användningen med det ursprungliga ändamålet. Vid en bedömning av vad som är förenligt med det ursprungliga ändamålet kan man utgå från hur en registrerad typiskt sett skulle se på saken. Har den registrerade rimligen att räkna med att de insamlade uppgifterna också får behandlas för det nya ändamålet, kan det nya ändamålet inte anses oförenligt med det ursprungliga. DHR har uppgett att uppgifterna i medlemsregistret har samlats in för att ge förbundet möjlighet att kommunicera med medlemmarna. På inträdesansökan har man informerat medlemmarna om att registrerade uppgifter aldrig används i kommersiellt syfte och att det inte går att köpa uppgifter ur medlemsregistret. Datainspektionen anser att informationen på DHR:s inträdesansökan om att registrerade uppgifter aldrig används i kommersiellt syfte och inte går att köpa i det närmaste är att likställa med ett policyuttalande. Att förbundet skickat ut en folder om samarbetet med SalusAnsvar och möjligheten att avsäga sig samtal tolkar inte Datainspektionen som en information till medlemmarna om en förändring i förbundets policy eller att medlemmarna har fått möjlighet att motsätta sig en sådan förändring. Datainspektionen konstaterar därför att utlämnandet av medlemmars personuppgifter till SalusAnsvar för marknadsföringsändamål har skett i strid med förbundets egen policy. Behandlingen utförs således i strid med god sed. DHR:s utlämnande av uppgifter för att SalusAnsvar ska kunna erbjuda DHR:s medlemmar försäkringar och banktjänster måste anses ha ett kommersiellt syfte. Även om det ursprungliga ändamålet; att ge förbundet möjlighet att kommunicera med medlemmarna, skulle anses innefatta marknadsföring kan det i vart fall inte anses innefatta att lämna ut personuppgifterna till annan för att denna ska kunna marknadsföra sig. Utlämnandet av uppgifterna innebär således att de registrerade uppgifterna behandlas för ett nytt ändamål. Datainspektionen anser att de registrerade inte rimligen har att räkna med att uppgifterna får lämnas ut till SalusAnsvar för marknadsföringsändamål. Detta inte minst mot bakgrund av den information som förbundet lämnar till medlemmarna i samband med tecknande av medlemskap. Ändamålet med utlämnandet kan därför inte anses förenligt med det ändamål för vilket uppgifterna samlades in. Den aktuella behandlingen står således, även på detta sätt, i strid med de grundläggande kraven i personuppgiftslagen. Är behandlingen tillåten? I 10 personuppgiftslagen finns en uttömmande uppräkning av i vilka situationer behandling av personuppgifter är tillåten. Vid behandling av känsliga personuppgifter måste behandlingen dessutom vara tillåten med stöd av 13-19 personuppgiftslagen.
5 (7) Känsliga personuppgifter i personuppgiftslagens mening är bl.a. sådana uppgifter som rör hälsa. Uttrycket uppgifter som rör hälsa har i praxis getts en vid tolkning och anses omfatta uppgifter som rör alla aspekter, såväl fysiska som psykiska, av en persons hälsa. Uppgift om att någon är handikappad är således en uppgift som rör hälsa. Även om det inte finns något krav på att medlemmar i DHR ska vara handikappade kan det emellertid antas att det stora flertalet av medlemmarna är handikappade. Redan en uppgift om att en person är registrerad som medlem i DHR måste därför behandlas som om den utgör en personuppgift som rör hälsa. I 13 personuppgiftslagen finns ett principiellt förbud mot behandling av känsliga personuppgifter. I 14-19 finns det bestämmelser som för med sig att sådana personuppgifter får behandlas i vissa situationer. Undantaget för att få behandla känsliga personuppgifter om det är nödvändigt för att rättsliga anspråk ska kunna fastställas, göras gällande eller försvaras (16 c) personuppgiftslagen) är inte tillämpligt på den behandling som är aktuell i ärendet. Den situation som Datalagskommittén har beskrivit avser då en ideell organisation t.ex. har tecknat en gruppförsäkring för sina medlemmar. Såvitt Datainspektionen har förstått har DHR inte tecknat någon försäkring på medlemmarnas vägnar. Datainspektionen finner att inte heller något annat av undantagen från förbudet att behandla känsliga personuppgifter är tillämpligt på DHR:s utlämnande av uppgifter om sina medlemmar till SalusAnsvar för marknadsföringsändamål. Datainspektionen kan därför konstatera att DHR:s behandling av personuppgifter genom utlämnandet strider mot förbudet i 13 personuppgiftslagen och därför inte är tillåten. I sammanhanget bör påpekas att Datainspektionen anser att behandlingen av personuppgifter för ett kommersiellt marknadsföringsändamål inte är tillåten även om man skulle anse att den sker under DHR:s personuppgiftsansvar, dvs. att SalusAnsvar behandlar uppgifterna för DHR:s räkning. Vissa ideella föreningar får visserligen behandla känsliga personuppgifter inom ramen för sin verksamhet. Datainspektionen anser dock att den aktuella marknadsföringsåtgärden inte ryms inom ramen för DHR:s verksamhet. Behandlingen skulle vidare strida mot de grundläggande kraven i 9 personuppgiftslagen. Uppfylls kraven på information till de registrerade? Det är viktigt att alla registrerade informeras om den behandlingen av personuppgifter som sker bl.a. för att de ska känna till vilka uppgifter som registreras och kunna ta tillvara sina rättigheter. Enligt 23-25 personuppgiftslagen ska den personuppgiftsansvarige, i detta fall DHR, självmant lämna information om behandlingen av personuppgifter till de registrerade.
6 (7) Informationen bör innehålla a) den personuppgiftsansvariges identitet (namn, adress, telefonnummer, organisationsnummer och i förekommande fall e-postadress), b) ändamålen med behandlingen av personuppgifter, c) all övrig information som behövs för att den registrerade ska kunna ta tillvara sina rättigheter i samband med behandlingen, såsom - vilka kategorier av uppgifter som behandlas, - hur länge uppgifterna sparas, - mottagare eller kategorier av mottagare av uppgifterna (dvs. till vilka uppgifterna kommer att lämnas ut), - rätten att gratis en gång årligen efter ansökan få information samt - rätten till rättelse. Om man har för avsikt att behandla personuppgifterna för marknadsföringsändamål bör man också informera om möjligheten för den registrerade att skriftligen motsätta sig sådan behandling. I ärendet har framkommit att DHR lämnar information om att DHR för ett medlemsregister, att registrerade uppgifter aldrig används i kommersiellt syfte samt att det inte heller går att köpa uppgifter ur DHR:s medlemsregister. Den information som DHR lämnar till de registrerade kan inte anses uppfylla personuppgiftslagens krav på information till de registrerade. Slutsatser Hanteringsreglerna i personuppgiftslagen är tillämpliga på den behandling av personuppgifter som DHR:s utlämnande av medlemmars personuppgifter till SalusAnsvar för marknadsföringsändamål innebär. Datainspektionen konstaterar att den aktuella behandlingen av personuppgifter strider mot de grundläggande kraven i 9 personuppgiftslagen genom att uppgifterna inte behandlas i enlighet med god sed och utförs för ett ändamål som är oförenligt med det ändamål för vilket uppgifterna samlades in. Datainspektionen konstaterar också att behandlingen inte är tillåten enligt 13 personuppgiftslagen. Datainspektionen konstaterar vidare att den information som DHR självmant lämnar till de registrerade inte uppfyller förbundets skyldighet att informera de registrerade om behandlingen av personuppgifter i medlemsregistret enligt 25 personuppgiftslagen. Mot denna bakgrund ska DHR föreläggas att upphöra med att lämna ut medlemmars personuppgifter till SalusAnsvar för marknadsföringsändamål. Förbundet ska också föreläggas att informera de registrerade om sin behandling av personuppgifter som förbundet utför i sitt medlemsregister. Ärendet ska därefter avslutas, men kan komma att följas upp.
Hur man överklagar 7 (7) Om ni vill överklaga beslutet skall ni skriva till Datainspektionen. Ange i skrivelsen vilket beslut som överklagas och den ändring som ni begär. Inspektionen måste ha fått ert överklagande inom tre veckor från den dag ni fick ta del av beslutet, annars kan överklagandet inte prövas. Datainspektionen sänder överklagandet vidare till Länsrätten i Stockholms län för prövning om inspektionen inte själv ändrar beslutet på det sätt ni har begärt. Detta beslut har fattats av teamledaren Catharina Fernquist i närvaro av juristen Malin Fredholm, föredragande. Catharina Fernquist Malin Fredholm Kopia för kännedom till klaganden